Как я "лечил" JS/TrojanDownloader.FakejQuery.B / PHP/WebShell.NCZ (nod 32)?

  • 35 Ответов
  • 1756 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

gilmor

  • **
  • 13
  • + 1 -
Доброго времени суток всем.
Решил поделится информацией по одной ситуации с которой я столкнулся, а именно:
При попытке зайти на сайты своей компании срабатывал антивирус Eset Nod 32 v4, сбрасывал подключение к сайту и выдавал сообщение о том, что обнаружен:
JS/TrojanDownloader.FakejQuery.B
Естественно сайт в браузере не открывался...
При просмотре некоторых файлов антивирус так же ругался на PHP/WebShell.NCZ

Сразу скажу, что (это сугубо мое мнение) вирус проник на сайт (и два субдомена) скорее всего при "помощи" кода от JivoSite, ибо все остальные используемые плагины и модули используются как говорится годами и никогда проблем не было...

Ну да ладно... Как избавится от этой заразы (так было у меня):

Первое что нужно знать: вирус поражает index.php файлы, причем не абы какие, а те в которых присутствует "какркас" HTML, а именно
<body>
<head></head>
</body>
Вредноносный код (в одну строку) вставляется непосредственно перед тегом </head> при этом перед самим тэгом (так было у меня) в файлах index.php появляются пустые строки ~10 - 20 шт.

То есть нужно удалить эту строку и пересохранить файл.

У меня это строка имела вид:
Спойлер
[свернуть]

(Нет я все таки не поленюсь и распишу...)
Помимо самого кода внутри файлов index.php определенной структуры в корневом каталоге (public_html) у меня появились следующие файлы и каталоги:

Название файла:
  • 0fedf6fd76.php
  • 19d2aa.php
  • bcafecaa39.php
  • receiver.html
  • word.php
  • xml.php
  • hlt.zip
  • vgs.zip

Каталоги:
  • hlt
  • vgs

Всё это добро я удалил. yes!
После этого антивирус перестал ругаться на сайт и сайт стал открываться в браузере.

Благодарю за внимание :-) надеюсь кому нибудь поможет.
« Последнее редактирование: 17.11.2016, 19:05:07 от gilmor »


*

gilmor

  • **
  • 13
  • + 1 -
Версия Joomla какая?
Была 3.6.2 сейчас обновил до последней Joomla! 3.6.4 Stable

*

gilmor

  • **
  • 13
  • + 1 -
Все что я так старательно писал со списком файлов и где что удалить почему то не влезло...

Может у кого есть идеи как эта гадость проникла на сайт?

*

gilmor

  • **
  • 13
  • + 1 -
Все мое терпение закончилось...
Хотел красиво оформить и выложить код всех файлов, но почему то код обрезается....
так что....
« Последнее редактирование: 17.11.2016, 19:10:39 от gilmor »

*

SmokerMan

  • ********
  • 5329
  • + 689 -
Все мое терпение закончилось...
Хотел красиво оформить и выложить код всех файлов, но почему то код обрезается....
так что....
честно - это никому не надо :)
эти коды как и сами файлы могут быть любыми
а то что антивирус не ругается - это не факт что на сайте шелов и всякого другого г.. не осталось и эти "коды" не появятся завтра или послезавтра опять :)

*

dmitry_stas

  • ********
  • 9610
  • + 929 -
честно - это никому не надо :)
эти коды как и сами файлы могут быть любыми
а то что антивирус не ругается - это не факт что на сайте шелов и всякого другого г.. не осталось и эти "коды" не появятся завтра или послезавтра опять :)
абсолютно верно. ТС, плюсанул исключительно за стремление поделиться решением с другими. но к сожалению 99% что вы не решили проблему даже для себя.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

pavelrer

  • *****
  • 412
  • + 8 -
Поставте айболита на контроль целостности файлов.
Запускайте раз в сутки кроном.
отчет себе на мыло, или можете только предупреждения на мыло.
А то что вы там чистили или обновили, это еще не факт, что все не вернется на круги своя.

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
А все токи было бы интересно увидеть код, можно было бы потом пройти по базе доменов Joomla на наличие аналогичной херни)))
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Taatshi

  • *****
  • 4779
  • + 452 -
gilmor, если хотите показать код - отключите свой антивирусник, код запихайте в Wordовский файл и заархивируйте с паролем. Выложите на Яндекс и дайте нам ссылку.

Больше никак)

И еще - полный код не нужно выкладывать. До середины каждого файла будет выше крыши. Мало ли у кого какие дурацкие мысли появятся - инет большой.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.

*

Septdir

  • *******
  • 2117
  • + 106 -
  • JoomlaZen
Эм receiver.html это может быть файл подключения mail.ru api =) если там конечно гадости в коде не было. это раз а два. Не думаю что саму дыру залатали. Обычно это совсем не приметный файл в попе мира. Поэтому когда латаешь дыру надо играть в игру что, где, когда. Начинать надо с когда в логах.
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты | JoomlaZen

Сразу скажу, что (это сугубо мое мнение) вирус проник на сайт (и два субдомена) скорее всего при "помощи" кода от JivoSite
Мнение скорее всего ошибочное.
Jivosite Вы подключаете через Javascript код - формально он сможет изменить только страницу пользователям, но не файлы на сервере. Поэтому скорее всего проблема крылась или кроется в другом.

