PDA

Просмотр полной версии : Нашли дыру на сайте, форуме или на хостинге.....



nbnfy
17.10.2014, 12:52
Здравствуйте....
Имеется сайт на drupal , плюс форум на ipb.
Делал все для родителей, но пока заниматься нет времени, сам адрес

myhomeidea(точка)ru.

Так вот.
Как то совсем недавно, яндекс вебмастер стал ругаться что на сайте завелся посторонний код.Я этому значение не придал, не было времени,..но позже тот же яндекс стал говорить что все нормально....

После этого я стал замечать, сначало при загрузке форума, подгружалась одна страничка.Ведущая либо на ссылку...(см ниже)...либо смотри на скриншот....

http go.unicume.com/aff_r?offer_id=1104&aff_id=1254&url=http%3A%2F%2Fhastrk1.com%2Fserve%3Faction%3Dcl ick%26publisher_id%3D54804%26site_id%3D31202%26off er_id%3D256908%26ref_id%3D10232e1d809e79f855bb9857 8349cf%26sub_publisher%3D1254%26sub_campaign%3D110 4%26destination_id%3D37748&urlauth=729560057965593802907637329929

Или сюда....Внимание ссылка походу ведет на вредоносный сайт...

http:ip.goitpc.su/?944154=biduaDx4dnV5cXN-aScjIyk





Потом стало такое же происходить но когда гуляешь по сайту.Регулярно один раз в день..В большинстве случаев попадал на скриншот...
Он блокирует браузер, и просит установить обнову,..выход только один - убить процесс браузера...


Помогите пожалуйста избавиться от этого.....

nbnfy
18.10.2014, 13:39
Сюда залил видеофайл, как все происходит..http://dfiles.ru/files/1ls7meigt

revisium
18.10.2014, 13:47
Судя по описанному поведению, в коде страниц должен быть javascript инжект, который выполняет при определенных условиях редирект на сторонний сайт (партнерку, "связку", вредонос).

Пробовал в разных браузерах, воспроизвести редирект не удалось. В коде и javascript файлах тоже очевидного, что могло привести к подобным редиректам, не видно.

Попробуйте самостоятельно снять сессию с редиректом. Это можно сделать по простому, через Internet Explorer 11 (нажать F12, перейти в закладку "Network", нажать на запись, погулять по сайту и когда возникнет редирект - остановить запись, сохранить сессию и приаттачить xml файл сюда). Если позволяет опыт, то можно записать сессию в программе Wireshark (включить его на запись, погулять по сайту, если редирект возникнет - сохранить файл pcap и приаттачить его сюда).

На сайте у вас висит виджет xuxu.org.ua. Попробуйте его убрать и понаблюдать. Бывает, что с виджетами в нагрузку идут вредоносы + http://virusinfo.info/showthread.php?t=165938 выполните пункт 6,7

nbnfy
18.10.2014, 13:54
Попробую это сделать...что смогу.....но такая бяка выскавивает стабильно раз в сутки.....по крайней мере у меня когда я на него захожу......

- - - - -Добавлено - - - - -

У меня тут нет IE11 только 9...

Ilya Shabanov
20.10.2014, 18:33
nbnfy, в браузере искать вредоносный код бесполезно в данном случае. Судя по симптомам на зараженный сайт пускают только один раз в сутки, т.е. работают фильтры чтобы на палиться. Поисковикам показывают чистую страницу опять же чтобы не привлекать внимание. IP роботов известны и сделать правила для это совсем несложно.

Чтобы подтвердить гипотезу попробуйте зайти на сайт через Tor с ip из разных стран с полной очисткой куков. В этом случае вредоносная активность должна проявляться, так как вы будете каждый раз свежей жертвой.

Нужно искать изменения в скриптах php. По опыту использования drupal и ipb могу сказать, что изменяют или index.php в соответствующей директории или же файлы темплейтов. Смотрите какие файлы менялись относительно не давно. Посторонний код будет сразу заметно (скорее всего он будет внизу дописан).

nbnfy
20.10.2014, 23:57
Спасибо.Как только будет время,.сразу этим займусь.
А что можете сказать сказать про это--ip.goitpc.su/?944154=biduaDx4dnV5cXN-aScjIyk
Проверил ссылку на вирустотале...2 из 60 брендов, в том числе касперский, показывает что там Малваре..

Ilya Shabanov
21.10.2014, 23:05
Похоже на вредонос, Касперский не врет. Визуально настораживают последние строки кода скрипта.

nbnfy
18.12.2014, 21:00
В общем, появилось время порешать проблему...да делов я наворотил.
Залез на свой сайт,в админке увидел еще парочку администарторов с меньшими правами,.быстренько их удалил,блокнул, обновил версию друпала,обновил все модули..в итоге слетел шаблон, в итоге слетели настройки форума.
Хосте шлет письма, что с моего аккаунта идет огромный спам на почту...вообщем дела....

