Форум русской поддержки Joomla!® CMS
11.12.2016, 17:56:49 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Рассылка спама

 (Прочитано 1107 раз)
0 Пользователей и 1 Гость смотрят эту тему.
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« : 30.07.2015, 12:08:38 »

Почти уже как месяц меня зае достает вирус, который рассылает спам.

Joomla и компоненты: вареза нет, Joomla последняя версия 3.4.3 (каждый файлик перезаливал), из компонентов юнайт слайдер, виджеткит и парочка других, все компоненты самых последних версий, шаблон клубный на Т3, не варез
Айболитом сканировал - фиксил, каждый файл на глаз проверял, и даже сканил файлы на предмет ключевого слова "base64", использовал RSфаерволл, логи чистые. ftp, и все доступы надежные

Практически каждый день в разное время начинается рассылка спама из разных файлов (файлы левые, маскированные под системные)! Получаю ошибки с сервера на почту, захожу в логи, вижу единственный POST запрос например такой: libraries/legacy/simplecrypt/javascript.php 200. Иду и удаляю этот файл, на следующий день такая же шляпа, но с другого файла.

UPD. Короче. те файлы, которые рассылают спам я вижу через логи писем и асеслоги, но понять откуда бедутся эти файлы - главная задача

Поделитесь пожалуйста мыслями, спасибо)

Скрин зловреда:
Показать текстовый блок
« Последнее редактирование: 30.07.2015, 13:57:25 от antony2606 » Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #1 : 30.07.2015, 12:31:20 »

Цитировать
сканил файлы на предмет ключевого слова "base64"

пример спамового сообщения есть?
Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #2 : 30.07.2015, 12:38:19 »

пример спамового сообщения есть?

Показать текстовый блок
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #3 : 30.07.2015, 13:12:38 »

свойства этого сообщения есть? Например:
Показать текстовый блок

Чтобы попытаться понять, какие строки искать.

Пройдитесь поиском прямо по 'mail'. Я не думаю, что эту строку закодировали.

Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #4 : 30.07.2015, 13:16:18 »

свойства этого сообщения есть? Например:
Показать текстовый блок

Чтобы попытаться понять, какие строки искать.

Пройдитесь поиском прямо по 'mail'. Я не думаю, что эту строку закодировали.




А что собственно искать? У меня стоит логирование писем, я вижу какой скрипт выполняет рассылку, а толку-то ??
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #5 : 30.07.2015, 13:30:58 »

Цитировать
я вижу какой скрипт выполняет рассылку

Можно его посмотреть?

Я к чему разговор веду - что php использует функцию mail для отправки почты. вы же не владелец сервера с полным контролем над ним. поэтому надо искать выходы. не надо айболита. на сервере вы легко можете найти любые строки, используя команды OS, если хостер вам дал доступ к ним.
« Последнее редактирование: 30.07.2015, 13:39:05 от capricorn » Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #6 : 30.07.2015, 13:50:45 »

сам файл на Яндекс.Диск

скриншот
Показать текстовый блок
« Последнее редактирование: 30.07.2015, 13:56:45 от antony2606 » Записан
ChaosHead
Профи
********

Репутация: +382/-10
Offline Offline

Пол: Мужской
Сообщений: 4398



« Ответ #7 : 30.07.2015, 14:01:05 »

Компьютер почистите от вирусов и смените пароль от FTP и админки, затем уже чистите на хосте.
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #8 : 30.07.2015, 14:04:16 »

Шикарный WSO. Сайт один на хостинге?
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #9 : 30.07.2015, 14:09:07 »

Мой антивирус не дает его скачать - файл заражен. нечто типа PHP.Packed.11.
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #10 : 30.07.2015, 14:15:29 »

Для целей исследования, ТС, сохраните скрипт в txt формате.
javascript.php - это конечно весело. но неуместно.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #11 : 30.07.2015, 14:17:35 »

Знакомый скриптик, может автоматически создаваться при необходимости спама, по этому вы его и видите, а см шел или скрипт генерации нет, в каком режиме айболитом сканировали? попробуйте обновить до последней версии и про сканировать в режиме параноика, также проидитесь сканированием по дате создания и изменения файлов, ну и раз можно обратиться к скриптам на прямую из веба к примеру domain.ru/libraries/legacy/simplecrypt/javascript.php значит у вас папки не закрыты, необходимо их закрыть и на админку поставить бейсик авторизацию.
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #12 : 30.07.2015, 14:22:52 »

Цитировать
Шикарный WSO

@wishlight,

в чем смысл php скриптов (т.н. айболитов) по поиску подозрительных строк? аналоги в буржунете есть?
Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #13 : 30.07.2015, 14:25:00 »

Компьютер почистите от вирусов и смените пароль от FTP и админки, затем уже чистите на хосте.

у меня не виндовс. ftp надежный, в логах нет ftp заходов

Шикарный WSO. Сайт один на хостинге?

VPS, веб пространства разделены

Мой антивирус не дает его скачать - файл заражен. нечто типа PHP.Packed.11.

Для целей исследования, ТС, сохраните скрипт в txt формате.
javascript.php - это конечно весело. но неуместно.

Сорян, тупанул, вот в тхт
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #14 : 30.07.2015, 14:25:56 »

@wishlight,

в чем смысл php скриптов (т.н. айболитов) по поиску подозрительных строк? аналоги в буржунете есть?
Айболит не только по строкам сканирует, но и по эвристике, плюс еще всякие там полезные примочки по выявлению, аналогов даже среди АВ нет!


у меня не виндовс. ftp надежный, в логах нет ftp заходов

VPS, веб пространства разделены

Сорян, тупанул, вот в тхт

щас декриптую!
Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #15 : 30.07.2015, 14:28:55 »

Знакомый скриптик, может автоматически создаваться при необходимости спама, по этому вы его и видите, а см шел или скрипт генерации нет, в каком режиме айболитом сканировали? попробуйте обновить до последней версии и про сканировать в режиме параноика, также проидитесь сканированием по дате создания и изменения файлов, ну и раз можно обратиться к скриптам на прямую из веба к примеру domain.ru/libraries/legacy/simplecrypt/javascript.php значит у вас папки не закрыты, необходимо их закрыть и на админку поставить бейсик авторизацию.

В параноике попробую, спасибо! Айболит, само-собой последний. Кстати, забыл сказать, дата этих файлов от 23 февраля ВСЕГДА. Админка скрыта
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #16 : 30.07.2015, 14:32:38 »

Файл декриптанул: http://pastebin.com/3NEhxhCx

P.S: вы смотрите дату изминения, ее можно испровлять с помощтю команды touch, а дату создания нельзя! по этому и сказал протись сканированием по файлам на дату создания и изминения, если есть разница то смотрите ручками...

Шикарный WSO. Сайт один на хостинге?
А вы отлично разбираитесь в скриптах Grin, кроме WSO больше разве ничего не может быть?
Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #17 : 30.07.2015, 14:35:41 »

Знакомый скриптик...

Я забыл упомянуть о абсолютно аналогичном случае, но с другим сайтом, там удалось решить проблему удалением adsmanagerа

Файл декриптанул: http://pastebin.com/3NEhxhCx

P.S: вы смотрите дату изминения, ее можно испровлять с помощтю команды touch, а дату создания нельзя! по этому и сказал протись сканированием по файлам на дату создания и изминения, если есть разница то смотрите ручками...

А вы отлично разбираитесь в скриптах Grin, кроме WSO больше разве ничего не может быть?

Спасибо за наводку, так и сделаю!
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #18 : 30.07.2015, 14:37:18 »

По adsmanagerа в соседнем топике оставил пост, почитайте!
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #19 : 30.07.2015, 14:39:08 »

Цитировать
также проидитесь сканированием по дате создания и изменения файлов

а эти даты php не может изменить?
Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #20 : 30.07.2015, 14:42:48 »

По adsmanagerа в соседнем топике оставил пост, почитайте!

Чегойто не нашел (
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #21 : 30.07.2015, 14:43:07 »

а эти даты php не может изменить?
PHP может изменить только дату изминения! дату создания нет! можите локально даже протестить через шелл или PHP скриптом
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #22 : 30.07.2015, 14:43:20 »

Цитировать
Файл декриптанул: http://pastebin.com/3NEhxhCx

Отлично. вот вам и mail. Спасибо Винст.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #23 : 30.07.2015, 14:44:17 »

по адсманагер вот момент этот уже обсуждался http://joomlaforum.ru/index.php/topic,195980.msg1573058.html#msg1573058
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #24 : 30.07.2015, 14:45:57 »

Файл декриптанул: http://pastebin.com/3NEhxhCx
А вы отлично разбираитесь в скриптах Grin, кроме WSO больше разве ничего не может быть?

Обознался признаю, с кем не бывает. Лень было разбирать. Меня простят  Grin. Сам другим пользуюсь.
Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #25 : 30.07.2015, 15:00:22 »

по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой, в RSфаерволл вроде заявлена такая примочка, но чего-то не работает..)
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #26 : 30.07.2015, 15:04:06 »

по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой, в RSфаерволл вроде заявлена такая примочка, но чего-то не работает..)
Юзаю самописный скрипт, в полне устраивает! вот думаю его только оптимизировать под поиск и замену с регулярными выражениями, чтоб при личении небыло десять файлов а все в одном

P.S: Наверное в ближайшее время, какраз и займусь этим...
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #27 : 30.07.2015, 15:09:15 »

Цитировать
по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой

Зачем знать дату изменения файла, недостаточно знать что такие-то файлы изменены, такие-то добавлены, такие-то удалены. Для этого полно скриптов.

Я к тому, что умный скрипт просто допишет свое содержимое в нужный файл. Зачем ему менять какие-то даты?

И что в таком случае добрый доктор Айболит говорит - "предлагаю вам удалить такие-то строки?". Эвристика кажется?
« Последнее редактирование: 30.07.2015, 15:16:13 от capricorn » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #28 : 05.08.2015, 19:40:08 »

по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой, в RSфаерволл вроде заявлена такая примочка, но чего-то не работает..)
Ну что по итогам то получилось? очень интересно))
Записан
antony2606
Завсегдатай
*****

Репутация: +35/-4
Offline Offline

Пол: Мужской
Сообщений: 557


Работаем!


« Ответ #29 : 07.08.2015, 20:11:15 »

Ну что по итогам то получилось? очень интересно))

Стыдно, но я ничего не нашел((
А получилось следующее: просканил на дату изменения и создания, ничего не нашел. Просканил в режиме параноика айболитом и нашел " активатор / генератор  " этих ***файлов, но саму дыру не нашел(( Проснувшись в 4 утра от писка телефона, где тоннами сыпались ошибки на серваке со злостью в глазах за пару часов с НУЛЯ пересобрал сайт, оставалось только перенести базу и в итоге неделя тишины, все теперь ОК. Такие дела
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet