• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Заражение сайтов

Статус
В этой теме нельзя размещать новые ответы.

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#1
Всем привет, ситуация: хост - 25 сайтов.. было заражение большинства файлов в паблике libworker.so
шел спам
libworker.so копии все удалены.. строки инклудящие код удалены.. файлы даунлоадеры удалены (может не все 100%)
ситуация сейчас, (после лечения прошла неделя было все нормально) спам не идет, но не работает админка сайтов, не подгружаются скрипты..я проверил весь паблик на kilall -9 что убивает все хост процессы, не нашел
попробовал айболитом что то найти.. загрузил в паблик подключился по ссш но насколько вижу ложные срабатывания.. при необходимости отчет перекину в личку
в общем какие дадите идеи?
 
Последнее редактирование:

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#3
спасиб с утра спробую утиль.. а по инфе о вирусе.. статейка слабая.. я нашел ряд более полных, кроме того здесь упор на заражение самого сервера..у меня же именно этого паблика.. так как второй паблик в этом же акке работает все гуд
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#4
Arbitr, главное, что пища для мозга подана, а далее "глаза боятся, а руки делают". :Biggrin:
 

akok

Команда форума
Администратор
Сообщения
13,777
Симпатии
11,596
#5
Когда чистил может оригинальные файлы попортились?
 

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#6
не совсем корректно ночью написал, неделю после лечения было все гуд.. а после начались проблемы с админкой
Когда чистил может оригинальные файлы попортились?
нет, когда задевал случайно тег php то потом в работе сайта это сразу отображалось - правил ... это видно сразу.. а здесь на все сайты разом траблы с админкой

отчет по скану file_get_contents() has been disabled for security reasons
с правами на папки и файлы все в порядке
фигня у меня с этим сканером..
первую ошибку еще исправил поддержка сказала какой файл из корня хоста скачать удалить и вернуть после обратно..а после пошли ошибки и всегда разные..
xmlrpc.php во всех сайтах он нормально прошел в последнем ругнулся и ошибка.. открыл проверил правильная запись.. то он выдал Undefined variable: filePath первую не скопировал.. в общем как то так :(
Could not properly handle AJAX и все на разные файлы пхп\\\ сами файлы открывал - только нужные записи... в общем не получается отсканить.....
 

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#7
вот найду решение ...фигушки поделюсь!!!
 

akok

Команда форума
Администратор
Сообщения
13,777
Симпатии
11,596
#8
Arbitr, вот как тебе подсказать решение, если ни параметров сервера, ни подробности ошибок из логов, ни лога manul нет. Тут только банальные предложения (о которых ты и сам в курсе). Ты на другой сервер проблемный сайт переносил? Нужно же понять, где проблема (в битом файле или подпорченной системе).
 

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#9
akok, а что дадут параметры сервера? если узнаешь тип процессора колво оперативки и ось на которой все вращается?
подробности ошибок, Could not properly handle AJAX далее путь к файл.php файлы каждый раз разные.. открывал все нормально в них, лога манул нет так как сканирование завершается ошибкой каждый раз... , какой сайт проблемный на данный момент я вычислить не могу.. спам не идет то есть мне надо по одному из 25 переносить на другой хост который еще купить надо... проблема ни в битом файле ни в системе..
надо найти среди 50к файлов php один (или более) в нем команды на убийство хост процессов ..еще возможно что то... поиск тоталом по всему паблику по регулярным выражениям и переменным которые выловил из файлов которые засек и удалил, я делал..
поиск аболитом делал.. не засек,
может другие сканеры?
 

akok

Команда форума
Администратор
Сообщения
13,777
Симпатии
11,596
#10
По поводу манула это похоже бага https://github.com/antimalware/manul/issues/70

А бекап у тебя есть (до проблемы).... это позволило провести сравнение
проблема ни в битом файле ни в системе..
Тогда бы и проблемы бы не было, я уверен, что конфиги ты не попортил. В логах ошибок сервера насколько я понимаю нет ничего.
 

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#11
По поводу манула это похоже бага
я ставил 10 секунд.. а манул находится прямо в корне паблика..
В логах ошибок сервера насколько я понимаю нет ничего.
блокируются хост процессы
 

akok

Команда форума
Администратор
Сообщения
13,777
Симпатии
11,596
#13
И что же он нашел?
 

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#16
Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,294
Симпатии
4,829
#17

Kirik-Helper

Пользователь
Сообщения
71
Симпатии
3
#18
Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете
кароче меняй пароли на админки ибо можетсперли пароли
 
Статус
В этой теме нельзя размещать новые ответы.