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Мнение скорее всего ошибочное.
Jivosite Вы подключаете через Javascript код - формально он сможет изменить только страницу пользователям, но не файлы на сервере. Поэтому скорее всего проблема крылась или кроется в другом.
То что проблема кроется в другом, несомненно, НО! средствами JS, можно залить шелл, когда на него напарывается авторизованный админ! такая штука называется XSS+RCE.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

gilmor

  • **
  • 13
  • + 1 -
Здравствуйте коллеги.
Проблема вернулась....
Пока разбираюсь.
Кто сталкивался и может подсказать что ни будь дельное буду признателен.

*

gilmor

  • **
  • 13
  • + 1 -
Мнение скорее всего ошибочное.
Jivosite Вы подключаете через Javascript код - формально он сможет изменить только страницу пользователям, но не файлы на сервере. Поэтому скорее всего проблема крылась или кроется в другом.
100% дело не в нем... уже ясно так как код был удален, а вирус вернулся......

*

gilmor

  • **
  • 13
  • + 1 -
В каталоге субдомена в папке /public_html/субдомен/modules/mod_finder/
появился файл css42.php
Его содержимое(возможно не все влезит в сообщение):
Спойлер
[свернуть]

*

gilmor

  • **
  • 13
  • + 1 -
Поставте айболита на контроль целостности файлов.
Запускайте раз в сутки кроном.
отчет себе на мыло, или можете только предупреждения на мыло.
А то что вы там чистили или обновили, это еще не факт, что все не вернется на круги своя.

Просветите меня тёмного что за Айболит? и как его поставить (хотя бы линк на мануал)

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
проблема явная и знакомая, тут весь аккаунт нужно проверять на наличие всякого вредоноса, лечить и наводить профилактические меры безопасности.
Просветите меня тёмного что за Айболит? и как его поставить (хотя бы линк на мануал)
https://revisium.com/ai/
там все подробно в блоге расписано, как им пользоваться.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

gilmor

  • **
  • 13
  • + 1 -
Вопрос для всех людей в теме: Моя контора кому нибудь поднасрала своей деятельностью и это целенаправленная "атака" или это тупо бот/скрипт/дыра в Joomla? (Любые мысли с кратким обоснованием).
Заранее спасибо!

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
или это тупо бот/скрипт/дыра в Joomla
потому что этот код, что вы влажели, часто встречается в массовых атаках, если бы вы кому нить поднасрали, там бы болие ухищренные и болие аккуратные бегдоры были бы, чего не встретишь в массовости.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

gilmor

  • **
  • 13
  • + 1 -
потому что этот код, что вы влажели, часто встречается в массовых атаках, если бы вы кому нить поднасрали, там бы болие ухищренные и болие аккуратные бегдоры были бы, чего не встретишь в массовости.
Как вариант(первое действие) смена пароля админа может помочь?

*

dmitry_stas

  • ********
  • 9610
  • + 929 -
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Septdir

  • *******
  • 2117
  • + 106 -
  • JoomlaZen
Вопрос для всех людей в теме: Моя контора кому нибудь поднасрала своей деятельностью и это целенаправленная "атака" или это тупо бот/скрипт/дыра в Joomla? (Любые мысли с кратким обоснованием).
Заранее спасибо!
Если бы вас ломали специально, то сайт бы превратили в фарш. Это обычный бот. Почему и за что? в 70% случаев варез в 29% проспали обнову Вы удалили лишь последствия, а надо искать источник, кстати если у вас сайты рядом на одном хосте то дыра может быть в другом сайте. Как бороться вопрос размытый, пошаговой инструкции нет.  А иногда вообще самый простым решением будет пере собрать сайт. Так или иначе у вас два пути.
1. Учиться самому, тут долго и нудно если сократить тираду о том что надо учить, то получается просто вы должны научиться сами ломать сайты тогда и лечить сможете.
2. Я частенько это пишу: Если вы задаете вопрос как мне вылечить сайт или найти\залопотать дыру на сайте, то ваших знаний для этого явно мало и лучшим для выбором будет нанять специалиста пока дело не стало еще хуже, ну а в свободное время можете где нибудь тренироваться.
Как вариант(первое действие) смена пароля админа может помочь?
Нет как и других паролей. ваши пароли ни кому не нужны
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты | JoomlaZen

*

Taatshi

  • *****
  • 4779
  • + 452 -
gilmor, тут нужна работа специалиста. Сами не справитесь. Даже если выдать Вам подробную инструкцию. Потому что нужно понимать код.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.

В каталоге субдомена в папке /public_html/субдомен/modules/mod_finder/
появился файл css42.php
Анализируй логи, хорошо просканируй все файлы. Как вариант установить чистую Joomla и компоненты и перенести бд, если не можешь найти вредоносный код.
Или обращаться к специалистам, если время дороже)

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
так же может помочь пройтись по атрибутам файлов по ctime и mtime
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

pavelrer

  • *****
  • 412
  • + 8 -
Цитировать
вы должны научиться сами ломать сайты тогда и лечить сможете
Вот вот.
gilmor Вы там файлы мучаете, а он у вас в базе сидит или тянется соц кнопками или еще каким виджетом красавчиком. :)
Если сайт приносит копеечку, то проще обратиться к авторам айболита, дать им копеечку и они все починят.

*

winstrool

  • *****
  • 758
  • + 39 -
  • Свободен для работы
Цитировать
вы должны научиться сами ломать сайты тогда и лечить сможете
Вот вот.
По этому обращайтесь ко мне ;D

gilmor Вы там файлы мучаете, а он у вас в базе сидит или тянется соц кнопками или еще каким виджетом красавчиком. :)
Если сайт приносит копеечку, то проще обратиться к авторам айболита, дать им копеечку и они все починят.

Но тут дело копеечкой не обойдется.... рубликами дело пахнит)))
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

gilmor

  • **
  • 13
  • + 1 -
...Фуууууу...
Ну вроде все (тьфу тьфу тьфу чтоб не сглазить...)

И так, как это было:

1) Переводим сайты в оффлайн

2) Меняем пароль от админ панели хостинга.

3) Проверяем БД Joomla на наличие левых учетных записей и удаляем их (у меня было 4 суперюзера и 7 админов + штук 30 явно левых просто пользователей).

4) Меняем логин и пароль для суперюзера.

5) Меняем пароль для БД Joomla.

6) Удаляем редактор JCE из Joomla и проверяем настройку фильтров по "опасным тегам" (<script>, <iframe> и т. д.)

7) (САМОЕ НУДНОЕ И ДОЛГОЕ ЗАНЯТИЕ !) Скачиваем сайт на локальный компьютер и сканируем Айболитом, затем вручную проходимся при помощи тектового редактора по всем файлам на которые есть нарекания.
Обратите внимание: Хитрожопый вирус может "красиво" прописаться в файл, а именно: открываешь и листаешь вниз все вроде чисто...
но (я один не смотрю на горизонтальную полосу прокрутки?) сразу в первой строчке после <?php через N-ное количество пробелов присутствует тот самый код, соответственно его удаляем.

8) Очень любит вирус JComments и SimpleForm2 поэтому эти вещи (особенно их каталоги) проверяем досконально...

9) Помимо описанных выше файлов вирус создает свои (в них только вредноносный код) которые смело удаляем. Список приводить смысла не вижу. Я поступил так: попросил хостера просканировать каталог public_html антивирусом, антивирус нашел все созданные вирусом php файлы и пометил их расширением файла .suspected.

10) Если есть сомнения в том нужен ли конкретный файл в конкретном каталоге, то скачиваем дистрибутив вашей версии Joomla (или плагина) и смотрим есть ли в нем этот файл.

11) У меня из-за рассылки спама хостер отключил почтовые функции, следовательно связываемся с хостером и просим включить.

12) Закрываем админку от посторонних глаз (я использовал AdminExille)

Ну вот собственно такая история...

P.S. Если простой вашего сайта наносит серьезный удар по карману и/или вы как говорится не очень в теме, то советую не искать на задницу приключений и обратится к специалистам (стоит на сегодняшний день около 4000 российских рублей за 1 CMS, обещают починить все и установить какую то защиту за 48 часов).... Если недай бог эта дрянь опять проникнет, то наверное придется платить....

И да, чуть не забыл, не надо забивать болт (как я) на своевременную установку обновлений для Joomla и обновление используемых компонентов. Так же не стоит качать плагины и т. п. с левых сайтов и по левым ссылкам...

Всем удачи.
« Последнее редактирование: 20.11.2016, 16:08:39 от gilmor »

*

draff

  • *******
  • 2739
  • + 169 -
  • step by step
Цитировать
Обратите внимание: Хитрожопый вирус может "красиво" прописаться в файл, а именно: открываешь и листаешь вниз все вроде чисто...
но (я один не смотрю на горизонтальную полосу прокрутки?) сразу в первой строчке после <?php через N-ное количество пробелов присутствует тот самый код, соответственно его удаляем.
А в редакторе Notepad++ включить перенос строк, и все хитрости на виду.
Цитировать
11) У меня из-за рассылки спама хостер отключил почтовые функции, следовательно связываемся с хостером и просим включить.
И включаем запись отправки писем в mail.log
Цитировать
обратится к специалистам (стоит на сегодняшний день около 4000 российских рублей за 1 CMS
У меня дешевле на 50% , от 1600 . Да думаю и у других форумчан сумма начинается не с 4000 руб.