[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

Тема в разделе "WebAsyst", создана пользователем Pal, 29 окт 2015.

Модераторы: mdss
  1. alexv1r

    alexv1r Писатель

    Регистр.:
    5 дек 2013
    Сообщения:
    5
    Симпатии:
    0
    Этот код режьте не задумываясь - он просто выполняет зловреды (у меня их было 5 штук под видом сессий) вытягивая их из базы. И заинклудит в mainconent каждой страницы.
    Я по файлам быстренько прошелся - session_groups вроде не используется, так что можете удалять. Осталось понять как код попал в базу...

    Как давно появилась не отвечу, т.к. на сайте клиента произошло. Но вроде несколько недель назад, хотя может и раньше - админы то не видели. Плюс ADBlock режет на странице без проблем.
     
  2. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    И снова какая то зараза прилипла. Внешне вообще никак не проявляется ни в файерфоксе, ни в опере, если загружаешь сайт в Edge - то угрозу блокирует антивирус.
    На rescan.pro выглядит так инфекция
    Кто нибудь сталкивался? Куда копать?
     
  3. RORC

    RORC

    Регистр.:
    14 июн 2013
    Сообщения:
    327
    Симпатии:
    110
    сменить юзер агент на осла или подобное и проверить. Похоже на TDS систему для дорвеев или клоакинг.
    Смотреть как js файлы, так и php. Самый простой способ по дате изменения.
     
  4. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    нашел текстовым поиском в папке public_html/published/SC/html/scripts/js/ файл mloader.js с таким содержимым

    Не поможете разобраться, где еще могут быть следы этого дерьма?

    в той же папке нашел еще behavior.js(искал по тексту mloader.js )
     
    Последнее редактирование модератором: 29 май 2018
  5. RORC

    RORC

    Регистр.:
    14 июн 2013
    Сообщения:
    327
    Симпатии:
    110
    Текстовым поиском все вхождения eval просмотреть нужно или спец антивирусами типа AI-bolit
    CoinHive - майнер, нужно еще разобраться как он на хостинг попал, где шел.
     
    NhGXkv85PR нравится это.
  6. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    eval искать в файлах только или в базе тоже?

    по тексту eval не разберешься никак, слишком много вхождений, 22000 с лишним результатов. Впрочем свежих файлов кроме тех о которых писал выше - нет.
     
    Последнее редактирование модератором: 29 май 2018
  7. RORC

    RORC

    Регистр.:
    14 июн 2013
    Сообщения:
    327
    Симпатии:
    110
    Нужно смотреть на то в каких файлах находиться, стандартные библиотеки лучше заменить, чтобы не думать. Количество вхождений значения не имеет.

    Самый простой вариант, если движок не дорабатывался, это оставить базу данных, изображения, конфиги. Остальное закинуть заново из исходников. Делать на локалке, после перенести.

    Если версия скрипта 34*-35*, то там уязвимый визуальный редактор, его лучше заменить на что-то более новое.
     
  8. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    Даж не знаю откуда такие номера...309 у меня версия.
    Восстановил на всякий случай магазин из резервной копии, примерно за неделю до того как те левые файлы прописались. Базу не трогал.
    Эх, похоже не оставят в покое хакеры уже.
     
  9. RORC

    RORC

    Регистр.:
    14 июн 2013
    Сообщения:
    327
    Симпатии:
    110
    tinymce обязательно обновить или заменить или удалить или закрыть с левых айпишников, иначе быстро ломают.
    https://www.nulled.cc/threads/286945/
     
  10. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    185
    Симпатии:
    25
    А поконкретнее нет расскажете? кто эта тинимсе, где она, есть ли инструкция как ее поулучшить?