Обнаружил левый файл

  • 17 Ответов
  • 687 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

AlekVolsk

Обнаружил левый файл
« : 13.05.2015, 00:47:50 »
Выявил в папке /media ранее отсутствующий там файл.
Имя файла: member.4.php
Размер: 67630
Время создания: 22.11.2014 22:58
Строк: 1522
Когда появился: неизвестно.
Бекап: 1 раз в мес.

Пр открытии файла локально имею следующее: http://www.floomby.ru/s2/2UmnFA/full
Лог J - 16мб, лог сервера недоступен.
ХЗ, что это. Сайту 7 мес., конкурентов тьма, есть такие, которые угрожают конторе в открытую.
В базе сайта хранятся секретные данные конторы, размещены файлы для платного (оч.дорогого) распространения.
Сделать анализ самому слабо. Бюджет отсутствует.
Ткните носом, куда копать нужно, желательно подробнее.
« Последнее редактирование: 13.05.2015, 00:53:11 от AlekVolsk »

*

AlekVolsk

Re: Обнаружил левый файл
« Ответ #1 : 13.05.2015, 01:22:45 »
Код файла в картинках:
[spoiler title=Часть 1][/spoiler]
[spoiler title=Часть 2][/spoiler]
[spoiler title=Часть 3][/spoiler]
[spoiler title=Часть 4][/spoiler]


*

vipiusss

  • ********
  • 5454
  • [+]327 / [-]10
  • JoomlaNet
Re: Обнаружил левый файл
« Ответ #3 : 13.05.2015, 10:40:34 »
Напишите хосту вашу предъяву.Почему у вас в папки залазят файлы.Они до секунды обязаны сказать, вплоть, до IP, откуда он взялся и что он делал спустя время, которое он там находился.Моя тех поддержка это делает.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

voland

  • ********
  • 9335
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
Re: Обнаружил левый файл
« Ответ #4 : 13.05.2015, 10:46:15 »
Напишите хосту вашу предъяву.Почему у вас в папки залазят файлы.Они до секунды обязаны сказать, вплоть, до IP, откуда он взялся и что он делал спустя время, которое он там находился.Моя тех поддержка это делает.
С чего это обязан?
Если он залит через http то можно увидеть в логах конечно.
Но уж много лет как при заливке шелла тут же через него заливается еще десяток - и никаких логов куда и когда..

*

vipiusss

  • ********
  • 5454
  • [+]327 / [-]10
  • JoomlaNet
Re: Обнаружил левый файл
« Ответ #5 : 13.05.2015, 10:52:00 »
Как с чего? Если уязвимость папок и загружается на хост!Или я не так понял.
И у хоста логи другие и повторюсь, они обязаны вам это предоставить!
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
Re: Обнаружил левый файл
« Ответ #6 : 13.05.2015, 10:56:20 »
Цитировать
В базе сайта хранятся секретные данные конторы, размещены файлы для платного (оч.дорогого) распространения.
Хостинга виртуальный, а нужно брать VPS/VDS
Сканер айболит в помошь

*

flyingspook

Re: Обнаружил левый файл
« Ответ #7 : 13.05.2015, 11:43:16 »
уж большенкий, про шелы то знаешь не по наслышкам, что стоит из расширений и какая версия движка была на дату файла, ну и бубен в руки и пляски с обновлением уязвимостей и поиском остальных файлов, ну и если соседние сайты на хосте есть без разграничений прав то пляски будут долгими

*

AlekVolsk

Re: Обнаружил левый файл
« Ответ #8 : 13.05.2015, 12:46:02 »
Дата файла старше сайта, из сторонних расширений:
- табы от Elle, мною же наполовину и написанные
- акиба бакуп - обнова регулярна
- эйсимайлинг - обнова регулярна
- все остальное самопис
Версия J на момент создания сайта 3.3.6, обнова регулярна.
Доступ к хосту ограничен, запросил его, как будет - айболитом пройдусь.

Главная печаль: хост - проходной двор, доступ к нему имеют 100500 фрилансеров, работающих на контору, у всех одинаковые админские права, ибо админ хоста - {далее_много_межнационального_фольклора}

*

aspidy

  • ******
  • 1022
  • [+]55 / [-]1
  • Миграция joomla 1.0-1.5-2.5
Re: Обнаружил левый файл
« Ответ #9 : 13.05.2015, 13:18:46 »
Цитировать
Главная печаль: хост - проходной двор, доступ к нему имеют 100500 фрилансеров, работающих на контору, у всех одинаковые админские права, ибо админ хоста - {далее_много_межнационального_фольклора}
Это действительно печаль, могут "хакнуть" одновременно несколько сайтов на хосте, но судя по коду дверь рубили адресно. Ищите дальше, могут быть еще "сюрпризы" Лазейка при загрузке. Грузят как медиа, затем меняют на php
Мелкий ремонт. skype poisk-plus

*

AlekVolsk

Re: Обнаружил левый файл
« Ответ #10 : 13.05.2015, 13:25:27 »
С фронта ничего нельзя загрузить, в части для зарегенных - только скачка.

Айболит уложил сервак, выдал 504. fsl.php выдал лог на 30 страниц, приложил

*

AlekVolsk

Re: Обнаружил левый файл
« Ответ #11 : 13.05.2015, 13:27:40 »
Сколько будет стоить проверка/лечение знающим спецом?

*

aspidy

  • ******
  • 1022
  • [+]55 / [-]1
  • Миграция joomla 1.0-1.5-2.5
Re: Обнаружил левый файл
« Ответ #12 : 13.05.2015, 13:38:29 »
Снимите логи с сервера, может быть они что то дадут. Смотрите обращение к этому файлу.
Мелкий ремонт. skype poisk-plus

*

draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
Re: Обнаружил левый файл
« Ответ #13 : 13.05.2015, 13:40:49 »
Сколько будет стоить проверка/лечение знающим спецом?
Обращайтесь.
От 1000, в зависимости от количества установленных расширений.
п.с.
Советую поставить сканер создания/изменения файлов.
« Последнее редактирование: 13.05.2015, 13:45:30 от draff »

*

vipiusss

  • ********
  • 5454
  • [+]327 / [-]10
  • JoomlaNet
Re: Обнаружил левый файл
« Ответ #14 : 13.05.2015, 13:45:45 »
 ^-^за 100 уе возьмусь
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
Re: Обнаружил левый файл
« Ответ #15 : 13.05.2015, 15:00:26 »
Сколько будет стоить проверка/лечение знающим спецом?
Если вопрос лечения сайта от вирусов не решился у вас, пишите мне в аську, по цене конечно же подороже у меня чем у draff, но опыт в подобных вопросах приличный!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

AlekVolsk

Re: Обнаружил левый файл
« Ответ #16 : 13.05.2015, 16:19:17 »
Снял свежий бекап, развернул локально. Айболит выда следующее:
http://www.floomby.ru/s2/yUmT78/full - fls удалил, файл от nonumber оригинальный, скрипты оригинальные от "рассылочника"
http://www.floomby.ru/s2/vUmT75/full - перезалил с дистриба J, хотя файлы не отличаются
http://www.floomby.ru/s2/JUmTPq/full - тоже перезалил, вроде все оригинальное
В списке "Скрипт использует код, который часто встречается во вредоносных скриптах" 22 позиции, но там все оригинальные файлы, на всякий пожарный перезалил с дистриба J