Перейти к публикации

crossdomain.xml и безопасность


Рекомендованные сообщения

Здравствуйте.

Что такое crossdomain.xml и почему в логах сервера я вижу строку:

88.85.217.37 - - [31/Aug/2012:14:47:13 +0400] "GET /crossdomain.xml HTTP/1.1" 404 389 "http://s.nsdsvc.com/App/DddWrapper.swf?c=4" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1181.0 Safari/537.1"

Если самого файла в корне моего сайта нет?

Почему я спрашиваю тут: дело в том, что я обнаружил на своем сайте вредоносный код (в main.tpl), и теперь ищу откуда полезла зараза, изучаю логи. Первая подозрительная строка, которую я заметил - указана выше, изучаю дальше, но может кто-то что-то знает?

P.S. Скрипт лицензионный, сайт diablodisplay.com, из сторонних модулей только Bullet Engine 1.2, последняя заплатка на DLE установлена сразу же как получил письмо.

P.P.S. И да, может кто подскажет, но почему дата изменения файла не поменялась, хотя в него добавился текст?

P.P.P.S. Антивирусом пользуюсь, снимку не соответствует только main.tpl, файл снимка сохранял себе на компьютер.

Добавлено позже: нашел также строку

91.210.24.35 - - [31/Aug/2012:13:49:50 +0400] "GET / HTTP/1.1" 200 52795 "-" "DLE_Spider.exe"

Но, насколько знает Гугл, dle_spider это спамерская программка от хрумера, к появлению вредоносного скрипта не относится, вроде бы. Копаю дальше.

Изменено пользователем frutality
Ссылка на сообщение
Поделиться на других сайтах

frutality,

Это файл всегда ищет флеш плагин браузера, при показе флеша http://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html. Например может какая реклама у вас есть или на других сайтах. или во флеш ролике есть картинки ведущие на сайт, например флеш галерея и т.д. Какой либо угрозы данное обращение и попытка найти этот файл вам не представляет.

Ссылка на сообщение
Поделиться на других сайтах

celsoft, спасибо большое за ответ. Посоветуйте, если я еще чего подозрительного найду, мне в эту тему писать или создавать новую? Все еще не нашел откуда взялась зараза, ищу.

Ссылка на сообщение
Поделиться на других сайтах

Почему я спрашиваю тут: дело в том, что я обнаружил на своем сайте вредоносный код (в main.tpl), и теперь ищу откуда полезла зараза, изучаю логи.

в DLE возможность редактирования есть только у админпанели, если вам это сделали через DLE, то в админпанели в разделе "Список действий в админпанели", если там нет записи о редактировании шаблона, значит это сделали минуя DLE.

P.P.S. И да, может кто подскажет, но почему дата изменения файла не поменялась, хотя в него добавился текст?

Это несложно, такие параметры как дата легко управляются, их можно сделать какими угодно.

Посоветуйте, если я еще чего подозрительного найду, мне в эту тему писать или создавать новую?

Сюда и пишите, зачем новую создавать.

Ссылка на сообщение
Поделиться на других сайтах

Большое спасибо за ответы.

Логи продолжаю сегодня изучать, пока ничего не обнаружил, но нашел скрипт снова на сайте - на этот раз не в шаблоне, а в файле config.php, скрипт добавлен в description. Как и раньше, дата изменения файла - старая, но в этот раз антивирус ничего не выдал! Никакого изменения в файлах. Причем, не выдал он что файлы изменились, даже когда я стер вредоносный код из файла и сохранил его на сервере.

Копаю дальше.

Добавлено:

Вижу вот такую строку

188.190.124.67 - - [31/Aug/2012:12:47:23 +0400] "GET /forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8; HTTP/1.0" 404 389 "http://diablodisplay.com/forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;" "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0"

Выглядит странно, но скорее всего тоже ничего вредоносного. Относится к форуму.

Изменено пользователем frutality
Ссылка на сообщение
Поделиться на других сайтах

Также есть строки типа:

109.120.157.179 - - [31/Aug/2012:08:58:28 +0400] "GET / HTTP/1.1" 200 40960 "http://kinonew-online.net/" "Mozilla/5.0 (compatible; Add Catalog/2.1;)"

С разными доменами, тоже по всей видимости ничего вредного, но любопытно, ведь этот домен мне неизвестен и ссылок на мой сайт там нет.

Ссылка на сообщение
Поделиться на других сайтах

Выглядит странно, но скорее всего тоже ничего вредоносного. Относится к форуму.

Это уже сканирование ботами, может быть попытка регистрации, может быть еще что.

но нашел скрипт снова на сайте - на этот раз не в шаблоне, а в файле config.php

Меняют только файлы на которые есть права на запись, отсюда вывод, с большой долей вероятности на сервере шелл, причем не обязательно в папке с DLE, может быть в других папках, не относящихся к DLE, или на соседних сайтах по вашему серверу.

Проверяйте тщательно все без исключения, все файлы и скрипты не имеющие отношения к стандартным файлам DLE нужно незамедлительно удалять.

Ссылка на сообщение
Поделиться на других сайтах

Проверил все файлы во всех папках в каталоге с DLE. Нашел два отличных от дистрибутива файла, отправил вам их в личку.

Сейчас проверяю другие сайты на аккаунте.

Ссылка на сообщение
Поделиться на других сайтах

Просмотрел все сайты на аккаунте. Ничего подозрительного. Но я не остановился (чего и всем советую, кто попадет в похожую ситуацию). Проверил все таблицы БД на наличие тегов script и iframe - и нашел! В самой просматриваемой статье на указанном сайте, в конце, затесались пара чужих скриптов. Как они туда попали - без понятия, увы, логов записи в БД у меня нет :(

Продолжаю мониторить и изучать свои сайты. Времени уходит куча! :)

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...