В работе Прошу помощи в поиске дыры

Тема в разделе "Анализ сайтов на наличие вирусов", создана пользователем Bahus, 14 ноя 2015.

  1. Bahus
    Оффлайн

    Bahus Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Доброго времени суток. Не так давно нашел в коде статей на блоге (cms wordpress) dendrblog.ru такую муть
    Код (Text):
    <script src="//shareup.ru/social.js" type="text/javascript"></script>
    Так же хостер обматерил меня за вирус на сайте. После проверки был найден PHP.BlacoleRef. Все вылечили. Левый скрипт вычищен из статей.
    Прошла неделя. Вирусов больше не найдено, а скрипт снова во всех статьях. Откуда эта гнида лезет не пойму. Так же не понятно, что первично вирус, загружающий скрипт или скрипт, загружающий вирус?
     
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Bahus, первично - уязвимости в CMS WordPress, через которую всё это позволяется, см. вот эту статью.
     
    Охотник нравится это.
  3. Bahus
    Оффлайн

    Bahus Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    У меня нет WP-Super-Cache
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Bahus, это просто реклама была, разумеется та статься к вашему взлому никакого отношения не имеет, кроме того что там тоже про wordpress. Думаю движок у вас обновлён до последней версии?
    По вопросу, скрипт внутри тела страниц вторичен и является следствием заражения.
     
  5. Bahus
    Оффлайн

    Bahus Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Все постоянно обновляется до последних версий сразу же после выхода.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    А чем проверяли? Вычистили только этот скрипт (может там ещё зараза осталась, которую не вычистили)? Возможно глупый вопрос, но Айболитом или Manul-ом проверяли?
    --- Объединённое сообщение, 17 ноя 2015, Дата первоначального сообщения: 17 ноя 2015 ---
    + у вас на сайте есть такие ссылки
    Код (Text):
    http://goo.gl/6UnImm
    http://goo.gl/Sqz26j
    они вам знакомы?
     
    Kиpилл нравится это.
  7. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    252
    Симпатии:
    120
    httр://gоо.gl/ - я ,кстати, слышал, что это боевой вирус (по новостям говорили)
     
    Последнее редактирование: 17 ноя 2015
  8. Bahus
    Оффлайн

    Bahus Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Да.

    Нет. Проверял через хостера. У них virusdie.ru проверяет. Не хуже айболита.
     
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Bahus, у Яндекса в этом году появился Манул, мы его тут представляли летом.
    Если Ваш хостер и Вирусдай позволяют, то воспользуйтесь. Как пользоваться, там указано.
    Указанный вами скрипт атакует сайты на основе ВордПресса уже примерно полгода. Сведения из новостей здесь не помогут. Инъекция непростая.
     
    Последнее редактирование: 18 ноя 2015
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Это просто сервис сокращения ссылок. Для чего используют и где это уже другой вопрос.
    К примеру
    Код (Text):
    http://goo.gl/swAkXv
    - это ссылка на эту страницу.
     
  11. Bahus
    Оффлайн

    Bahus Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Появился левый файл с шелом. Хотелось бы его раскодировать, чтобы понять, звенья одной цепи или два независимых взлома.
    --- Объединённое сообщение, 18 ноя 2015 ---
    Код тут
     
    Последнее редактирование: 18 ноя 2015
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    без знания, что передают в $_POST['g__g_'] или тут $_COOKIE['g__g_'] скорее всего расшифровать не получиться.
    И добавлю отчёт о проверке на вирустотал Antivirus scan for 20f76ada1721b61963fa595e3a2006c96225351362b79d5d719197c190cd4239 at 2015-11-19 06:23:34 UTC - VirusTotal
     
  13. Bahus
    Оффлайн

    Bahus Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    pastebin подтупливает
    код
     

Поделиться этой страницей