Поиск заражения на сайтах

Arbitr · 4 Май 2015

Всем привет, ситуация: хост - 25 сайтов.. было заражение большинства файлов в паблике libworker.so
шел спам
libworker.so копии все удалены.. строки инклудящие код удалены.. файлы даунлоадеры удалены (может не все 100%)
ситуация сейчас, (после лечения прошла неделя было все нормально) спам не идет, но не работает админка сайтов, не подгружаются скрипты..я проверил весь паблик на kilall -9 что убивает все хост процессы, не нашел
попробовал айболитом что то найти.. загрузил в паблик подключился по ссш но насколько вижу ложные срабатывания.. при необходимости отчет перекину в личку
в общем какие дадите идеи?

SNS-amigo · 4 Май 2015

Arbitr,
http://yandex.ru/promo/manul#about
http://yandex.ru/promo/manul#howtouse
http://yandex.ru/promo/manul#analyzer
http://www.securitylab.ru/news/455510.php

Arbitr · 4 Май 2015

спасиб с утра спробую утиль.. а по инфе о вирусе.. статейка слабая.. я нашел ряд более полных, кроме того здесь упор на заражение самого сервера..у меня же именно этого паблика.. так как второй паблик в этом же акке работает все гуд

SNS-amigo · 5 Май 2015

Arbitr, главное, что пища для мозга подана, а далее "глаза боятся, а руки делают". :Biggrin:

akok · 5 Май 2015

Когда чистил может оригинальные файлы попортились?

Arbitr · 5 Май 2015

не совсем корректно ночью написал, неделю после лечения было все гуд.. а после начались проблемы с админкой

Когда чистил может оригинальные файлы попортились?

нет, когда задевал случайно тег php то потом в работе сайта это сразу отображалось - правил ... это видно сразу.. а здесь на все сайты разом траблы с админкой

отчет по скану file_get_contents() has been disabled for security reasons
с правами на папки и файлы все в порядке
фигня у меня с этим сканером..
первую ошибку еще исправил поддержка сказала какой файл из корня хоста скачать удалить и вернуть после обратно..а после пошли ошибки и всегда разные..
xmlrpc.php во всех сайтах он нормально прошел в последнем ругнулся и ошибка.. открыл проверил правильная запись.. то он выдал Undefined variable: filePath первую не скопировал.. в общем как то так

Could not properly handle AJAX и все на разные файлы пхп\\\ сами файлы открывал - только нужные записи... в общем не получается отсканить.....

Arbitr · 6 Май 2015

вот найду решение ...фигушки поделюсь!!!

akok · 7 Май 2015

Arbitr, вот как тебе подсказать решение, если ни параметров сервера, ни подробности ошибок из логов, ни лога manul нет. Тут только банальные предложения (о которых ты и сам в курсе). Ты на другой сервер проблемный сайт переносил? Нужно же понять, где проблема (в битом файле или подпорченной системе).

Arbitr · 7 Май 2015

akok, а что дадут параметры сервера? если узнаешь тип процессора колво оперативки и ось на которой все вращается?
подробности ошибок, Could not properly handle AJAX далее путь к файл.php файлы каждый раз разные.. открывал все нормально в них, лога манул нет так как сканирование завершается ошибкой каждый раз... , какой сайт проблемный на данный момент я вычислить не могу.. спам не идет то есть мне надо по одному из 25 переносить на другой хост который еще купить надо... проблема ни в битом файле ни в системе..
надо найти среди 50к файлов php один (или более) в нем команды на убийство хост процессов ..еще возможно что то... поиск тоталом по всему паблику по регулярным выражениям и переменным которые выловил из файлов которые засек и удалил, я делал..
поиск аболитом делал.. не засек,
может другие сканеры?

akok · 7 Май 2015

По поводу манула это похоже бага https://github.com/antimalware/manul/issues/70

А бекап у тебя есть (до проблемы).... это позволило провести сравнение

Arbitr написал(а):
проблема ни в битом файле ни в системе..

Тогда бы и проблемы бы не было, я уверен, что конфиги ты не попортил. В логах ошибок сервера насколько я понимаю нет ничего.

Arbitr · 8 Май 2015

akok написал(а):
По поводу манула это похоже бага

я ставил 10 секунд.. а манул находится прямо в корне паблика..

akok написал(а):
В логах ошибок сервера насколько я понимаю нет ничего.

блокируются хост процессы

Arbitr · 11 Май 2015

помог ClamAV

akok · 19 Май 2015

И что же он нашел?

Arbitr · 20 Май 2015

нашел еще два файла с обфусцированным кодом

Kirik-Helper · 20 Май 2015

Arbitr написал(а):
нашел еще два файла с обфусцированным кодом

в который инъекция?

Arbitr · 23 Май 2015

Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете

shestale · 25 Май 2015

Arbitr написал(а):
то есть что там реально написано (какой код) вы не прочитаете

Денис, попробуй этот деобфускатор, он ставиться как дополнение в FF.

Kirik-Helper · 25 Май 2015

Arbitr написал(а):
Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете

кароче меняй пароли на админки ибо можетсперли пароли

Поиск заражения на сайтах

Arbitr

SNS-amigo

SNS System Watch Freelance reporter

Arbitr

SNS-amigo

SNS System Watch Freelance reporter

akok

Arbitr

Arbitr

akok

Arbitr

akok

Arbitr

Arbitr

akok

Arbitr

Kirik-Helper

Участник

Arbitr

shestale

Kirik-Helper

Участник

Похожие темы