frutality 0 Опубликовано: 31 августа 2012 Рассказать Опубликовано: 31 августа 2012 (изменено) Здравствуйте. Что такое crossdomain.xml и почему в логах сервера я вижу строку: 88.85.217.37 - - [31/Aug/2012:14:47:13 +0400] "GET /crossdomain.xml HTTP/1.1" 404 389 "http://s.nsdsvc.com/App/DddWrapper.swf?c=4" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1181.0 Safari/537.1" Если самого файла в корне моего сайта нет? Почему я спрашиваю тут: дело в том, что я обнаружил на своем сайте вредоносный код (в main.tpl), и теперь ищу откуда полезла зараза, изучаю логи. Первая подозрительная строка, которую я заметил - указана выше, изучаю дальше, но может кто-то что-то знает? P.S. Скрипт лицензионный, сайт diablodisplay.com, из сторонних модулей только Bullet Engine 1.2, последняя заплатка на DLE установлена сразу же как получил письмо. P.P.S. И да, может кто подскажет, но почему дата изменения файла не поменялась, хотя в него добавился текст? P.P.P.S. Антивирусом пользуюсь, снимку не соответствует только main.tpl, файл снимка сохранял себе на компьютер. Добавлено позже: нашел также строку 91.210.24.35 - - [31/Aug/2012:13:49:50 +0400] "GET / HTTP/1.1" 200 52795 "-" "DLE_Spider.exe" Но, насколько знает Гугл, dle_spider это спамерская программка от хрумера, к появлению вредоносного скрипта не относится, вроде бы. Копаю дальше. Изменено 31 августа 2012 пользователем frutality Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 071 Опубликовано: 31 августа 2012 Рассказать Опубликовано: 31 августа 2012 frutality, Это файл всегда ищет флеш плагин браузера, при показе флеша http://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html. Например может какая реклама у вас есть или на других сайтах. или во флеш ролике есть картинки ведущие на сайт, например флеш галерея и т.д. Какой либо угрозы данное обращение и попытка найти этот файл вам не представляет. Цитата Ссылка на сообщение Поделиться на других сайтах
frutality 0 Опубликовано: 31 августа 2012 Рассказать Опубликовано: 31 августа 2012 Автор celsoft, спасибо большое за ответ. Посоветуйте, если я еще чего подозрительного найду, мне в эту тему писать или создавать новую? Все еще не нашел откуда взялась зараза, ищу. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 071 Опубликовано: 31 августа 2012 Рассказать Опубликовано: 31 августа 2012 Почему я спрашиваю тут: дело в том, что я обнаружил на своем сайте вредоносный код (в main.tpl), и теперь ищу откуда полезла зараза, изучаю логи. в DLE возможность редактирования есть только у админпанели, если вам это сделали через DLE, то в админпанели в разделе "Список действий в админпанели", если там нет записи о редактировании шаблона, значит это сделали минуя DLE. P.P.S. И да, может кто подскажет, но почему дата изменения файла не поменялась, хотя в него добавился текст? Это несложно, такие параметры как дата легко управляются, их можно сделать какими угодно.Посоветуйте, если я еще чего подозрительного найду, мне в эту тему писать или создавать новую? Сюда и пишите, зачем новую создавать. Цитата Ссылка на сообщение Поделиться на других сайтах
frutality 0 Опубликовано: 1 сентября 2012 Рассказать Опубликовано: 1 сентября 2012 (изменено) Автор Большое спасибо за ответы. Логи продолжаю сегодня изучать, пока ничего не обнаружил, но нашел скрипт снова на сайте - на этот раз не в шаблоне, а в файле config.php, скрипт добавлен в description. Как и раньше, дата изменения файла - старая, но в этот раз антивирус ничего не выдал! Никакого изменения в файлах. Причем, не выдал он что файлы изменились, даже когда я стер вредоносный код из файла и сохранил его на сервере. Копаю дальше. Добавлено: Вижу вот такую строку 188.190.124.67 - - [31/Aug/2012:12:47:23 +0400] "GET /forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8; HTTP/1.0" 404 389 "http://diablodisplay.com/forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;" "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0" Выглядит странно, но скорее всего тоже ничего вредоносного. Относится к форуму. Изменено 1 сентября 2012 пользователем frutality Цитата Ссылка на сообщение Поделиться на других сайтах
frutality 0 Опубликовано: 1 сентября 2012 Рассказать Опубликовано: 1 сентября 2012 Автор Также есть строки типа: 109.120.157.179 - - [31/Aug/2012:08:58:28 +0400] "GET / HTTP/1.1" 200 40960 "http://kinonew-online.net/" "Mozilla/5.0 (compatible; Add Catalog/2.1;)" С разными доменами, тоже по всей видимости ничего вредного, но любопытно, ведь этот домен мне неизвестен и ссылок на мой сайт там нет. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 071 Опубликовано: 1 сентября 2012 Рассказать Опубликовано: 1 сентября 2012 Выглядит странно, но скорее всего тоже ничего вредоносного. Относится к форуму. Это уже сканирование ботами, может быть попытка регистрации, может быть еще что. но нашел скрипт снова на сайте - на этот раз не в шаблоне, а в файле config.php Меняют только файлы на которые есть права на запись, отсюда вывод, с большой долей вероятности на сервере шелл, причем не обязательно в папке с DLE, может быть в других папках, не относящихся к DLE, или на соседних сайтах по вашему серверу. Проверяйте тщательно все без исключения, все файлы и скрипты не имеющие отношения к стандартным файлам DLE нужно незамедлительно удалять. Цитата Ссылка на сообщение Поделиться на других сайтах
frutality 0 Опубликовано: 2 сентября 2012 Рассказать Опубликовано: 2 сентября 2012 Автор Проверил все файлы во всех папках в каталоге с DLE. Нашел два отличных от дистрибутива файла, отправил вам их в личку. Сейчас проверяю другие сайты на аккаунте. Цитата Ссылка на сообщение Поделиться на других сайтах
frutality 0 Опубликовано: 3 сентября 2012 Рассказать Опубликовано: 3 сентября 2012 Автор Просмотрел все сайты на аккаунте. Ничего подозрительного. Но я не остановился (чего и всем советую, кто попадет в похожую ситуацию). Проверил все таблицы БД на наличие тегов script и iframe - и нашел! В самой просматриваемой статье на указанном сайте, в конце, затесались пара чужих скриптов. Как они туда попали - без понятия, увы, логов записи в БД у меня нет Продолжаю мониторить и изучать свои сайты. Времени уходит куча! Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.