Поиск заражения на сайтах

Статус
В этой теме нельзя размещать новые ответы.

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683
Всем привет, ситуация: хост - 25 сайтов.. было заражение большинства файлов в паблике libworker.so
шел спам
libworker.so копии все удалены.. строки инклудящие код удалены.. файлы даунлоадеры удалены (может не все 100%)
ситуация сейчас, (после лечения прошла неделя было все нормально) спам не идет, но не работает админка сайтов, не подгружаются скрипты..я проверил весь паблик на kilall -9 что убивает все хост процессы, не нашел
попробовал айболитом что то найти.. загрузил в паблик подключился по ссш но насколько вижу ложные срабатывания.. при необходимости отчет перекину в личку
в общем какие дадите идеи?
 
Последнее редактирование:

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683
спасиб с утра спробую утиль.. а по инфе о вирусе.. статейка слабая.. я нашел ряд более полных, кроме того здесь упор на заражение самого сервера..у меня же именно этого паблика.. так как второй паблик в этом же акке работает все гуд
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
893
Arbitr, главное, что пища для мозга подана, а далее "глаза боятся, а руки делают". :Biggrin:
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
Когда чистил может оригинальные файлы попортились?
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683
не совсем корректно ночью написал, неделю после лечения было все гуд.. а после начались проблемы с админкой
Когда чистил может оригинальные файлы попортились?
нет, когда задевал случайно тег php то потом в работе сайта это сразу отображалось - правил ... это видно сразу.. а здесь на все сайты разом траблы с админкой

отчет по скану file_get_contents() has been disabled for security reasons
с правами на папки и файлы все в порядке
фигня у меня с этим сканером..
первую ошибку еще исправил поддержка сказала какой файл из корня хоста скачать удалить и вернуть после обратно..а после пошли ошибки и всегда разные..
xmlrpc.php во всех сайтах он нормально прошел в последнем ругнулся и ошибка.. открыл проверил правильная запись.. то он выдал Undefined variable: filePath первую не скопировал.. в общем как то так :(
Could not properly handle AJAX и все на разные файлы пхп\\\ сами файлы открывал - только нужные записи... в общем не получается отсканить.....
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683
вот найду решение ...фигушки поделюсь!!!
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
Arbitr, вот как тебе подсказать решение, если ни параметров сервера, ни подробности ошибок из логов, ни лога manul нет. Тут только банальные предложения (о которых ты и сам в курсе). Ты на другой сервер проблемный сайт переносил? Нужно же понять, где проблема (в битом файле или подпорченной системе).
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683
akok, а что дадут параметры сервера? если узнаешь тип процессора колво оперативки и ось на которой все вращается?
подробности ошибок, Could not properly handle AJAX далее путь к файл.php файлы каждый раз разные.. открывал все нормально в них, лога манул нет так как сканирование завершается ошибкой каждый раз... , какой сайт проблемный на данный момент я вычислить не могу.. спам не идет то есть мне надо по одному из 25 переносить на другой хост который еще купить надо... проблема ни в битом файле ни в системе..
надо найти среди 50к файлов php один (или более) в нем команды на убийство хост процессов ..еще возможно что то... поиск тоталом по всему паблику по регулярным выражениям и переменным которые выловил из файлов которые засек и удалил, я делал..
поиск аболитом делал.. не засек,
может другие сканеры?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
По поводу манула это похоже бага https://github.com/antimalware/manul/issues/70

А бекап у тебя есть (до проблемы).... это позволило провести сравнение
проблема ни в битом файле ни в системе..
Тогда бы и проблемы бы не было, я уверен, что конфиги ты не попортил. В логах ошибок сервера насколько я понимаю нет ничего.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,282
Реакции
13,843
Баллы
2,293
И что же он нашел?
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683
нашел еще два файла с обфусцированным кодом
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
Баллы
683
Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете
 

Kirik-Helper

Активный пользователь
Сообщения
71
Реакции
3
Баллы
248
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу