crossdomain.xml и безопасность

[frutality 0]

Здравствуйте.

Что такое crossdomain.xml и почему в логах сервера я вижу строку:

88.85.217.37 - - [31/Aug/2012:14:47:13 +0400] "GET /crossdomain.xml HTTP/1.1" 404 389 "http://s.nsdsvc.com/App/DddWrapper.swf?c=4" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1181.0 Safari/537.1"

Если самого файла в корне моего сайта нет?

Почему я спрашиваю тут: дело в том, что я обнаружил на своем сайте вредоносный код (в main.tpl), и теперь ищу откуда полезла зараза, изучаю логи. Первая подозрительная строка, которую я заметил - указана выше, изучаю дальше, но может кто-то что-то знает?

P.S. Скрипт лицензионный, сайт diablodisplay.com, из сторонних модулей только Bullet Engine 1.2, последняя заплатка на DLE установлена сразу же как получил письмо.

P.P.S. И да, может кто подскажет, но почему дата изменения файла не поменялась, хотя в него добавился текст?

P.P.P.S. Антивирусом пользуюсь, снимку не соответствует только main.tpl, файл снимка сохранял себе на компьютер.

Добавлено позже: нашел также строку

91.210.24.35 - - [31/Aug/2012:13:49:50 +0400] "GET / HTTP/1.1" 200 52795 "-" "DLE_Spider.exe"

Но, насколько знает Гугл, dle_spider это спамерская программка от хрумера, к появлению вредоносного скрипта не относится, вроде бы. Копаю дальше.

Изменено 31 августа 2012 пользователем frutality

[celsoft 5 984]

frutality,

Это файл всегда ищет флеш плагин браузера, при показе флеша http://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html. Например может какая реклама у вас есть или на других сайтах. или во флеш ролике есть картинки ведущие на сайт, например флеш галерея и т.д. Какой либо угрозы данное обращение и попытка найти этот файл вам не представляет.

[frutality 0]

celsoft, спасибо большое за ответ. Посоветуйте, если я еще чего подозрительного найду, мне в эту тему писать или создавать новую? Все еще не нашел откуда взялась зараза, ищу.

[celsoft 5 984]

Почему я спрашиваю тут: дело в том, что я обнаружил на своем сайте вредоносный код (в main.tpl), и теперь ищу откуда полезла зараза, изучаю логи.

в DLE возможность редактирования есть только у админпанели, если вам это сделали через DLE, то в админпанели в разделе "Список действий в админпанели", если там нет записи о редактировании шаблона, значит это сделали минуя DLE.

P.P.S. И да, может кто подскажет, но почему дата изменения файла не поменялась, хотя в него добавился текст?

Это несложно, такие параметры как дата легко управляются, их можно сделать какими угодно.

Посоветуйте, если я еще чего подозрительного найду, мне в эту тему писать или создавать новую?

Сюда и пишите, зачем новую создавать.

[frutality 0]

Большое спасибо за ответы.

Логи продолжаю сегодня изучать, пока ничего не обнаружил, но нашел скрипт снова на сайте - на этот раз не в шаблоне, а в файле config.php, скрипт добавлен в description. Как и раньше, дата изменения файла - старая, но в этот раз антивирус ничего не выдал! Никакого изменения в файлах. Причем, не выдал он что файлы изменились, даже когда я стер вредоносный код из файла и сохранил его на сервере.

Копаю дальше.

Добавлено:

Вижу вот такую строку

188.190.124.67 - - [31/Aug/2012:12:47:23 +0400] "GET /forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8; HTTP/1.0" 404 389 "http://diablodisplay.com/forum+++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+188.190.124.67:8080;+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+11;+%EE%F8%E8%E1%EA%E0:+%22%CE%F8%E8%E1%EA%E0+%F0%E5%E3%E8%F1%F2%F0%E0%F6%E8%E8+-+%CA%EE%E4+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%E8+%ED%E5+%F1%EE%EE%F2%E2%E5%F2%F1%F2%E2%F3%E5%F2+%EE%F2%EE%E1%F0%E0%E6%B8%ED%ED%EE%EC%F3%22;+ReCaptcha+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED%E0;+%28JS%29;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;" "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0"

Выглядит странно, но скорее всего тоже ничего вредоносного. Относится к форуму.

Изменено 1 сентября 2012 пользователем frutality

[frutality 0]

Также есть строки типа:

109.120.157.179 - - [31/Aug/2012:08:58:28 +0400] "GET / HTTP/1.1" 200 40960 "http://kinonew-online.net/" "Mozilla/5.0 (compatible; Add Catalog/2.1;)"

С разными доменами, тоже по всей видимости ничего вредного, но любопытно, ведь этот домен мне неизвестен и ссылок на мой сайт там нет.

[celsoft 5 984]

Выглядит странно, но скорее всего тоже ничего вредоносного. Относится к форуму.

Это уже сканирование ботами, может быть попытка регистрации, может быть еще что.

но нашел скрипт снова на сайте - на этот раз не в шаблоне, а в файле config.php

Меняют только файлы на которые есть права на запись, отсюда вывод, с большой долей вероятности на сервере шелл, причем не обязательно в папке с DLE, может быть в других папках, не относящихся к DLE, или на соседних сайтах по вашему серверу.

Проверяйте тщательно все без исключения, все файлы и скрипты не имеющие отношения к стандартным файлам DLE нужно незамедлительно удалять.

[frutality 0]

Проверил все файлы во всех папках в каталоге с DLE. Нашел два отличных от дистрибутива файла, отправил вам их в личку.

Сейчас проверяю другие сайты на аккаунте.

[frutality 0]

Просмотрел все сайты на аккаунте. Ничего подозрительного. Но я не остановился (чего и всем советую, кто попадет в похожую ситуацию). Проверил все таблицы БД на наличие тегов script и iframe - и нашел! В самой просматриваемой статье на указанном сайте, в конце, затесались пара чужих скриптов. Как они туда попали - без понятия, увы, логов записи в БД у меня нет

Продолжаю мониторить и изучать свои сайты. Времени уходит куча!