frutality
-
Публикации
6 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем frutality
-
-
Проверил все файлы во всех папках в каталоге с DLE. Нашел два отличных от дистрибутива файла, отправил вам их в личку.
Сейчас проверяю другие сайты на аккаунте.
-
Также есть строки типа:
109.120.157.179 - - [31/Aug/2012:08:58:28 +0400] "GET / HTTP/1.1" 200 40960 "http://kinonew-online.net/" "Mozilla/5.0 (compatible; Add Catalog/2.1;)"
С разными доменами, тоже по всей видимости ничего вредного, но любопытно, ведь этот домен мне неизвестен и ссылок на мой сайт там нет.
-
Большое спасибо за ответы.
Логи продолжаю сегодня изучать, пока ничего не обнаружил, но нашел скрипт снова на сайте - на этот раз не в шаблоне, а в файле config.php, скрипт добавлен в description. Как и раньше, дата изменения файла - старая, но в этот раз антивирус ничего не выдал! Никакого изменения в файлах. Причем, не выдал он что файлы изменились, даже когда я стер вредоносный код из файла и сохранил его на сервере.
Копаю дальше.
Добавлено:
Вижу вот такую строку
188.190.124.67 - - [31/Aug/2012:12:47:23 +0400] "GET /forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8; HTTP/1.0" 404 389 "http://diablodisplay.com/forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;" "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0"
Выглядит странно, но скорее всего тоже ничего вредоносного. Относится к форуму.
-
celsoft, спасибо большое за ответ. Посоветуйте, если я еще чего подозрительного найду, мне в эту тему писать или создавать новую? Все еще не нашел откуда взялась зараза, ищу.
-
Здравствуйте.
Что такое crossdomain.xml и почему в логах сервера я вижу строку:
88.85.217.37 - - [31/Aug/2012:14:47:13 +0400] "GET /crossdomain.xml HTTP/1.1" 404 389 "http://s.nsdsvc.com/App/DddWrapper.swf?c=4" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1181.0 Safari/537.1"
Если самого файла в корне моего сайта нет?
Почему я спрашиваю тут: дело в том, что я обнаружил на своем сайте вредоносный код (в main.tpl), и теперь ищу откуда полезла зараза, изучаю логи. Первая подозрительная строка, которую я заметил - указана выше, изучаю дальше, но может кто-то что-то знает?
P.S. Скрипт лицензионный, сайт diablodisplay.com, из сторонних модулей только Bullet Engine 1.2, последняя заплатка на DLE установлена сразу же как получил письмо.
P.P.S. И да, может кто подскажет, но почему дата изменения файла не поменялась, хотя в него добавился текст?
P.P.P.S. Антивирусом пользуюсь, снимку не соответствует только main.tpl, файл снимка сохранял себе на компьютер.
Добавлено позже: нашел также строку
91.210.24.35 - - [31/Aug/2012:13:49:50 +0400] "GET / HTTP/1.1" 200 52795 "-" "DLE_Spider.exe"
Но, насколько знает Гугл, dle_spider это спамерская программка от хрумера, к появлению вредоносного скрипта не относится, вроде бы. Копаю дальше.
crossdomain.xml и безопасность
в В помощь вебмастеру
Опубликовано:
Просмотрел все сайты на аккаунте. Ничего подозрительного. Но я не остановился (чего и всем советую, кто попадет в похожую ситуацию). Проверил все таблицы БД на наличие тегов script и iframe - и нашел! В самой просматриваемой статье на указанном сайте, в конце, затесались пара чужих скриптов. Как они туда попали - без понятия, увы, логов записи в БД у меня нет
Продолжаю мониторить и изучать свои сайты. Времени уходит куча!