Есть кто нибудь....у кого есть желание помочь настроить грамотно все на хосте и обнаружить и удалить вредоносный код....

- - - - -Добавлено - - - - -

С трудом разобрался как сделать бэкап..скачал сайты на комп...проверил сканером Айболит, там ужас..одна краснота....бэкдоры и все такое.....
Есть кто может помочь.Скину логи айболита для анализов.:unsure::unsure::unsure:

Val_Ery
19.12.2014, 08:38
да делов я наворотил
Друпал какой? Седьмой?
Про уязвимость SA-CORE-2014-005 слышали? Очень рекомендую почитать (https://www.drupal.org/PSA-2014-003)... Ибо риски 25/25...
Главный вердикт тама такой - если в течении 7 часов после официального выхода релиза 7.32 вы не обновили свой сайт до актуальной версии, то можете считать его скомпроментированным.
Я попал с двумя сайтами: на одном появился мегаюзер с мегаправами (в коде - чисто), а вот второй пришлось долго лечить с пристрастием. Причем, именно на нем осознал необходимость своевременных обновлений (это я про 7 часов): через два дня ситуация повторилась на пролеченно-обновленном до безпредела сайте...

P.S. Про то, что вы можете сделать сами...
Связка модулей Hacked! (https://www.drupal.org/project/hacked) и Diff (https://www.drupal.org/project/diff) - покажет, что творится в вашей файловой системе (удалено/изменено/добавлено), сравнивая ваши друпал-файлы с "оригиналом" (последние актуальные версии модулей и системы)
Если Друпал всё-таки седьмой - ещё очень рекомендую использовать Site Audit (https://www.drupal.org/project/site_audit) и Drupalgeddon (https://www.drupal.org/project/drupalgeddon). Это drush-команды. Результат работы сохраняется в виде html-файла, который было бы неплохо просмотреть и выполнить рекомендации... По приведенным ссылкам есть примеры команд, показывающие, как этим пользоваться.

Про логи для анализа...
Посмотреть можно, но без обещаний. Если Вас такое устроит :>
Или подождите, может кто ещё откликнется...

nbnfy
19.12.2014, 13:47
У меня на хосте два сайта. Один из них кишит вирусами....и его либо нуно излечить..либо залить все заново на хост....
Так как с него идет спам...и редирект на другие сайты,. об этом мне сообщил хостер....

Но дело все в том что я не особо в этом понимаю....

Друпал 7.34


Если есть желание и хотите посмотреть....пишите как их вам скинуть

Val_Ery
19.12.2014, 18:22
Дык, ссылкой в личку :)

nbnfy
20.12.2014, 22:50
Кинул в ЛК:(

a.alona
28.12.2014, 20:45
пишите на каких операционках сайты, чтобы понимать проблема в движке или в системе.

nbnfy
31.12.2014, 21:25
пишите на каких операционках сайты, чтобы понимать проблема в движке или в системе.
В теме все написано.....:P

totoless
26.02.2015, 09:36
Поменяй хостинг, Замени все файлы на оригиналы. Обычно когда взламывают сайт, в страницу вшивают код. У меня так было. Был один хостинг. У него была дырка. Пришлось оттуда переезжать через полгода. При том что хостер с пеной у рта твердит что нет вирусов у меня на сайтах.) Переезжай в другое место. Проверь также все цепочки через онлайн проверки. Посмотри базу данных на наличие левых ссылок. Также погляди в сайте что вшили.

totoless
26.02.2015, 09:37
А какой у тебя хостер? Имя? Мой тебе совет, иди на свеб.ру. Хоть и дорого чуть, но за 2 года нет проблем ваще!

sanechek
06.08.2015, 10:26
А какой у тебя хостер? Имя? Мой тебе совет, иди на свеб.ру. Хоть и дорого чуть, но за 2 года нет проблем ваще!

Вполне согласен я уже на нем больше 3-х лет и тоже ни каких проблем!!!

revisium
06.08.2015, 11:48
Хостинг в данном случае ни причем. И бежать его менять не нужно. Причина взлома в большинстве случаев - уязвимости в скриптах, и чуть реже - в перехваченных доступах к FTP/панели хостинга.

a.alona
07.08.2015, 23:16
проблемы с сайтами:
взлом через админку (подбор паролей)
взлом через уязвимость движка
взлом через уязвимость сервера
взлом чрез взлом сервера (подбор паролей)