Решена Заражение сайтов

Тема в разделе "Анализ сайтов на наличие вирусов", создана пользователем Arbitr, 4 май 2015.

Статус темы:
Закрыта.
  1. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    Всем привет, ситуация: хост - 25 сайтов.. было заражение большинства файлов в паблике libworker.so
    шел спам
    libworker.so копии все удалены.. строки инклудящие код удалены.. файлы даунлоадеры удалены (может не все 100%)
    ситуация сейчас, (после лечения прошла неделя было все нормально) спам не идет, но не работает админка сайтов, не подгружаются скрипты..я проверил весь паблик на kilall -9 что убивает все хост процессы, не нашел
    попробовал айболитом что то найти.. загрузил в паблик подключился по ссш но насколько вижу ложные срабатывания.. при необходимости отчет перекину в личку
    в общем какие дадите идеи?
     
    Последнее редактирование: 4 май 2015
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
  3. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    спасиб с утра спробую утиль.. а по инфе о вирусе.. статейка слабая.. я нашел ряд более полных, кроме того здесь упор на заражение самого сервера..у меня же именно этого паблика.. так как второй паблик в этом же акке работает все гуд
     
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Arbitr, главное, что пища для мозга подана, а далее "глаза боятся, а руки делают". :Biggrin:
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Когда чистил может оригинальные файлы попортились?
     
  6. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    не совсем корректно ночью написал, неделю после лечения было все гуд.. а после начались проблемы с админкой
    нет, когда задевал случайно тег php то потом в работе сайта это сразу отображалось - правил ... это видно сразу.. а здесь на все сайты разом траблы с админкой

    отчет по скану file_get_contents() has been disabled for security reasons
    с правами на папки и файлы все в порядке
    --- Объединённое сообщение, 5 май 2015, Дата первоначального сообщения: 5 май 2015 ---
    фигня у меня с этим сканером..
    первую ошибку еще исправил поддержка сказала какой файл из корня хоста скачать удалить и вернуть после обратно..а после пошли ошибки и всегда разные..
    xmlrpc.php во всех сайтах он нормально прошел в последнем ругнулся и ошибка.. открыл проверил правильная запись.. то он выдал Undefined variable: filePath первую не скопировал.. в общем как то так :(
    --- Объединённое сообщение, 5 май 2015 ---
    Could not properly handle AJAX и все на разные файлы пхп\\\ сами файлы открывал - только нужные записи... в общем не получается отсканить.....
     
  7. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    вот найду решение ...фигушки поделюсь!!!
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Arbitr, вот как тебе подсказать решение, если ни параметров сервера, ни подробности ошибок из логов, ни лога manul нет. Тут только банальные предложения (о которых ты и сам в курсе). Ты на другой сервер проблемный сайт переносил? Нужно же понять, где проблема (в битом файле или подпорченной системе).
     
  9. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    akok, а что дадут параметры сервера? если узнаешь тип процессора колво оперативки и ось на которой все вращается?
    подробности ошибок, Could not properly handle AJAX далее путь к файл.php файлы каждый раз разные.. открывал все нормально в них, лога манул нет так как сканирование завершается ошибкой каждый раз... , какой сайт проблемный на данный момент я вычислить не могу.. спам не идет то есть мне надо по одному из 25 переносить на другой хост который еще купить надо... проблема ни в битом файле ни в системе..
    надо найти среди 50к файлов php один (или более) в нем команды на убийство хост процессов ..еще возможно что то... поиск тоталом по всему паблику по регулярным выражениям и переменным которые выловил из файлов которые засек и удалил, я делал..
    поиск аболитом делал.. не засек,
    может другие сканеры?
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    По поводу манула это похоже бага https://github.com/antimalware/manul/issues/70

    А бекап у тебя есть (до проблемы).... это позволило провести сравнение
    Тогда бы и проблемы бы не было, я уверен, что конфиги ты не попортил. В логах ошибок сервера насколько я понимаю нет ничего.
     
  11. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    я ставил 10 секунд.. а манул находится прямо в корне паблика..
    блокируются хост процессы
     
  12. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    помог ClamAV
     
    Kиpилл, Phoenix и Dragokas нравится это.
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    И что же он нашел?
     
  14. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    нашел еще два файла с обфусцированным кодом
     
    Kиpилл нравится это.
  15. Kirik-Helper
    Оффлайн

    Kirik-Helper Пользователь

    Сообщения:
    75
    Симпатии:
    3
    в который инъекция?
     
  16. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете
     
  17. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Денис, попробуй этот деобфускатор, он ставиться как дополнение в FF.
     
  18. Kirik-Helper
    Оффлайн

    Kirik-Helper Пользователь

    Сообщения:
    75
    Симпатии:
    3
    кароче меняй пароли на админки ибо можетсперли пароли
     
Статус темы:
Закрыта.

Поделиться этой страницей