Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

HTML+CSS+JavaScript

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: К html файлам после тега </html> добавляется код на VBScript. Почему?
 
 автор: SilentChild   (17.08.2012 в 18:34)   письмо автору
20.7 Кб
 
 

Прикреплён файл. Там показан описанный в заголовке темы случай.

Если это как-то сможет помочь выяснению вопроса: код написан в Zend Studio.

  Ответить  
 
 автор: confirm   (17.08.2012 в 18:59)   письмо автору
 
   для: SilentChild   (17.08.2012 в 18:34)
 

Потому, что пакостник на сервере вашем завелся.

  Ответить  
 
 автор: SilentChild   (17.08.2012 в 19:17)   письмо автору
 
   для: confirm   (17.08.2012 в 18:59)
 

Есть какое-нибудь средство против него? Он что вообще такое делает? Размер файла пытается увеличивать за счёт своих действий или что-то пожёстче?

  Ответить  
 
 автор: confirm   (17.08.2012 в 19:32)   письмо автору
 
   для: SilentChild   (17.08.2012 в 19:17)
 

Любой VB скрипт на вашей странице, это уже плохо, даже если он ничего не пишет вам, но украсть у вас может столько!
Данный скрипт записывает в специальную папку системы (под индексом 2, это вроде бы папка AllUsersPrograms) файл, который содержит бинарные данные (это .mzp файл), а в последствии его запускает. Не знаю, что творит этот файл, но думаю, что для вас ничего хорошего.

Средство - смените пароль доступа по FTP к серверу, в первую очередь, и проверьте свой сайт на наличие залитого шелла.

  Ответить  
 
 автор: SilentChild   (17.08.2012 в 22:09)   письмо автору
 
   для: confirm   (17.08.2012 в 19:32)
 

С данной темой ВООБЩЕ никогда не сталкивался. Чувствую как почва из под ног уходит.

"Господь - пастырь мой... и т.д." - крутится в моей голове - "... что же делать!?" [Схватившись за голову нервно ходит по комнате туда-сюда.]

Как я понял - изначально эта зараза попадает с моего компьютера на сервер по FTP каналу, так?

Т.е., сменю я пароль и эта зараза опять украдёт его при первом же соединении с сервером по FTP каналу или не так?

  Ответить  
 
 автор: confirm   (17.08.2012 в 22:14)   письмо автору
 
   для: SilentChild   (17.08.2012 в 22:09)
 

Нет. Эта зараза может попасть на сервер двумя путями - украден ваш FTP-пароль (это с компьютера вашего), или через дыру в ваших скриптах залили shell на сервер.
В первом случае ищите жуков на своем компьютере, иначе смена пароля, это временная пломба, а во втором случае ищите дыры в своих скриптах.

PS. Кстати, забыл сказать - посмотрите внимательно, под каким именем сохраняется этот файл, что его имя вам говорит?

  Ответить  
 
 автор: SilentChild   (17.08.2012 в 22:26)   письмо автору
 
   для: confirm   (17.08.2012 в 22:14)
 

> Данный скрипт записывает в специальную папку системы (под индексом 2, это вроде бы папка AllUsersPrograms) файл, который содержит бинарные данные (это .mzp файл)

Вы про этот файл?

Если да, то где искать данную специальную папку системы? All Users в Documents and Settings есть, но All Users Programms нигде не могу найти.

Поиск файлов по расширению *.mzp тоже ничего не выдаёт.

Дело может быть в том, что я не запускал эти заражённые HTML -файлы. Поэтому, вероятно, нет нигде файла с mzp - расширением. Я обнаруживал скрипт в файлах при открытии их исходного кода. Удалял его и всё. Но потом он откуда-то снова брался. Не знаю, что инициирует его появление. Возможно всё таки что-то вредоносное на сервере лежит. Хотя там файлов ... раз два и обчёлся. Где этот shell там можно спрятать? Ума не приложу.

  Ответить  
 
 автор: confirm   (17.08.2012 в 22:42)   письмо автору
 
   для: SilentChild   (17.08.2012 в 22:26)
 

MZP - это в заголовке файла скрипт пишет, а сам файл сохраняется под именем svchost.exe.

Ну если этот html, фрагмент которого вы представили, это ваш файл с вашего сервера, то конечно эта зараза клеится на нем, в любом случае вы должны тщательно проверить свой сервер. shell можно спрятать где угодно, но лучшее место, которое он любит, это выше уровня корня документов.

Заразу svchost.exe ищите вне system каталоге. Проверьте на вирус файлы.

  Ответить  
 
 автор: SilentChild   (18.08.2012 в 20:03)   письмо автору
 
   для: confirm   (17.08.2012 в 22:42)
 

Антивирусник определяет как заражённые и чистит на компьютере все файлы с расширением .html, похоже зараза прилипла абсолютно ко всем html-файлам.

Нашлись два файла svchost.exe:
- c:\Documents and Settings\Администратор\Local Settings\Temp\svchost.exe (108 КБ)
- c:\WINDOWS\system32\svchost.exe (14 КБ)

После работы антивируса файл - c:\Documents and Settings\Администратор\Local Settings\Temp\svchost.exe (108 КБ) иcпарился.

Если я полностью удалю сайт и снова его закачаю на сервер - это чем-то поможет? Ведь, как Вы говорите, shell любит маскироваться выше корня, но выше корня только два файла - папка public_html, в которую предлагают разместить сайт и файл .bash_history. Выше я забраться не могу. .bush_history - пуст. Всё-таки думаю, что зараза с компьютера. Сайт маленький и сомневаюсь, что кто-то стал бы его специально ломать.

Думаю переустановить систему. Стереть сайт с хостинга. Заново туда его загрузить и сменить пароль от FTP.

  Ответить  
 
 автор: confirm   (18.08.2012 в 21:23)   письмо автору
 
   для: SilentChild   (18.08.2012 в 20:03)
 

Давайте сначала уточним: "похоже зараза прилипла абсолютно ко всем html-файлам" - ко всем, которые вы получили со своего сайта, или ко всем на имеющимся на компьютере?

Стратегия ведь какая - зараженный источник (сайт) будет заражать всех ваших пользователей. Плодить себя уже на машине пользователя, это тоже может быть частью стратегии, как защита от удаления, но слабая. То есть, вы должны выявить источник заражения.

Что у вас за хостер такой, что вы по FTP практически ничего не видите? Структура виртуального сервера гораздо сложнее, обычно, это не две папки.

Почему выше корня документов удобно? Потому, что вряд ли вам трудно будет по имени файлов своих документов вычислить "подкидыша", а подцеплять заразу к вашим файлам (на выходе) лучше всего вмешавшись в конфигурацию вашего сервера. Это удобно, так как "автоматом" все будет работать.

Но есть и другой путь - дыры в ваших скриптах, это вы должны проверить обязательно, не зависимо от того, что вы предполагаете ("Всё-таки думаю, что зараза с компьютера"), и какие действия хотите предпринять ("Думаю переустановить систему. Стереть сайт с хостинга. Заново туда его загрузить..."). Если у вас есть такие дыры, и они останутся, значит ваши действия могут быть напрасны.

Давно, давно, когда я только "распробовал" веб-программирование, и не так многого еще успел познать, попросил меня знакомый написать ему сайт, простой. Ему действительно нужна была простота, и обязательно гостевая книга. Я написал основное, а гостевую взял готовую, могу и ошибиться, но вроде бы это был скрипт от manlix.

Спустя время знакомый обратился ко мне, сказав, что он получает странную почту. Прочел я. В письмах, некто писал, что в гостевой книге есть приличная дыра сквозь которую он закачал на сервер shell. Он предлагал: со времени ответа на его письмо он включает счетчик, и, если мы не обнаружим этот shell, а также дыру, в течении недели, то он в вправе поступить с этим сайтом по своему усмотрению. К письмам прикладывались "слепки" с сервера, которые, понятно, сугубо конфиденциальные.

Хост, на котором "пасся" знакомый, имел сервис неплохой, как то резервирование баз данных, слежение за папками документов и т.п. В одной из папок сервиса я и обнаружил странный скрипт. Странный потому, что он не вписывался по своим действиям в общую картину действий скриптов его окружающих. Написан был на Perl, о которого я не имел тогда представления богатого. Пришлось "открывать перловку", чесать репу. Обратился в техподдержку с просьбой предоставить список структуры папок/файлов сервиса, включая список временных файлов, которые могут создаваться.

Вот так и вычислил, и понял механизм просачивания через дыру, которую конечно же нашел, и что надо было сделать сразу, беря чужое. Можно было бы в техподдержку просто обратиться и вполне решить проблему, но это был мне хороший урок не только для познания, но и понимания того, что даже себя надо всегда проверять тщательно. Не поняв источник проблемы лечить болезнь бесполезно, это только временные улучшения будут, а в итоге пациент все равно умрет.

PS. После того как мы ответили "хацкеру", он написал, типа, что же вы ребята так пофигистки относитесь к безопасности, скажите спасибо, что не сделал плохого, а мог бы, интереса к сайту вашему нет, решил просто предупредить.

