Заражение сайтов

Статус
В этой теме нельзя размещать новые ответы.

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
Всем привет, ситуация: хост - 25 сайтов.. было заражение большинства файлов в паблике libworker.so
шел спам
libworker.so копии все удалены.. строки инклудящие код удалены.. файлы даунлоадеры удалены (может не все 100%)
ситуация сейчас, (после лечения прошла неделя было все нормально) спам не идет, но не работает админка сайтов, не подгружаются скрипты..я проверил весь паблик на kilall -9 что убивает все хост процессы, не нашел
попробовал айболитом что то найти.. загрузил в паблик подключился по ссш но насколько вижу ложные срабатывания.. при необходимости отчет перекину в личку
в общем какие дадите идеи?
 
Последнее редактирование:

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
спасиб с утра спробую утиль.. а по инфе о вирусе.. статейка слабая.. я нашел ряд более полных, кроме того здесь упор на заражение самого сервера..у меня же именно этого паблика.. так как второй паблик в этом же акке работает все гуд
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,132
Баллы
803
Arbitr, главное, что пища для мозга подана, а далее "глаза боятся, а руки делают". :Biggrin:
 

akok

Команда форума
Администратор
Сообщения
18,135
Реакции
13,647
Баллы
2,203
Когда чистил может оригинальные файлы попортились?
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
не совсем корректно ночью написал, неделю после лечения было все гуд.. а после начались проблемы с админкой
Когда чистил может оригинальные файлы попортились?
нет, когда задевал случайно тег php то потом в работе сайта это сразу отображалось - правил ... это видно сразу.. а здесь на все сайты разом траблы с админкой

отчет по скану file_get_contents() has been disabled for security reasons
с правами на папки и файлы все в порядке
фигня у меня с этим сканером..
первую ошибку еще исправил поддержка сказала какой файл из корня хоста скачать удалить и вернуть после обратно..а после пошли ошибки и всегда разные..
xmlrpc.php во всех сайтах он нормально прошел в последнем ругнулся и ошибка.. открыл проверил правильная запись.. то он выдал Undefined variable: filePath первую не скопировал.. в общем как то так :(
Could not properly handle AJAX и все на разные файлы пхп\\\ сами файлы открывал - только нужные записи... в общем не получается отсканить.....
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
вот найду решение ...фигушки поделюсь!!!
 

akok

Команда форума
Администратор
Сообщения
18,135
Реакции
13,647
Баллы
2,203
Arbitr, вот как тебе подсказать решение, если ни параметров сервера, ни подробности ошибок из логов, ни лога manul нет. Тут только банальные предложения (о которых ты и сам в курсе). Ты на другой сервер проблемный сайт переносил? Нужно же понять, где проблема (в битом файле или подпорченной системе).
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
akok, а что дадут параметры сервера? если узнаешь тип процессора колво оперативки и ось на которой все вращается?
подробности ошибок, Could not properly handle AJAX далее путь к файл.php файлы каждый раз разные.. открывал все нормально в них, лога манул нет так как сканирование завершается ошибкой каждый раз... , какой сайт проблемный на данный момент я вычислить не могу.. спам не идет то есть мне надо по одному из 25 переносить на другой хост который еще купить надо... проблема ни в битом файле ни в системе..
надо найти среди 50к файлов php один (или более) в нем команды на убийство хост процессов ..еще возможно что то... поиск тоталом по всему паблику по регулярным выражениям и переменным которые выловил из файлов которые засек и удалил, я делал..
поиск аболитом делал.. не засек,
может другие сканеры?
 

akok

Команда форума
Администратор
Сообщения
18,135
Реакции
13,647
Баллы
2,203
По поводу манула это похоже бага https://github.com/antimalware/manul/issues/70

А бекап у тебя есть (до проблемы).... это позволило провести сравнение
проблема ни в битом файле ни в системе..
Тогда бы и проблемы бы не было, я уверен, что конфиги ты не попортил. В логах ошибок сервера насколько я понимаю нет ничего.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593

akok

Команда форума
Администратор
Сообщения
18,135
Реакции
13,647
Баллы
2,203
И что же он нашел?
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
нашел еще два файла с обфусцированным кодом
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
Kirik-Helper, инъекция в обоих... как написал уже код обфусцирован.. то есть что там реально написано (какой код) вы не прочитаете
 

Kirik-Helper

Активный пользователь
Сообщения
71
Реакции
3
Баллы
88
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу