[ Príspevkov: 5 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 18.11.06
Prihlásený: 15.04.20
Príspevky: 10
Témy: 6 | 6
NapísalOffline : 13.04.2020 8:42 | PHP Malware?

Ahojte, s kamarátom sme kúpili jeden system webu, neviem či to poznate SocialEngine. Je to len lokalny web pre velmi uzku skupinu kamaratov.
Tento system umožnuje dokupovanie pluginov, ktore sme aj kupily. Hosting mame na websupport. A tu nastal problem, teda neviem ci je to problem.
Hosting umoznuje Virus scan a ten poukazal na infiltracie na webe. Sú to presne tie instalovane doplnky co sme kupili, teda vsetky.
Tu je mala ukázka, je toho viac, v podstate v kazdom plugine co sa zakupil a obsahuje súbor Licencia:

/controllers/license/license1.php: {HEX}Malware.Expert.generic.malware.124.UNOFFICIAL FOUND

/controllers/license/license1.php: SecuriteInfo.com.JS.Obfus-1696.UNOFFICIAL FOUND

/controllers/Checklicense.php: {HEX}Malware.Expert.generic.eval.strrot13.gzinflate.strrot13.base64.decode.0.UNOFFICIAL FOUND

/controllers/license/request.php: {HEX}php.generic.malware.444.UNOFFICIAL FOUND

Predajca pluginov tvrdi že je to v poriadku a sú to falošné poplachy, ich vyjadrenie je takéto:

Naše doplnky majú kontrolu licencie na overenie, či inštalácia používa platný licenčný kľúč a nie je pirátskym produktom. Tieto súbory stačí na jeden server zavolať pomocou: licenčného kľúča, názvu modulu a adresy URL webových stránok.
Tieto súbory sú kódované tak, aby piráti nemohli obísť kontrolu licencie. Z dôvodu kódovania týchto súborov ich niektoré hostingové spoločnosti rozpoznajú ako škodlivé. Pokročilý softvér na detekciu škodlivého softvéru nezistí tieto súbory ako škodlivé. V minulosti naši klienti, ktorí čelia tomuto problému, požiadali svoju hostiteľskú spoločnosť o pridanie výnimky pre tieto licenčné súbory, aby neboli zistené ako škodlivé. Preto vám odporúčame požiadať svojho poskytovateľa hostingu, aby urobil to isté.

Keď som subory skontroloval cez VirusTotal nič nenašlo. Ked súbor otvorim je tam nieco takéto eval(str_rot13(gzinflate(str_rot13(base64_decode(kodovaný text) alebo nieco takéto <?php ${"\x47\x4c\x4f\x42A\x4c\x53"}["\x67cof\x70m"]="\x64b\x5f\x73\x65\x6cec\x7
Subory som cez net desifroval, nezdalo sa mi v tom kode nič podozrive, ale nikto z nas nie je programator aby to vedel posudit. Ak súbory odstránim, prestane fungovať plugin, na stranke inak nič podozrivé nevidno. Kazdy zakupeny plugin je na jednu domenu, dostanem licenčný kluč ktory musim zadat v programe a ten potom plugin odomkne.
Teraz preto nevieme čo s tým, či je to v poriadku, a je to pravda co tvrdi predajca, alebo je to umysel nieco skryt? Funguje to takto aj inde? Je to bezny postup?
Dakujem za nejake napady, názor


_________________
MBASUS P5B Deluxe 2xGb LAN, iP965, FireWire, RAID CPUINTEL Core 2 Duo E6300 - 1,86GHz,1066MHz, 2MB, S.775, Conroe RAM1GB DDR2-800MHz Kingston HyperX CL5 OPTIKADVDRW/ RAM LG GSA-H42N HDD400GB Seagate B-7200.10 SATAII/300 7200r VGAASUS EAX1950 CrossFire/HP 512MB DDR4 DVI HDTV FDDSONY MPF920 3,5" CASE CASE ATX CX2362 ZDROJ Fortron 500W/PFC/24PIN, EPS, FSP500-60GLC(PFC)
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
PHP Malware?

Registrovaný: 01.05.05
Príspevky: 13414
Témy: 1496 | 1496
Bydlisko: Bratislava
NapísalOffline : 13.04.2020 9:30 | PHP Malware?

v kode mas eval(str_rot13(gzinflate(str_rot13(base64_decode( viac asi ako odpoved nepotrebujes, ci azda ano? ci je infikovany tazko zistime, kedze nevieme co sa v nom presne nachadza, no virusskener vo ws to vyhodnotil ako podozrivy kus kodu a oznacil ze je infikovany, cize im napis nech tam daju vynimku alebo to ignoruj, viac ti asi tazko poradime bez danych suborov aby sme ich videli


_________________
Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 11 Enterprise | APC Back-UPS BE-850 VA | Lenovo ThinkPad X250 & Microsoft Windows 11 Professional | iPhone 15 Pro 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu 24.04.1 LTS
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 18.11.06
Prihlásený: 15.04.20
Príspevky: 10
Témy: 6 | 6
Napísal autor témyOffline : 13.04.2020 9:42 | PHP Malware?

Tu je aktualizovaná odpoved od predajcu:

V skutočnosti je tento problém známy na našom konci. Mnoho klientov to nahlásilo. Naše doplnky majú niektoré licenčné súbory v zakódovanej podobe, čo zaisťuje, že súbor doplnkov beží v registrovanej doméne a pre ktoré boli nakonfigurované licencie.

Vďaka ich zakódovanej forme s funkciami PHP ich implementované skenery zistili ako škodlivý softvér. Jediným riešením je, že môžete požiadať svojho hostiteľa, aby vykonal nižšie uvedené úlohy:

- Whitelist všetky licenčné súbory zo skenovania

Tieto licenčné súbory sú prítomné v každom doplnku a nájdete ich pod cestou:

<koreň dokumentu vášho webu> / application / moduly / NÁZOV MODULU / ovládače / licencia [license.php | license1.php atď.]

Pozrite sa na to pomocou svojho poskytovateľa hostingu a dajte nám vedieť svoju ďalšiu aktualizáciu, aby sme vám tu mohli pomôcť presnejšie.

Radia mi presne to iste ako ty, len som možno asi moc paranoidny...


_________________
MBASUS P5B Deluxe 2xGb LAN, iP965, FireWire, RAID CPUINTEL Core 2 Duo E6300 - 1,86GHz,1066MHz, 2MB, S.775, Conroe RAM1GB DDR2-800MHz Kingston HyperX CL5 OPTIKADVDRW/ RAM LG GSA-H42N HDD400GB Seagate B-7200.10 SATAII/300 7200r VGAASUS EAX1950 CrossFire/HP 512MB DDR4 DVI HDTV FDDSONY MPF920 3,5" CASE CASE ATX CX2362 ZDROJ Fortron 500W/PFC/24PIN, EPS, FSP500-60GLC(PFC)
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
PHP Malware?

Registrovaný: 01.05.05
Príspevky: 13414
Témy: 1496 | 1496
Bydlisko: Bratislava
NapísalOffline : 13.04.2020 10:52 | PHP Malware?

Ako som pisal vyssie eval(str_rot13(gzinflate(str_rot13(base64_decode( je podozriva cast kodu, nikto normalny v kode taketo kombinacie funkcii nepouziva, nema dovod, jedine co som videl ze podobne blbosti riesia tieto licencie, ci nejaky plateny kod. To je dovod indikacie, ze su subory infikovane, ci ale su skutocne tu nezistime, jedine asi ze by si sem dal cely kod ale inac tazko.


_________________
Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 11 Enterprise | APC Back-UPS BE-850 VA | Lenovo ThinkPad X250 & Microsoft Windows 11 Professional | iPhone 15 Pro 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu 24.04.1 LTS
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 18.11.06
Prihlásený: 15.04.20
Príspevky: 10
Témy: 6 | 6
Napísal autor témyOffline : 13.04.2020 18:27 | PHP Malware?

Problém bol vyriešený, jednalo sa o planý poplach. Bolo to preverené. Sú to všetko len kódované licencie ktoré nevytvárajú žiadny nebezpečný kód. Riešil som to cez websupport ako aj predajcami pluginov. Dôvod poplachu je to že je to kódované cez base64 a antivírus to automaticky vyhodnocuje ako vírus, pretože sa môže jednať o nebezpečný kód. Človek začne byť paranoidný, čo zase nie je na zahodenie.
Ďakujem aj JanoF na nasmerovanie, informavanie ma.
Možno to aspoň niekomu pomôže ak narazí na takýto problém ako postupovať.
Tému možno považovať za vyriešenú. Ďakujem


_________________
MBASUS P5B Deluxe 2xGb LAN, iP965, FireWire, RAID CPUINTEL Core 2 Duo E6300 - 1,86GHz,1066MHz, 2MB, S.775, Conroe RAM1GB DDR2-800MHz Kingston HyperX CL5 OPTIKADVDRW/ RAM LG GSA-H42N HDD400GB Seagate B-7200.10 SATAII/300 7200r VGAASUS EAX1950 CrossFire/HP 512MB DDR4 DVI HDTV FDDSONY MPF920 3,5" CASE CASE ATX CX2362 ZDROJ Fortron 500W/PFC/24PIN, EPS, FSP500-60GLC(PFC)
 [ Príspevkov: 5 ] 


PHP Malware?



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Malware

v Antivíry a antispywary

1

477

14.09.2014 10:17

tatko Tom

V tomto fóre nie sú ďalšie neprečítané témy.

Malware?

v Antivíry a antispywary

3

681

28.08.2018 16:40

tairikuokami

V tomto fóre nie sú ďalšie neprečítané témy.

Malware

v Antivíry a antispywary

2

893

12.06.2011 11:32

personal compuper

V tomto fóre nie sú ďalšie neprečítané témy.

Presmerovavaci malware

v Antivíry a antispywary

4

609

17.04.2015 12:34

M0f0

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie.

Malware cez zásuvku.

v Bezpečnosť a firewally

1

349

27.04.2020 18:23

michalesku

V tomto fóre nie sú ďalšie neprečítané témy.

Problem s malware

v Antivíry a antispywary

1

609

16.10.2008 21:15

uUsErR

V tomto fóre nie sú ďalšie neprečítané témy.

Malware anti-bytes

v Antivíry a antispywary

8

715

02.03.2013 10:00

expoox

V tomto fóre nie sú ďalšie neprečítané témy.

Malware a Spwyare

v Antivíry a antispywary

2

440

29.10.2014 18:28

pituch

V tomto fóre nie sú ďalšie neprečítané témy.

Ako zabranit malware?

v Antivíry a antispywary

13

1252

07.09.2008 16:08

rimmer-ova

V tomto fóre nie sú ďalšie neprečítané témy.

Udajny malware na facebook

v Sociálne siete

6

588

20.06.2013 13:23

Ominous

V tomto fóre nie sú ďalšie neprečítané témy.

Malware - zbavovanie v servise

v Antivíry a antispywary

3

462

30.11.2011 21:08

Rolando

V tomto fóre nie sú ďalšie neprečítané témy.

Malware alebo niečo iné?

v Antivíry a antispywary

10

342

31.01.2024 8:07

tatko Tom

V tomto fóre nie sú ďalšie neprečítané témy.

riziko malware na Linuxe

v Operačné systémy Unix a Linux

2

461

28.08.2018 11:30

Bia

V tomto fóre nie sú ďalšie neprečítané témy.

Ewido Anti-malware a DefenseWall

v Antivíry a antispywary

1

1193

23.01.2006 17:48

gen1us

V tomto fóre nie sú ďalšie neprečítané témy.

Log z Malwarebytes-Anti-Malware

v Antivíry a antispywary

3

648

19.01.2015 21:06

pituch

V tomto fóre nie sú ďalšie neprečítané témy.

Malware sa aktualizuje Windows Updatom

v Novinky

1

437

11.05.2007 15:23

eXistenZ



© 2005 - 2024 PCforum, edited by JanoF