Показано с 1 по 14 из 14.

Дефейс IPB 2.0.4

  1. #1
    Junior Member Репутация
    Регистрация
    04.01.2009
    Сообщений
    5
    Вес репутации
    29

    Дефейс IPB 2.0.4

    Здравствуйте! Прошу вашей помощи.
    Сайт _http://history.philosophy.pu.ru/forum/ - вечером (ориентировочно) 12 декабря подвергся дефейсу.
    установлен IPB 2.0.4 с портальной системой Русский Модифицированный Portal System 2.2.3
    счетчики форума (Li, Mail, Top100 Rambler, Hotlog, Spylog) загружаются в banners.php и включены во шаблоны

    История развития событий:

    13 декабря, при заходе на сайт выдается следующее сообщение:
    Из протестированных нами за последние 90 дней страниц данного сайта (2) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 1. Последний раз сайт просматривался Google 2008-12-13, а подозрительное содержание было обнаружено 2008-12-13.

    Вредоносное ПО включает 1 scripting exploit(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.

    Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая axa3.cn

    Мои действия - проверка онлайн-сканером Dr.Web не нашел вирусов в скриптах. Отключение большинства счетчиков - оставил Li, Mail и Spylog.

    15 декабря - появление отметки о заражении ресурса в Google, падение трафика в 2 раза (сайт не особо оптимизирован под Яндекс и Рамблер).

    Мои действия - обращение в Google Webmasters Tools на повторное сканирование сайта. В Админ-панели при входе (13 декабря я туда не заходил) отображается красочное объявление о включении безопасного режима шаблона, поскольку "кто-то с его помощью хотел получить доступ". Сброс кеша шаблона, за ним сброс HTML-элементов шаблона на дефолтные.

    После этого каждый день проверяю, примерно раз в день Google Bot ходит на сайт и упорно находит там эксплойты. Антивирусное ПО (КИС, Аутпост, Др.Веб, Нод32) об обнаружении вирусов не сообщает.

    Сегодня - проверка JS на SpiderGuide, найдены подозрительные коды в счетчиках Mail.ru. Решил поменять код счетчика на обычный, без JS.
    Обращение на пересмотр сайта в StopBadware.org, поскольку по их базе Google ограничивает доступ.

    По ходу дела выяснилось, в StopBadware мой сайт не знают, а знают об активности philosophy.pu.ru/forum
    ==============================

    Теперь вопрос: так есть ли у меня на _http://history.philosophy.pu.ru/forum/
    вирусы или нет???

    Заранее спасибо!
    Последний раз редактировалось Alexey P.; 05.01.2009 в 02:22. Причина: deactivate link

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2006
    Адрес
    Америка, Антигуа и Барбуда
    Сообщений
    1,213
    Вес репутации
    112
    у меня ничего нету, заражение в таких случаях делают не на всех, знаю точно что могут на опредёлённые регионы быть, но если гугл определяет даже...

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Проверьте свой собственный компьютер на наличие вирусов: http://helpme.virusinfo.info
    После лечения:
    1. Смените админские пароли на сайте
    2. Обновите весь сайт из архива

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2006
    Адрес
    Америка, Антигуа и Барбуда
    Сообщений
    1,213
    Вес репутации
    112
    Всё понятно, с кого атаки были через Ваш сайт его закрыли, вроде бы, мдя , как не повезло, теперь нужно отмываться как то.
    ...На странице всё таки что то есть - http://www.virustotal.com/analisis/1...f7e5579b19f564
    Последний раз редактировалось valho; 05.01.2009 в 07:38. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    04.01.2009
    Сообщений
    5
    Вес репутации
    29
    Спасибо большое!
    DVi - нет у меня вирусов равно как и архивной версии сайта ((

    valho подскажите, а какую страницу Вы отправляли в ВирусТотал? Вы сохранили в HTML просто главную?

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.10.2008
    Сообщений
    332
    Вес репутации
    46
    Philosophaster,
    например вот эта страница:

    http://slil.ru/26508110
    выдает результат:
    http://www.virustotal.com/ru/analisi...1e457986ca3467

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2006
    Адрес
    Америка, Антигуа и Барбуда
    Сообщений
    1,213
    Вес репутации
    112
    На вирустотале SecureWeb-Gateway определяет как Exploit.HTML.Shellcode.gen (suspicious) вот это -

    <meta http-equiv="content-type" content="text/html; charset=windows-1251">
    <meta name="keywords" content="философия, История философии, Философская классика, Восточная, Античная, Средневековая, Возрождение, Новое время, Просвещение, Немецкая, Зарубежная, Русская, Современная, Антропология, онтология, гносеология, Философия истории, Аксиология, Социальная философия, Политическая философия, Мистиковедение, этика и эстетика, Психология, Философия религии, история западной философии, лекции истории философии, история философии учебник, предмет истории философии, понятия истории философии, категории философии, концепции философии, реферат философия, шпаргалка философия, экзамен философия, зачет философия, философия это, функции философии, бытие, материя, философы, мировоззрение">
    <meta name="description" content="Книги по философии. Справочник по истории философии. Материалы для сдачи экзаменов в ВУЗах по философии. Философия древности, Средневековья, Восточная, Возрождения, Нового времени, Немецкая, Русская, Зарубежная, Современнная.">
    Не знаю в чем прикол, видимо это какой то глюк у них.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Philosophaster, Google написал, за что именно он занес Ваш сайт в черный список: http://safebrowsing.clients.google.c...y.pu.ru/forum/

    Вместо утверждения "нет у меня вирусов равно как и архивной версии сайта" лучше сделайте то, что я написал выше. Это алгоритм излечит Ваш сайт.

    Занесен ли сайт philosophy.pu.ru/forum в список подозрительных веб-сайтов?

    Сайт занесен в список подозрительных веб-сайтов – посещение этого сайта может нанести вред вашему компьютеру.
    В некоторой части этого сайта несколько раз (2) за последние 90 дней была замечена подозрительная активность.

    Что произошло во время последнего просмотра этого сайта компанией Google?

    Из протестированных нами за последние 90 дней страниц данного сайта (13 в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 2. Последний раз сайт просматривался Google 2009-01-01, а подозрительное содержание было обнаружено 2008-12-25.
    Вредоносное ПО включает 5 scripting exploit(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.
    Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая axa3.cn/.
    This site was hosted on 1 network(s) including AS5495 (SPBGU).

    Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?

    По всей видимости, за последние 90 дней сайт philosophy.pu.ru/forum не был промежуточным звеном в заражении других сайтов.

    Размещается ли на этом сайте вредоносное программное обеспечение?

    Нет. За последние 90 дней на этом сайте не размещалось вредоносное программное обеспечение.

    Как это произошло?

    В некоторых случаях третьи лица могут добавить вредоносный код на вполне законные сайты. Предупреждающее сообщение может быть показано нами именно по этой причине.
    Лично меня напрягает наличие двух блоков хидеров в одном ответе Апача. Такое обычно означает работу плохо настроенного веб-сервера (иногда так работают вредоносные серверы).

    Код:
    HTTP/1.1 301 Moved Permanently
    Date: Mon, 05 Jan 2009 12:04:52 GMT
    Server: Apache
    Location: http://history.philosophy.pu.ru/forum/
    Content-Length: 246
    Content-Type: text/html; charset=iso-8859-1
    
    HTTP/1.1 200 OK
    Date: Mon, 05 Jan 2009 12:04:52 GMT
    Server: Apache
    Accept-Ranges: bytes
    X-Powered-By: PHP/4.4.7
    Set-Cookie: session_id=799f37efdb571a7ba45c89d25790ad05; path=/
    Transfer-Encoding: chunked
    Content-Type: text/html

  10. #9
    Junior Member Репутация
    Регистрация
    04.01.2009
    Сообщений
    5
    Вес репутации
    29
    понятно, напишу нашему администратору сервера. Но тем не менее, обратите, что Google считает вирусным _philosophy.pu.ru/forum, а не _history.philosophy.pu.ru/forum
    Сделать все ваши действия (2. Обновите весь сайт из архива) не могу, потому, что архива нет. Имеет ли смысл искать на сервере файлы, относящиеся к моему сайту и проверять измененные в декабре на наличие вирусов? Будут ли антивирусы находить вредоносный код в PHP-файлах?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Имеет смысл восстановить из архива (если таковой имеется) все доступные файлы сайта (в том числе шаблоны форума). И обязательно поменять пароли!

    Антивирус не всегда может найти зловреда в файлах сайта, т.к. зловред может содержаться в относительно безопасных блоках: frame, iframe, img, script, object и многих других.

  12. #11
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236
    Хочется посоветовать внимательно слушать то, что говорит DVI - т.к говорит абсолютно правильные и здравые вещи.

    От себя лишь хочется немного разъяснить сие:

    1). Проверить комп в "Помогите!" - "нумер раз" - только после уверенности, что комп чист имеет смысл приступать ко второму шагу, т.к по статистике примерно половина взломов сайтов происходит не через веб-уязвимость сайта/взлом сервера, а через угон паролей с компа админа (не важно каким программным способом это было сделано).

    2). Восстановить все файлы двига (сайта, форума, сторонних скриптов...) из бекапа (скрипты могут быть протроянены - если вы и сможете на странице найти левый ифрейм - это мало чего даст, достаточно добавить одну строку в код ПХП и все - это даст возможность посылать скрипту команды - т.е вычищая ифреймы и прочую нечисть, но не очищая код ПХП - это будет просто мартышкин труд. Не думаю, что Вы сможете самостоятельно в двиге ИПБ найти вставку - кода там слишком много и надо пхп знать хорошо очень, что бы суметь найти лишнее в коде пыхи... - вот поэтому нужно заменить все файлы.
    БД также нужно достать из бекапа старенького - хотя бы такого, который сделан за неделю до взлома - так будет некоторая гарантия, что БД не протроянена (т.е там нет вставок)

    Можно, конечно, и руками шуровть ища вкладки - например в блокноте искать "eval" в коде... но это от дурака-взломщика спасет - так большинство троянит скрипты, но есть и куча других способов протроянить скрипт...

    Менять и тереть нужно все - т.к могут быть не только левые строки в коде пхп, в шаблонах и т.д, но и даже левые файлы могут быть - так называемые, шеллы - штука во всех отношениях удобная - как для админа, так и для взломщика
    // ...

  13. #12
    Junior Member Репутация
    Регистрация
    04.01.2009
    Сообщений
    5
    Вес репутации
    29
    Спасибо всем, кто откликнулся. Я связался с друзьями из Доктора Веба, они подтвердили, что мой сайт чист (я ничего не делал, кроме описанного выше), и сейчас ждем администратора с выходных и будем менять пароли, конфигурировать апач и убивать дырявый PHPBB 3 на клеящемся сайте.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2006
    Адрес
    Америка, Антигуа и Барбуда
    Сообщений
    1,213
    Вес репутации
    112
    Ну наконец то, поздравляю, теперь на сайт нормально заходится, было бы неплохо конечно узнать как гугл убрал предупреждения у вас

  15. #14
    Junior Member Репутация
    Регистрация
    04.01.2009
    Сообщений
    5
    Вес репутации
    29
    У нас кто-то (до сих пор админ не выяснил) поставил криво форум по адресу philosophy.pu.ru/forum. Гугл необъяснимым образом не понимал разницы между этой папкой и history.philosophy.pu.ru/forum. В итоге, папку удалили, два раза я писал в StopBadware и отметку сняли без объяснений причин.

    Более того, ее сняли незадолго до классного прикола от гугл - когда в прошлую субботу все сайты на выдаче были "вредоносными", потому, что сотрудник гугла решил добавить в базу символ "/".

Похожие темы

  1. "Дефейс" Вконтакте или социнженерия таки рулит
    От Kuzz в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 27.08.2010, 11:41
  2. Хакеры устроили дефейс сайта австралийских цензоров
    От Hanson в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 30.03.2009, 10:05
  3. Дефейс nalog.ru
    От HATTIFNATTOR в разделе Новости компьютерной безопасности
    Ответов: 3
    Последнее сообщение: 25.11.2008, 11:13
  4. Депутатская грамота за дефейс сайта
    От anton_dr в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 23.03.2006, 07:41

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01452 seconds with 22 queries