0 Пользователей и 1 Гость просматривают эту тему.
  • 17 Ответов
  • 1142 Просмотров
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Обнаружил левый файл
« : 12.05.2015, 22:47:50 »
Выявил в папке /media ранее отсутствующий там файл.
Имя файла: member.4.php
Размер: 67630
Время создания: 22.11.2014 22:58
Строк: 1522
Когда появился: неизвестно.
Бекап: 1 раз в мес.

Пр открытии файла локально имею следующее: http://www.floomby.ru/s2/2UmnFA/full
Лог J - 16мб, лог сервера недоступен.
ХЗ, что это. Сайту 7 мес., конкурентов тьма, есть такие, которые угрожают конторе в открытую.
В базе сайта хранятся секретные данные конторы, размещены файлы для платного (оч.дорогого) распространения.
Сделать анализ самому слабо. Бюджет отсутствует.
Ткните носом, куда копать нужно, желательно подробнее.
« Последнее редактирование: 12.05.2015, 22:53:11 от AlekVolsk »
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: Обнаружил левый файл
« Ответ #1 : 12.05.2015, 23:22:45 »
Код файла в картинках:
[spoiler title=Часть 1][/spoiler]
[spoiler title=Часть 2][/spoiler]
[spoiler title=Часть 3][/spoiler]
[spoiler title=Часть 4][/spoiler]
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Обнаружил левый файл
« Ответ #2 : 13.05.2015, 08:35:38 »
WSO шелл. Лечить надо. Для того, чтобы мог что-то подсказать надо больше информации.
*

vipiusss

  • Гуру
  • 5739
  • 344 / 11
  • Скайп: renor_
Re: Обнаружил левый файл
« Ответ #3 : 13.05.2015, 08:40:34 »
Напишите хосту вашу предъяву.Почему у вас в папки залазят файлы.Они до секунды обязаны сказать, вплоть, до IP, откуда он взялся и что он делал спустя время, которое он там находился.Моя тех поддержка это делает.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Обнаружил левый файл
« Ответ #4 : 13.05.2015, 08:46:15 »
Напишите хосту вашу предъяву.Почему у вас в папки залазят файлы.Они до секунды обязаны сказать, вплоть, до IP, откуда он взялся и что он делал спустя время, которое он там находился.Моя тех поддержка это делает.
С чего это обязан?
Если он залит через http то можно увидеть в логах конечно.
Но уж много лет как при заливке шелла тут же через него заливается еще десяток - и никаких логов куда и когда..
*

vipiusss

  • Гуру
  • 5739
  • 344 / 11
  • Скайп: renor_
Re: Обнаружил левый файл
« Ответ #5 : 13.05.2015, 08:52:00 »
Как с чего? Если уязвимость папок и загружается на хост!Или я не так понял.
И у хоста логи другие и повторюсь, они обязаны вам это предоставить!
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Обнаружил левый файл
« Ответ #6 : 13.05.2015, 08:56:20 »
Цитировать
В базе сайта хранятся секретные данные конторы, размещены файлы для платного (оч.дорогого) распространения.
Хостинга виртуальный, а нужно брать VPS/VDS
Сканер айболит в помошь
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Обнаружил левый файл
« Ответ #7 : 13.05.2015, 09:43:16 »
уж большенкий, про шелы то знаешь не по наслышкам, что стоит из расширений и какая версия движка была на дату файла, ну и бубен в руки и пляски с обновлением уязвимостей и поиском остальных файлов, ну и если соседние сайты на хосте есть без разграничений прав то пляски будут долгими
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: Обнаружил левый файл
« Ответ #8 : 13.05.2015, 10:46:02 »
Дата файла старше сайта, из сторонних расширений:
- табы от Elle, мною же наполовину и написанные
- акиба бакуп - обнова регулярна
- эйсимайлинг - обнова регулярна
- все остальное самопис
Версия J на момент создания сайта 3.3.6, обнова регулярна.
Доступ к хосту ограничен, запросил его, как будет - айболитом пройдусь.