  Ответить  
 
 автор: SilentChild   (19.08.2012 в 21:53)   письмо автору
23.8 Кб
 
   для: confirm   (18.08.2012 в 21:23)
 

Зараза прилипла именно ко всем HTML-файлам на моём ПК. Прилипла к HTML-файлам, никак не связанным с моим сайтом. Антивирус целые сутки только и делает, что выдаёт мне сообщения, что очередной файл с расширением .html, .htm и т.д., очищен и изолирован. Будь то файл на диске С или файл на диске D, если он имеет расширение .html, .htm и т.д. у него обязательно появляется код на VBScript в конце, после тега </html>. Теперь, просматривая код любого HTML-файла, я не обнаруживаю VBScript`a, т.к. антивирус его успевает удалить перед моим просмотром, видимо.

Хостер: cp.timeweb.ru
Может я не имею ещё достаточных знаний для общения с хостером по FTP, поэтому объясню как я это делаю:
- Через Total Commander устанавливаю соединение с сервером.
- Вижу два файла (папку public_html и файл .bash_history).
Перейти на папку выше отсюда (см. прикреплённый файл) я уже не могу. Не пускают.
Через панель управления тоже заходил на хостинг. Заходил в раздел "файловый менеджер" в личном кабинете хостинга и видел ту же картину, что и в Total Commandere, а именно: одну единственную папку public_html и всё, без второго файла. Выше на одну папку я там тоже выйти не смог.

Xотелось бы уточнить на счёт проверки файлов сайта на вредителя (предположим, что shell кроется именно в них, а не папкой выше), с чего начать?

Я вот просмотрел файлы, благо их там раз-два и обчёлся, и не выявил ничего лишнего в моей структуре папок и файлов. Структура в порядке, значит скрипт может быть замаскирован, предположим, под картинку с именем, которое я сам ей дал. Значит мне надо смотреть .htaccess в корне сайта и проверять директиву, которая указывает PHP-обработчику расширения файлов, которые нужно обрабатывать как скрипт. Т.е. искать в этой директиве добавленные расширения. Такие как, например, .gif, .jpg. Ведь так?

  Ответить  
 
 автор: confirm   (19.08.2012 в 22:32)   письмо автору
 
   для: SilentChild   (19.08.2012 в 21:53)
 

Запустить VB-скрипт можно из под браузера, другими командами оболочки, или как отдельный исполняемый файл с расширением .vbs. Если открывать такие файлы в любом текстовом редакторе, то исполняться такой скрипт не будет, то есть, если вам надо просмотреть исходный код html, открывайте файлы Блокнотом.

Каким FTP-менеджером вы просматриваете каталоги не важно. Можно и на хосте узнать, что вам доступно выше уровня корня документов, может так и есть, то что есть и все, а может...

Если заражены только сторонние файлы, то по идее, заражение не с вашего сервера. Ну а если искать, на сервере, то не обязательно маскировка под картинку, да и картинку не обязательно объявлять исполняемой. К примеру картинка может иметь только некий блок данных, а использовать его будет хозяин-червь. А можно и подчистить в картинке такие символы как %, в конец дописать php код, и подключить (include) картинку.

Shell на сервере может быть и исполняемым файлом, а не скриптом. А залить его можно на сервер не обязательно воруя ваши пароли к FTP. Ну вот пример простой. Поищите в разделе РНР форума темы, где спрашивают как запустить такую-то то строку как код, в общем любителей evalить.

Есть там тема где описано выражение похожее на из "умного калькулятора". Хорошо, если эта строка плод автора скрипта этого, но если я увижу, что такое можно ввести в форме? Ну а почему бы не предположить, что есть любители, которые или имеют слабое представление о возможных последствиях, либо вообще об этом не думают? Остается только проверить предположение, что сделать совсем просто. А если прокатит, что мне мешает написать строку, которая выполнит загрузку скрипта уже с моего сайта на такой горе сайт? Да ничего. Загрузим и проверим "пациента", и если у него разрешено исполнение внешних команд, функций потенциально опасных, то это вообще лайф полный. Останется только обеспечить себя правами, взять под контроль сервер, и начинать бурную деятельность.

Вам для начала нужно вылечить свой компьютер, а сделать это лучше из под DOS или внешней оболочки. В сети много написано по этому вопросу, есть и на сайте Касперского типа инструкций лечения от того или иного вируса. Зайдите и почитайте. Вылечите комп, а уж потом будет видно, так как по вашим словам, сервера вашего эта проблема вроде бы не затрагивает.

  Ответить  
 
 автор: SilentChild   (19.08.2012 в 22:56)   письмо автору
 
   для: confirm   (19.08.2012 в 22:32)
 

Да, вероятно так и поступлю! Огромная Вам благодарность за уделённое мне время!

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования