Mit csinál ez a kód?

Internet: PHP, CGI, stb.

Ezt a kódot találtam az egyik weboldalunk index.php végére betéve:

http://pastebin.com/tnLU2V28

Mit csinál? Küld valahova valamit?
Köszi a segítséget!

  • 9494 megtekintés

( bandy | 2013. 02. 28., cs – 20:28 )

hxxp://mbrowserstats.com/statE/stat.php
Ide dolgozik, ez alapján: $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw')
Ha nem keresőrobot keresi fel az oldalt, akkor átküldi a látogatóidról az infókat (USERAGENT, IPcím, stb)
[szerk: az URL-t direkt rontottam el...]

Azon segit, hogy eddig a konfig fajl sem volt titkositva. Az eddigi progik sosem a TC memoriajat tamadtak meg, hanem egyszeruen felolvastak a konfig fajljat, es mivel csak base64 enkodolva voltak a jelszavak, egy mozdulattal lehetett dekodolni oket.

Egyebkent pedig Windows alatt nem olyan konnyu ramaszni egy masik progi memoriateruletere. Es az sem biztos, hogy in-memory tenyleg ott van a fajl. De te mar biztos elolvastad a TC forrasat, azert vagy ilyen rettenetesen okos.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Hat, attol fugg. Windows alatt letezik valami securestring-szeru megoldas, amihez a nem-C# progik is hozzafernek. Asszem azt vagy nem lehet olvasni, vagy csak rovid ideig el, vagy ilyesmi.

Egyebkent pedig nem feltetlen kell a komplett fajlt a memoriaban tartani - eleg csak a jelszot, vagy annak valami elkodolt valtozatat.

En pl. siman a jelszo base64(sha1) kodjat hasznalnam kodolo jelszonak.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Ez igaz.

Nezd, valahol meg kell huzni a hatart a kenyelem es a biztonsag kozott. Es abszolut biztonsag nincs, legfeljebb torekedni lehet ra.

Egyebkent egy memoria dumpban turkalni mar komolyabb szaktudast feltetelez, mint egy nem titkositott fajlbol jelszavakat olvasgatni. Marpedig ezek a TC-bol jelszot halaszo cuccok tobbsegeben ilyen script kiddie krealmanyok voltak, minimalis intelligenicaval felvertezve. Az tehat, hogy bevezettek a jelszovedelmet, egy jo lepes volt a biztonsag fele. Hogy tovabblep-e a fejleszto ezen az uton, az elsosorban a felhasznalokon mulik.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Semmivel sem nehezebb.
Annyira nehéz mint egy játékhoz trainert írni.
Egy Delhiben irt programhoz meg könnyebb is.
Mondom, apik vannak ra. Delhiben irt programhoz meg kb. kész toolok vannak ra 10 éve.
Inspectorok kilistazzak neked a változók es classok neveinek nagy részét, aztán azt ami kell neked kb 2 fv hivassal elered.
Memory dump szoba se kerül.
Ne eroltesd, olvass utána, ne fogalom nélkül okosits.

lolcsi. fogalmatlanul osztod az ezt :(

szerinted ha csak a hashelt jelszot tarolod, es a juzer be akar lepni majd valahova legkozelebb, akkor mit csinalsz?
ne mondd, hogy jelszot kersz, mert arrol beszeltunk, hogy mi van, ha csak 1x kered be (az elejen).

legyszi ne oszd az eszt olyanban, amivel csak magad jaratod le.

Ezt latod nem tudom, mert ritkan hasznalok TC-t. Arra emlekszem, hogy az elso jelszo mentesnel felnyom egy ablakot, hogy kellene master jelszo, es en allitottam be olyat. De az mar nem remlik, hogy ez az ablak cancelalhato volt-e vagy sem. Nezd el nekem, ez kb. egy eve volt.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( arth2o | 2013. 04. 13., szo – 08:50 )

Csak idő kérdése, mikor törlik a site-ot.
De azért okos, hogy a Robotoknak nem tol semmit.

arth2o: honlapkészítés

( obga v | 2013. 04. 14., v – 19:46 )

Látom feltámadt ez a topic...
Egy kis helyzetjelentés: pár nappal az észrevétel és visszaállítás után ismét megjelent a kód. Utána jelszóváltoztatás és a TC teljes mellőzése (WinSCP lett helyette) - ezek után kb. egy hónapja nincs ilyen probléma.
Jeleztük a szolgáltatónak, ők nem találtak semmilyen illegális behatolási kísérletet. Most itt tartunk.