Главная печаль: хост - проходной двор, доступ к нему имеют 100500 фрилансеров, работающих на контору, у всех одинаковые админские права, ибо админ хоста - {далее_много_межнационального_фольклора}
*

aspidy

  • Завсегдатай
  • 1008
  • 55 / 1
  • Миграция joomla 1.0-1.5-2.5
Re: Обнаружил левый файл
« Ответ #9 : 13.05.2015, 11:18:46 »
Цитировать
Главная печаль: хост - проходной двор, доступ к нему имеют 100500 фрилансеров, работающих на контору, у всех одинаковые админские права, ибо админ хоста - {далее_много_межнационального_фольклора}
Это действительно печаль, могут "хакнуть" одновременно несколько сайтов на хосте, но судя по коду дверь рубили адресно. Ищите дальше, могут быть еще "сюрпризы" Лазейка при загрузке. Грузят как медиа, затем меняют на php
Мелкий ремонт. skype poisk-plus
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: Обнаружил левый файл
« Ответ #10 : 13.05.2015, 11:25:27 »
С фронта ничего нельзя загрузить, в части для зарегенных - только скачка.

Айболит уложил сервак, выдал 504. fsl.php выдал лог на 30 страниц, приложил
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: Обнаружил левый файл
« Ответ #11 : 13.05.2015, 11:27:40 »
Сколько будет стоить проверка/лечение знающим спецом?
*

aspidy

  • Завсегдатай
  • 1008
  • 55 / 1
  • Миграция joomla 1.0-1.5-2.5
Re: Обнаружил левый файл
« Ответ #12 : 13.05.2015, 11:38:29 »
Снимите логи с сервера, может быть они что то дадут. Смотрите обращение к этому файлу.
Мелкий ремонт. skype poisk-plus
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Обнаружил левый файл
« Ответ #13 : 13.05.2015, 11:40:49 »
Сколько будет стоить проверка/лечение знающим спецом?
Обращайтесь.
От 1000, в зависимости от количества установленных расширений.
п.с.
Советую поставить сканер создания/изменения файлов.
« Последнее редактирование: 13.05.2015, 11:45:30 от draff »
*

vipiusss

  • Гуру
  • 5739
  • 344 / 11
  • Скайп: renor_
Re: Обнаружил левый файл
« Ответ #14 : 13.05.2015, 11:45:45 »
 ^-^за 100 уе возьмусь
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Обнаружил левый файл
« Ответ #15 : 13.05.2015, 13:00:26 »
Сколько будет стоить проверка/лечение знающим спецом?
Если вопрос лечения сайта от вирусов не решился у вас, пишите мне в аську, по цене конечно же подороже у меня чем у draff, но опыт в подобных вопросах приличный!
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: Обнаружил левый файл
« Ответ #16 : 13.05.2015, 14:19:17 »
Снял свежий бекап, развернул локально. Айболит выда следующее:
http://www.floomby.ru/s2/yUmT78/full - fls удалил, файл от nonumber оригинальный, скрипты оригинальные от "рассылочника"
http://www.floomby.ru/s2/vUmT75/full - перезалил с дистриба J, хотя файлы не отличаются
http://www.floomby.ru/s2/JUmTPq/full - тоже перезалил, вроде все оригинальное
В списке "Скрипт использует код, который часто встречается во вредоносных скриптах" 22 позиции, но там все оригинальные файлы, на всякий пожарный перезалил с дистриба J
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Взломали сайт, что делает код?

Автор Леон

Ответов: 11
Просмотров: 1772
Последний ответ 01.12.2016, 11:58:25
от wishlight
Вирус js.redirector.304

Автор tegos134

Ответов: 1
Просмотров: 1223
Последний ответ 24.08.2016, 22:18:17
от beliyadm
В Head появляется скрипт

Автор Zegeberg

Ответов: 3
Просмотров: 1168
Последний ответ 23.06.2016, 16:07:19
от Zegeberg
Проблемы с правами после смены хостинга

Автор Леон

Ответов: 2
Просмотров: 1202
Последний ответ 10.05.2016, 11:39:36
от Леон
Появляются новые пользователи "Super User" с логи

Автор crcp_kz

Ответов: 9
Просмотров: 2579
Последний ответ 25.04.2016, 11:54:06
от FitMe