Pokaż wyniki 1 do 9 z 9

Temat: JS:Redirector-H4 - dziwny Koń trojański na stronie

  1. #1
    Zarejestrowany
    May 2009
    Postów
    6

    Domyślnie JS:Redirector-H4 - dziwny Koń trojański na stronie

    Gdy wchodzę na strone www.bismusic.pl (oscommerce), Avast zgłasza obecność wirusa.

    JS:Redirector-H4 [Trj]
    Koń trojański
    090519-0, 2009-05-19

    Zgrałem wszystkie pliki skryptu na hdd komputera. Po przeskanowaniu tych plików na kompie, Avast nie znajduje żadnego trojana.
    Wykasowałem zapamiętane hasła w Filezilla. Zmieniłem hasło do ftp. Wgrałem ponownie pliki na serwer. Niestety Avast nadal wykrywa tego samego trojana.
    Zgłupiałem dokumentnie.
    Jest na tym forum ktoś, kto mógłby pomóc rozwiązać ten problem?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cos dokleilo Ci sie do strony... nie do plikow ale raczej do bazy i wstawilo sobie swoj kod Javascript - tak sugeruje nazwa tego smiecia.
    Nie szukaj w plikach ale w bazie danych i zaktualizuj software...

    Niestety zmartwie Cie... google juz to zauwazylo i jestes na cenzurowanym - kazdy user dostanie informacje ze strona hostuje malware. Sweet!


    ... do tego jako potwierdzenie ze malware masz - byc moze w bazie danych (via SQL injection) i ze cos dzieje sie z serwerem - wejscie na strone daje takie cos:


    Oczywiscie to moze byc spowodowane jakims innym bledem... a powiem Ci na 100% ze malware w JS masz na glownej stronie zaraz za koncem sekcji HEAD. Sprawdz pliki z szablonami - kod mozna latwo rozlozyc na czesci pierwsze. Musze jeszcze cos zrobic i jesli nie zasne to podam zaraz co on robi.

    UPDATE 1:
    Pierwszy skrypt jest bardzo prosty - Sprawdza sobie pare rzeczy, na przyklad dziala tylko pod Windows, nie dziala w przegladarce Chrome ani jesli cookie na tej stronie zawiera "miek=1". Gdy wszystkie warunki sa spelnione, zasysa dalszy ciag malware z Chinskiej domeny, przekazujac parametry jaki to system masz, przegladarke itd... wiec atakuje specyfine dziury w konkretnych przegladarkach. To co masz na swojej stronie to tylko loader wlasciwego exploita w JS... ktory pewnie dalej cos nastepne sciagnie.

    Niestety Chinski serwer na razie milczy, nie udalo mi sie zassac drugiej czesci kodu wiec na razie tyle analizy :-/
    Ostatnio edytowane przez TQM : 05-21-2009 - 00:46
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    May 2009
    Postów
    6

    Domyślnie

    Zwykle kod trojana wkleja się w index.php lub login.php pomiędzy </head> i
    <body> lub na końcu kodu. Niestety nie w tym przypadku. Porównywałem - oba pliki są identyczne z oryginałami.

    A w bazie jakiej frazy szukać, żeby namierzyć to badziewie?

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    To nie bedzie index ani nic takie. O ile pamietam to oscommerce uzywa szablonow a index.php to loader, ktory wczytuje dane, parsuje szablon i wywala do przegladarki.

    BTW. Zobacz update powyzej...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    May 2009
    Postów
    6

    Domyślnie

    Niestety Chinski serwer na razie milczy, nie udalo mi sie zassac drugiej czesci kodu wiec na razie tyle analizy :-/[/QUOTE]

    Czy to nie USUNIETO.cn ?
    Ostatnio edytowane przez TQM : 05-21-2009 - 01:02

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Tak - prosze nie podawaj takich adresow na forum. Nie chcemy aby script-kiddies ktorzy nie rozumieja co robia mieli wiecej zabawek

    Mam nadzieje ze strona wstanie bo chce sie dalej pobawic po prostu testuje moj nowy lab :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    May 2009
    Postów
    6

    Domyślnie

    Znalazłem kod tego trojana wklejony w configure.php. Oczywiście wywaliłem go już.

    Tak przy okazji, prawa dostępu zmienił mi na 644. Teraz ustawiłem na 440.
    Ostatnio edytowane przez kosycarz : 05-21-2009 - 02:04

  8. #8
    Zarejestrowany
    May 2009
    Postów
    6

    Domyślnie

    [QUOTE=TQM;41486]Tak - prosze nie podawaj takich adresow na forum. Nie chcemy aby script-kiddies ktorzy nie rozumieja co robia mieli wiecej zabawek
    --------
    OK n/p
    Ostatnio edytowane przez kosycarz : 05-21-2009 - 02:30

  9. #9
    Zarejestrowany
    May 2009
    Postów
    6

    Domyślnie

    Wygląda na to, że już jest OK. Wygląda na to, że siedział badziew w config'u.

    Wielkie dzięki za pomoc.

Podobne wątki

  1. Dziwny trojan (?)
    By curiousxgirl in forum Wirusy/Konie trojańskie
    Odpowiedzi: 6
    Autor: 02-04-2009, 22:19
  2. Jportal2 dziwny plik
    By d3q in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 6
    Autor: 06-09-2008, 23:16
  3. ukryty koń, brak mozliwośc wgrania passtool
    By pączek in forum Odzyskiwanie haseł
    Odpowiedzi: 8
    Autor: 03-13-2008, 11:04
  4. dziwny komunikat
    By dj_kuki in forum Windows
    Odpowiedzi: 7
    Autor: 10-06-2007, 23:50
  5. Dziwny plik textowy
    By neon18 in forum Wirusy/Konie trojańskie
    Odpowiedzi: 2
    Autor: 12-01-2006, 17:16

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj