Рассылка спама

  • 30 Ответов
  • 1942 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Рассылка спама
« : 30.07.2015, 13:08:38 »
Почти уже как месяц меня зае достает вирус, который рассылает спам.

Joomla и компоненты: вареза нет, Joomla последняя версия 3.4.3 (каждый файлик перезаливал), из компонентов юнайт слайдер, виджеткит и парочка других, все компоненты самых последних версий, шаблон клубный на Т3, не варез
Айболитом сканировал - фиксил, каждый файл на глаз проверял, и даже сканил файлы на предмет ключевого слова "base64", использовал RSфаерволл, логи чистые. ftp, и все доступы надежные

Практически каждый день в разное время начинается рассылка спама из разных файлов (файлы левые, маскированные под системные)! Получаю ошибки с сервера на почту, захожу в логи, вижу единственный POST запрос например такой: libraries/legacy/simplecrypt/javascript.php 200. Иду и удаляю этот файл, на следующий день такая же шляпа, но с другого файла.

UPD. Короче. те файлы, которые рассылают спам я вижу через логи писем и асеслоги, но понять откуда бедутся эти файлы - главная задача

Поделитесь пожалуйста мыслями, спасибо)

Скрин зловреда:
Спойлер
[свернуть]
« Последнее редактирование: 30.07.2015, 14:57:25 от antony2606 »

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #1 : 30.07.2015, 13:31:20 »
Цитировать
сканил файлы на предмет ключевого слова "base64"

пример спамового сообщения есть?

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #2 : 30.07.2015, 13:38:19 »
пример спамового сообщения есть?

Спойлер
[свернуть]

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #3 : 30.07.2015, 14:12:38 »
свойства этого сообщения есть? Например:
Спойлер
[свернуть]

Чтобы попытаться понять, какие строки искать.

Пройдитесь поиском прямо по 'mail'. Я не думаю, что эту строку закодировали.


*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #4 : 30.07.2015, 14:16:18 »
свойства этого сообщения есть? Например:
Спойлер
[свернуть]

Чтобы попытаться понять, какие строки искать.

Пройдитесь поиском прямо по 'mail'. Я не думаю, что эту строку закодировали.




А что собственно искать? У меня стоит логирование писем, я вижу какой скрипт выполняет рассылку, а толку-то ??

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #5 : 30.07.2015, 14:30:58 »
Цитировать
я вижу какой скрипт выполняет рассылку

Можно его посмотреть?

Я к чему разговор веду - что php использует функцию mail для отправки почты. вы же не владелец сервера с полным контролем над ним. поэтому надо искать выходы. не надо айболита. на сервере вы легко можете найти любые строки, используя команды OS, если хостер вам дал доступ к ним.
« Последнее редактирование: 30.07.2015, 14:39:05 от capricorn »

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #6 : 30.07.2015, 14:50:45 »
сам файл на Яндекс.Диск

скриншот
Спойлер
[свернуть]
« Последнее редактирование: 30.07.2015, 14:56:45 от antony2606 »

*

ChaosHead

  • ********
  • 4664
  • + 396 -
Re: Рассылка спама
« Ответ #7 : 30.07.2015, 15:01:05 »
Компьютер почистите от вирусов и смените пароль от FTP и админки, затем уже чистите на хосте.


*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #9 : 30.07.2015, 15:09:07 »
Мой антивирус не дает его скачать - файл заражен. нечто типа PHP.Packed.11.

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #10 : 30.07.2015, 15:15:29 »
Для целей исследования, ТС, сохраните скрипт в txt формате.
javascript.php - это конечно весело. но неуместно.

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #11 : 30.07.2015, 15:17:35 »
Знакомый скриптик, может автоматически создаваться при необходимости спама, по этому вы его и видите, а см шел или скрипт генерации нет, в каком режиме айболитом сканировали? попробуйте обновить до последней версии и про сканировать в режиме параноика, также проидитесь сканированием по дате создания и изменения файлов, ну и раз можно обратиться к скриптам на прямую из веба к примеру domain.ru/libraries/legacy/simplecrypt/javascript.php значит у вас папки не закрыты, необходимо их закрыть и на админку поставить бейсик авторизацию.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #12 : 30.07.2015, 15:22:52 »
Цитировать
Шикарный WSO

@wishlight,

в чем смысл php скриптов (т.н. айболитов) по поиску подозрительных строк? аналоги в буржунете есть?

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #13 : 30.07.2015, 15:25:00 »
Компьютер почистите от вирусов и смените пароль от FTP и админки, затем уже чистите на хосте.

у меня не виндовс. ftp надежный, в логах нет ftp заходов

Шикарный WSO. Сайт один на хостинге?

VPS, веб пространства разделены

Мой антивирус не дает его скачать - файл заражен. нечто типа PHP.Packed.11.

Для целей исследования, ТС, сохраните скрипт в txt формате.
javascript.php - это конечно весело. но неуместно.

Сорян, тупанул, вот в тхт

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #14 : 30.07.2015, 15:25:56 »
@wishlight,

в чем смысл php скриптов (т.н. айболитов) по поиску подозрительных строк? аналоги в буржунете есть?
Айболит не только по строкам сканирует, но и по эвристике, плюс еще всякие там полезные примочки по выявлению, аналогов даже среди АВ нет!


у меня не виндовс. ftp надежный, в логах нет ftp заходов

VPS, веб пространства разделены

Сорян, тупанул, вот в тхт

щас декриптую!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #15 : 30.07.2015, 15:28:55 »
Знакомый скриптик, может автоматически создаваться при необходимости спама, по этому вы его и видите, а см шел или скрипт генерации нет, в каком режиме айболитом сканировали? попробуйте обновить до последней версии и про сканировать в режиме параноика, также проидитесь сканированием по дате создания и изменения файлов, ну и раз можно обратиться к скриптам на прямую из веба к примеру domain.ru/libraries/legacy/simplecrypt/javascript.php значит у вас папки не закрыты, необходимо их закрыть и на админку поставить бейсик авторизацию.

В параноике попробую, спасибо! Айболит, само-собой последний. Кстати, забыл сказать, дата этих файлов от 23 февраля ВСЕГДА. Админка скрыта

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #16 : 30.07.2015, 15:32:38 »
Файл декриптанул: http://pastebin.com/3NEhxhCx

P.S: вы смотрите дату изминения, ее можно испровлять с помощтю команды touch, а дату создания нельзя! по этому и сказал протись сканированием по файлам на дату создания и изминения, если есть разница то смотрите ручками...

Шикарный WSO. Сайт один на хостинге?
А вы отлично разбираитесь в скриптах ;D, кроме WSO больше разве ничего не может быть?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #17 : 30.07.2015, 15:35:41 »
Знакомый скриптик...

Я забыл упомянуть о абсолютно аналогичном случае, но с другим сайтом, там удалось решить проблему удалением adsmanagerа

Файл декриптанул: http://pastebin.com/3NEhxhCx

P.S: вы смотрите дату изминения, ее можно испровлять с помощтю команды touch, а дату создания нельзя! по этому и сказал протись сканированием по файлам на дату создания и изминения, если есть разница то смотрите ручками...

А вы отлично разбираитесь в скриптах ;D, кроме WSO больше разве ничего не может быть?

Спасибо за наводку, так и сделаю!

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #18 : 30.07.2015, 15:37:18 »
По adsmanagerа в соседнем топике оставил пост, почитайте!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #19 : 30.07.2015, 15:39:08 »
Цитировать
также проидитесь сканированием по дате создания и изменения файлов

а эти даты php не может изменить?

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #20 : 30.07.2015, 15:42:48 »
По adsmanagerа в соседнем топике оставил пост, почитайте!

Чегойто не нашел (

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #21 : 30.07.2015, 15:43:07 »
а эти даты php не может изменить?
PHP может изменить только дату изминения! дату создания нет! можите локально даже протестить через шелл или PHP скриптом
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #22 : 30.07.2015, 15:43:20 »
Цитировать
Файл декриптанул: http://pastebin.com/3NEhxhCx

Отлично. вот вам и mail. Спасибо Винст.

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #23 : 30.07.2015, 15:44:17 »
по адсманагер вот момент этот уже обсуждался http://joomlaforum.ru/index.php/topic,195980.msg1573058.html#msg1573058
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

wishlight

  • ********
  • 3592
  • + 220 -
  • skype aqaus.com
Re: Рассылка спама
« Ответ #24 : 30.07.2015, 15:45:57 »
Файл декриптанул: http://pastebin.com/3NEhxhCx
А вы отлично разбираитесь в скриптах ;D, кроме WSO больше разве ничего не может быть?

Обознался признаю, с кем не бывает. Лень было разбирать. Меня простят  ;D. Сам другим пользуюсь.

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #25 : 30.07.2015, 16:00:22 »
по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой, в RSфаерволл вроде заявлена такая примочка, но чего-то не работает..)

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #26 : 30.07.2015, 16:04:06 »
по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой, в RSфаерволл вроде заявлена такая примочка, но чего-то не работает..)
Юзаю самописный скрипт, в полне устраивает! вот думаю его только оптимизировать под поиск и замену с регулярными выражениями, чтоб при личении небыло десять файлов а все в одном

P.S: Наверное в ближайшее время, какраз и займусь этим...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

capricorn

  • *******
  • 1634
  • + 106 -
Re: Рассылка спама
« Ответ #27 : 30.07.2015, 16:09:15 »
Цитировать
по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой

Зачем знать дату изменения файла, недостаточно знать что такие-то файлы изменены, такие-то добавлены, такие-то удалены. Для этого полно скриптов.

Я к тому, что умный скрипт просто допишет свое содержимое в нужный файл. Зачем ему менять какие-то даты?

И что в таком случае добрый доктор Айболит говорит - "предлагаю вам удалить такие-то строки?". Эвристика кажется?
« Последнее редактирование: 30.07.2015, 16:16:13 от capricorn »

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Re: Рассылка спама
« Ответ #28 : 05.08.2015, 20:40:08 »
по итогам обязательно отпишусь. Кстати, вот наткнулся на хак для wp , нам бы такой, в RSфаерволл вроде заявлена такая примочка, но чего-то не работает..)
Ну что по итогам то получилось? очень интересно))
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

antony2606

  • *****
  • 597
  • + 41 -
  • Работаем!
Re: Рассылка спама
« Ответ #29 : 07.08.2015, 21:11:15 »
Ну что по итогам то получилось? очень интересно))

Стыдно, но я ничего не нашел((
А получилось следующее: просканил на дату изменения и создания, ничего не нашел. Просканил в режиме параноика айболитом и нашел " активатор / генератор  " этих ***файлов, но саму дыру не нашел(( Проснувшись в 4 утра от писка телефона, где тоннами сыпались ошибки на серваке со злостью в глазах за пару часов с НУЛЯ пересобрал сайт, оставалось только перенести базу и в итоге неделя тишины, все теперь ОК. Такие дела