Oldal Virus kezelése
Csak segítséget kértek a „nehéz” kliens egy pár nappal ezelőtt, amikor közeledik a helyszínen, a Kaspersky folyamatosan átkozta jelenlétében HEUR: Trojan.Script.Generic.
Oldal kezelése bonyolult volt változékonysága tünetek - Kaspersky átkozta a helyszínen szelektíven ismét az időben.
Virustotal.com néma ellenőrzésekor URL.
Amikor közelebbről megvizsgáljuk, a szerver volt makulátlan. Web shell hátsóajtó talált. A kliens PC-t is alaposan ellenőrizni a vírusok jelenlétét, mint Gumblar. Során egy biztonsági audit, azt találták, hogy a belépési pont egy javítatlan változat a motor, Shop-Script PREMIUM.
A biztonsági rés lezárták kiállított okos közvetlenül a könyvtár, hozzá külön .htaccess ahol végrehajtását php nem fordulhat elő elvileg.
Szintén WAF (Web Application Firewall) már bevetett kizsákmányolásának megakadályozása sérülékenységek amiről még nem tudom (nulla nap).
Ha felkeressük a fertőzött hely a felhasználót átirányítjuk a java script iframe egy adott helyre, majd a számítógép nélkül a felhasználó tudta rejtjelező vírus telepítve.
Tehát, a keresés terv fertőzés:
- Keresünk iframe-blokk végén a címlap - semmi.
- Keresünk minden a Web fájlok grep az aláírás «g_c0u_nter.cn» - semmi.
- Keresünk az aláírás «iframe» az összes fájl, beleértve a .php és Js - semmi.
Mi lehet ez? ...
Legvalószínűbb a fenti domain név ( «g_c0u_nter.cn»), valamint a «iframe» rögzített kiszolgáló eltorzítva (titkosított) formában. Csepegés egy kicsit mélyebbre a feltételezés megerősítést nyert ...
Ellenőrzés fájlok betétek «base64_decode» (base64_decode egy PHP függvény, amely dekódolja az adatokat előre kódolt módon base64; nagyon gyakori vírus használja ezt a funkciót, hogy elrejtse a kódot), azt találtuk, amit kerestünk.
### példa a keresést a Linux parancssori
cd / var / www / your_site_dir
grep -R «base64_decode» *
###
Kód, amely dinamikusan generálja az átmenet g_c0u_nter.cn találták benne core_functions / aux_pages_functions.php forgatókönyvet, és így nézett ki:
Ezen kívül base64_decode, hogy elrejtse a kódot, vírusírók is szeretném használni a következő funkciókat: gzinflate és gzuncompress.
