Поиск заражения на сайтах

  • Автор темы Автор темы Arbitr
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

Arbitr

Ассоциация VN
VIP
Сообщения
3,445
Реакции
1,405
Всем привет, ситуация: хост - 25 сайтов.. было заражение большинства файлов в паблике libworker.so
шел спам
libworker.so копии все удалены.. строки инклудящие код удалены.. файлы даунлоадеры удалены (может не все 100%)
ситуация сейчас, (после лечения прошла неделя было все нормально) спам не идет, но не работает админка сайтов, не подгружаются скрипты..я проверил весь паблик на kilall -9 что убивает все хост процессы, не нашел
попробовал айболитом что то найти.. загрузил в паблик подключился по ссш но насколько вижу ложные срабатывания.. при необходимости отчет перекину в личку
в общем какие дадите идеи?
 
Последнее редактирование:
спасиб с утра спробую утиль.. а по инфе о вирусе.. статейка слабая.. я нашел ряд более полных, кроме того здесь упор на заражение самого сервера..у меня же именно этого паблика.. так как второй паблик в этом же акке работает все гуд
 
Arbitr, главное, что пища для мозга подана, а далее "глаза боятся, а руки делают". :Biggrin:
 
Когда чистил может оригинальные файлы попортились?
 
не совсем корректно ночью написал, неделю после лечения было все гуд.. а после начались проблемы с админкой
Когда чистил может оригинальные файлы попортились?
нет, когда задевал случайно тег php то потом в работе сайта это сразу отображалось - правил ... это видно сразу.. а здесь на все сайты разом траблы с админкой

отчет по скану file_get_contents() has been disabled for security reasons
с правами на папки и файлы все в порядке
фигня у меня с этим сканером..
первую ошибку еще исправил поддержка сказала какой файл из корня хоста скачать удалить и вернуть после обратно..а после пошли ошибки и всегда разные..
xmlrpc.php во всех сайтах он нормально прошел в последнем ругнулся и ошибка.. открыл проверил правильная запись.. то он выдал Undefined variable: filePath первую не скопировал.. в общем как то так :(
Could not properly handle AJAX и все на разные файлы пхп\\\ сами файлы открывал - только нужные записи... в общем не получается отсканить.....
 
вот найду решение ...фигушки поделюсь!!!
 
Arbitr, вот как тебе подсказать решение, если ни параметров сервера, ни подробности ошибок из логов, ни лога manul нет. Тут только банальные предложения (о которых ты и сам в курсе). Ты на другой сервер проблемный сайт переносил? Нужно же понять, где проблема (в битом файле или подпорченной системе).
 
akok, а что дадут параметры сервера? если узнаешь тип процессора колво оперативки и ось на которой все вращается?
подробности ошибок, Could not properly handle AJAX далее путь к файл.php файлы каждый раз разные.. открывал все нормально в них, лога манул нет так как сканирование завершается ошибкой каждый раз... , какой сайт проблемный на данный момент я вычислить не могу.. спам не идет то есть мне надо по одному из 25 переносить на другой хост который еще купить надо... проблема ни в битом файле ни в системе..
надо найти среди 50к файлов php один (или более) в нем команды на убийство хост процессов ..еще возможно что то... поиск тоталом по всему паблику по регулярным выражениям и переменным которые выловил из файлов которые засек и удалил, я делал..
поиск аболитом делал.. не засек,
может другие сканеры?
 
По поводу манула это похоже бага https://github.com/antimalware/manul/issues/70

А бекап у тебя есть (до проблемы).... это позволило провести сравнение
проблема ни в битом файле ни в системе..
Тогда бы и проблемы бы не было, я уверен, что конфиги ты не попортил. В логах ошибок сервера насколько я понимаю нет ничего.
 
И что же он нашел?
 
нашел еще два файла с обфусцированным кодом
 
Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу