Obsah fóra
PravidláRegistrovaťPrihlásenie




Odpovedať na tému [ Príspevkov: 5 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 18.11.06
Prihlásený: 15.04.20
Príspevky: 10
Témy: 6
Príspevok NapísalOffline : 13.04.2020 8:42

Ahojte, s kamarátom sme kúpili jeden system webu, neviem či to poznate SocialEngine. Je to len lokalny web pre velmi uzku skupinu kamaratov.
Tento system umožnuje dokupovanie pluginov, ktore sme aj kupily. Hosting mame na websupport. A tu nastal problem, teda neviem ci je to problem.
Hosting umoznuje Virus scan a ten poukazal na infiltracie na webe. Sú to presne tie instalovane doplnky co sme kupili, teda vsetky.
Tu je mala ukázka, je toho viac, v podstate v kazdom plugine co sa zakupil a obsahuje súbor Licencia:

/controllers/license/license1.php: {HEX}Malware.Expert.generic.malware.124.UNOFFICIAL FOUND

/controllers/license/license1.php: SecuriteInfo.com.JS.Obfus-1696.UNOFFICIAL FOUND

/controllers/Checklicense.php: {HEX}Malware.Expert.generic.eval.strrot13.gzinflate.strrot13.base64.decode.0.UNOFFICIAL FOUND

/controllers/license/request.php: {HEX}php.generic.malware.444.UNOFFICIAL FOUND

Predajca pluginov tvrdi že je to v poriadku a sú to falošné poplachy, ich vyjadrenie je takéto:

Naše doplnky majú kontrolu licencie na overenie, či inštalácia používa platný licenčný kľúč a nie je pirátskym produktom. Tieto súbory stačí na jeden server zavolať pomocou: licenčného kľúča, názvu modulu a adresy URL webových stránok.
Tieto súbory sú kódované tak, aby piráti nemohli obísť kontrolu licencie. Z dôvodu kódovania týchto súborov ich niektoré hostingové spoločnosti rozpoznajú ako škodlivé. Pokročilý softvér na detekciu škodlivého softvéru nezistí tieto súbory ako škodlivé. V minulosti naši klienti, ktorí čelia tomuto problému, požiadali svoju hostiteľskú spoločnosť o pridanie výnimky pre tieto licenčné súbory, aby neboli zistené ako škodlivé. Preto vám odporúčame požiadať svojho poskytovateľa hostingu, aby urobil to isté.

Keď som subory skontroloval cez VirusTotal nič nenašlo. Ked súbor otvorim je tam nieco takéto eval(str_rot13(gzinflate(str_rot13(base64_decode(kodovaný text) alebo nieco takéto <?php ${"\x47\x4c\x4f\x42A\x4c\x53"}["\x67cof\x70m"]="\x64b\x5f\x73\x65\x6cec\x7
Subory som cez net desifroval, nezdalo sa mi v tom kode nič podozrive, ale nikto z nas nie je programator aby to vedel posudit. Ak súbory odstránim, prestane fungovať plugin, na stranke inak nič podozrivé nevidno. Kazdy zakupeny plugin je na jednu domenu, dostanem licenčný kluč ktory musim zadat v programe a ten potom plugin odomkne.
Teraz preto nevieme čo s tým, či je to v poriadku, a je to pravda co tvrdi predajca, alebo je to umysel nieco skryt? Funguje to takto aj inde? Je to bezny postup?
Dakujem za nejake napady, názor







_________________
MBASUS P5B Deluxe 2xGb LAN, iP965, FireWire, RAID CPUINTEL Core 2 Duo E6300 - 1,86GHz,1066MHz, 2MB, S.775, Conroe RAM1GB DDR2-800MHz Kingston HyperX CL5 OPTIKADVDRW/ RAM LG GSA-H42N HDD400GB Seagate B-7200.10 SATAII/300 7200r VGAASUS EAX1950 CrossFire/HP 512MB DDR4 DVI HDTV FDDSONY MPF920 3,5" CASE CASE ATX CX2362 ZDROJ Fortron 500W/PFC/24PIN, EPS, FSP500-60GLC(PFC)
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
PHP Malware?

Registrovaný: 01.05.05
Príspevky: 13343
Témy: 1494
Bydlisko: Bratislava
Príspevok NapísalOffline : 13.04.2020 9:30

v kode mas eval(str_rot13(gzinflate(str_rot13(base64_decode( viac asi ako odpoved nepotrebujes, ci azda ano? ci je infikovany tazko zistime, kedze nevieme co sa v nom presne nachadza, no virusskener vo ws to vyhodnotil ako podozrivy kus kodu a oznacil ze je infikovany, cize im napis nech tam daju vynimku alebo to ignoruj, viac ti asi tazko poradime bez danych suborov aby sme ich videli







_________________
Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 18.11.06
Prihlásený: 15.04.20
Príspevky: 10
Témy: 6
Príspevok Napísal autor témyOffline : 13.04.2020 9:42

Tu je aktualizovaná odpoved od predajcu:

V skutočnosti je tento problém známy na našom konci. Mnoho klientov to nahlásilo. Naše doplnky majú niektoré licenčné súbory v zakódovanej podobe, čo zaisťuje, že súbor doplnkov beží v registrovanej doméne a pre ktoré boli nakonfigurované licencie.

Vďaka ich zakódovanej forme s funkciami PHP ich implementované skenery zistili ako škodlivý softvér. Jediným riešením je, že môžete požiadať svojho hostiteľa, aby vykonal nižšie uvedené úlohy:

- Whitelist všetky licenčné súbory zo skenovania

Tieto licenčné súbory sú prítomné v každom doplnku a nájdete ich pod cestou:

<koreň dokumentu vášho webu> / application / moduly / NÁZOV MODULU / ovládače / licencia [license.php | license1.php atď.]

Pozrite sa na to pomocou svojho poskytovateľa hostingu a dajte nám vedieť svoju ďalšiu aktualizáciu, aby sme vám tu mohli pomôcť presnejšie.

Radia mi presne to iste ako ty, len som možno asi moc paranoidny...







_________________
MBASUS P5B Deluxe 2xGb LAN, iP965, FireWire, RAID CPUINTEL Core 2 Duo E6300 - 1,86GHz,1066MHz, 2MB, S.775, Conroe RAM1GB DDR2-800MHz Kingston HyperX CL5 OPTIKADVDRW/ RAM LG GSA-H42N HDD400GB Seagate B-7200.10 SATAII/300 7200r VGAASUS EAX1950 CrossFire/HP 512MB DDR4 DVI HDTV FDDSONY MPF920 3,5" CASE CASE ATX CX2362 ZDROJ Fortron 500W/PFC/24PIN, EPS, FSP500-60GLC(PFC)
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
PHP Malware?

Registrovaný: 01.05.05
Príspevky: 13343
Témy: 1494
Bydlisko: Bratislava
Príspevok NapísalOffline : 13.04.2020 10:52

Ako som pisal vyssie eval(str_rot13(gzinflate(str_rot13(base64_decode( je podozriva cast kodu, nikto normalny v kode taketo kombinacie funkcii nepouziva, nema dovod, jedine co som videl ze podobne blbosti riesia tieto licencie, ci nejaky plateny kod. To je dovod indikacie, ze su subory infikovane, ci ale su skutocne tu nezistime, jedine asi ze by si sem dal cely kod ale inac tazko.







_________________
Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 18.11.06
Prihlásený: 15.04.20
Príspevky: 10
Témy: 6
Príspevok Napísal autor témyOffline : 13.04.2020 18:27

Problém bol vyriešený, jednalo sa o planý poplach. Bolo to preverené. Sú to všetko len kódované licencie ktoré nevytvárajú žiadny nebezpečný kód. Riešil som to cez websupport ako aj predajcami pluginov. Dôvod poplachu je to že je to kódované cez base64 a antivírus to automaticky vyhodnocuje ako vírus, pretože sa môže jednať o nebezpečný kód. Človek začne byť paranoidný, čo zase nie je na zahodenie.
Ďakujem aj JanoF na nasmerovanie, informavanie ma.
Možno to aspoň niekomu pomôže ak narazí na takýto problém ako postupovať.
Tému možno považovať za vyriešenú. Ďakujem







_________________
MBASUS P5B Deluxe 2xGb LAN, iP965, FireWire, RAID CPUINTEL Core 2 Duo E6300 - 1,86GHz,1066MHz, 2MB, S.775, Conroe RAM1GB DDR2-800MHz Kingston HyperX CL5 OPTIKADVDRW/ RAM LG GSA-H42N HDD400GB Seagate B-7200.10 SATAII/300 7200r VGAASUS EAX1950 CrossFire/HP 512MB DDR4 DVI HDTV FDDSONY MPF920 3,5" CASE CASE ATX CX2362 ZDROJ Fortron 500W/PFC/24PIN, EPS, FSP500-60GLC(PFC)
Odpovedať na tému [ Príspevkov: 5 ] 


Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy. Malware

v Antivíry a antispywary

1

436

14.09.2014 10:17

tatko Tom Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Malware

v Antivíry a antispywary

2

818

12.06.2011 11:32

personal compuper Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Malware?

v Antivíry a antispywary

3

585

28.08.2018 16:40

tairikuokami Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Presmerovavaci malware

v Antivíry a antispywary

4

570

17.04.2015 12:34

M0f0 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Problem s malware

v Antivíry a antispywary

1

584

16.10.2008 21:15

uUsErR Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Malware anti-bytes

v Antivíry a antispywary

8

679

02.03.2013 10:00

expoox Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Malware a Spwyare

v Antivíry a antispywary

2

404

29.10.2014 18:28

pituch Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Ako zabranit malware?

v Antivíry a antispywary

13

1205

07.09.2008 16:08

rimmer-ova Zobrazenie posledných príspevkov

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie. Malware cez zásuvku.

v Bezpečnosť a firewally

1

314

27.04.2020 18:23

michalesku Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Udajny malware na facebook

v Sociálne siete

6

551

20.06.2013 13:23

Ominous Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. riziko malware na Linuxe

v Operačné systémy Unix a Linux

2

418

28.08.2018 11:30

Bia Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Malware - zbavovanie v servise

v Antivíry a antispywary

3

426

30.11.2011 21:08

Rolando Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Malware alebo niečo iné?

v Antivíry a antispywary

10

239

31.01.2024 8:07

tatko Tom Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Ewido Anti-malware a DefenseWall

v Antivíry a antispywary

1

1149

23.01.2006 17:48

gen1us Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Log z Malwarebytes-Anti-Malware

v Antivíry a antispywary

3

564

19.01.2015 21:06

pituch Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Malware sa aktualizuje Windows Updatom

v Novinky

1

403

11.05.2007 15:23

eXistenZ Zobrazenie posledných príspevkov


Nemôžete zakladať nové témy v tomto fóre
Nemôžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre

Skočiť na:  

Powered by phpBB Jarvis © 2005 - 2024 PCforum, webhosting by WebSupport, secured by GeoTrust, edited by JanoF
Ako väčšina webových stránok aj my používame cookies. Zotrvaním na webovej stránke súhlasíte, že ich môžeme používať.
Všeobecné podmienky, spracovanie osobných údajov a pravidlá fóra