Дефейс IPB 2.0.4

[Philosophaster]

Здравствуйте! Прошу вашей помощи.
Сайт _http://history.philosophy.pu.ru/forum/ - вечером (ориентировочно) 12 декабря подвергся дефейсу.
установлен IPB 2.0.4 с портальной системой Русский Модифицированный Portal System 2.2.3
счетчики форума (Li, Mail, Top100 Rambler, Hotlog, Spylog) загружаются в banners.php и включены во шаблоны

История развития событий:

13 декабря, при заходе на сайт выдается следующее сообщение:
Из протестированных нами за последние 90 дней страниц данного сайта (2) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 1. Последний раз сайт просматривался Google 2008-12-13, а подозрительное содержание было обнаружено 2008-12-13.

Вредоносное ПО включает 1 scripting exploit(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.

Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая axa3.cn

Мои действия - проверка онлайн-сканером Dr.Web не нашел вирусов в скриптах. Отключение большинства счетчиков - оставил Li, Mail и Spylog.

15 декабря - появление отметки о заражении ресурса в Google, падение трафика в 2 раза (сайт не особо оптимизирован под Яндекс и Рамблер).

Мои действия - обращение в Google Webmasters Tools на повторное сканирование сайта. В Админ-панели при входе (13 декабря я туда не заходил) отображается красочное объявление о включении безопасного режима шаблона, поскольку "кто-то с его помощью хотел получить доступ". Сброс кеша шаблона, за ним сброс HTML-элементов шаблона на дефолтные.

После этого каждый день проверяю, примерно раз в день Google Bot ходит на сайт и упорно находит там эксплойты. Антивирусное ПО (КИС, Аутпост, Др.Веб, Нод32) об обнаружении вирусов не сообщает.

Сегодня - проверка JS на SpiderGuide, найдены подозрительные коды в счетчиках Mail.ru. Решил поменять код счетчика на обычный, без JS.
Обращение на пересмотр сайта в StopBadware.org, поскольку по их базе Google ограничивает доступ.

По ходу дела выяснилось, в StopBadware мой сайт не знают, а знают об активности philosophy.pu.ru/forum
==============================

Теперь вопрос: так есть ли у меня на _http://history.philosophy.pu.ru/forum/
вирусы или нет???

Заранее спасибо!

[valho]

у меня ничего нету, заражение в таких случаях делают не на всех, знаю точно что могут на опредёлённые регионы быть, но если гугл определяет даже...

[DVi]

Проверьте свой собственный компьютер на наличие вирусов: http://helpme.virusinfo.info
После лечения:
1. Смените админские пароли на сайте
2. Обновите весь сайт из архива

[valho]

Всё понятно, с кого атаки были через Ваш сайт его закрыли, вроде бы, мдя , как не повезло, теперь нужно отмываться как то.
...На странице всё таки что то есть - http://www.virustotal.com/analisis/1...f7e5579b19f564

[Philosophaster]

Спасибо большое!
DVi - нет у меня вирусов равно как и архивной версии сайта ((

valho подскажите, а какую страницу Вы отправляли в ВирусТотал? Вы сохранили в HTML просто главную?

[Damien]

Philosophaster,
например вот эта страница:

http://slil.ru/26508110
выдает результат:
http://www.virustotal.com/ru/analisi...1e457986ca3467

[valho]

На вирустотале SecureWeb-Gateway определяет как Exploit.HTML.Shellcode.gen (suspicious) вот это -

<meta http-equiv="content-type" content="text/html; charset=windows-1251">
<meta name="keywords" content="философия, История философии, Философская классика, Восточная, Античная, Средневековая, Возрождение, Новое время, Просвещение, Немецкая, Зарубежная, Русская, Современная, Антропология, онтология, гносеология, Философия истории, Аксиология, Социальная философия, Политическая философия, Мистиковедение, этика и эстетика, Психология, Философия религии, история западной философии, лекции истории философии, история философии учебник, предмет истории философии, понятия истории философии, категории философии, концепции философии, реферат философия, шпаргалка философия, экзамен философия, зачет философия, философия это, функции философии, бытие, материя, философы, мировоззрение">
<meta name="description" content="Книги по философии. Справочник по истории философии. Материалы для сдачи экзаменов в ВУЗах по философии. Философия древности, Средневековья, Восточная, Возрождения, Нового времени, Немецкая, Русская, Зарубежная, Современнная.">

Не знаю в чем прикол, видимо это какой то глюк у них.

[DVi]

Philosophaster, Google написал, за что именно он занес Ваш сайт в черный список: http://safebrowsing.clients.google.c...y.pu.ru/forum/

Вместо утверждения "нет у меня вирусов равно как и архивной версии сайта" лучше сделайте то, что я написал выше. Это алгоритм излечит Ваш сайт.

Занесен ли сайт philosophy.pu.ru/forum в список подозрительных веб-сайтов?

Сайт занесен в список подозрительных веб-сайтов – посещение этого сайта может нанести вред вашему компьютеру.
В некоторой части этого сайта несколько раз (2) за последние 90 дней была замечена подозрительная активность.

Что произошло во время последнего просмотра этого сайта компанией Google?

Из протестированных нами за последние 90 дней страниц данного сайта (13 в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 2. Последний раз сайт просматривался Google 2009-01-01, а подозрительное содержание было обнаружено 2008-12-25.
Вредоносное ПО включает 5 scripting exploit(s). Успешное заражение в привело к запуску новых процессов (в среднем 0) на целевой машине.
Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая axa3.cn/.
This site was hosted on 1 network(s) including AS5495 (SPBGU).

Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?

По всей видимости, за последние 90 дней сайт philosophy.pu.ru/forum не был промежуточным звеном в заражении других сайтов.

Размещается ли на этом сайте вредоносное программное обеспечение?

Нет. За последние 90 дней на этом сайте не размещалось вредоносное программное обеспечение.

Как это произошло?

В некоторых случаях третьи лица могут добавить вредоносный код на вполне законные сайты. Предупреждающее сообщение может быть показано нами именно по этой причине.

Лично меня напрягает наличие двух блоков хидеров в одном ответе Апача. Такое обычно означает работу плохо настроенного веб-сервера (иногда так работают вредоносные серверы).

Код:

HTTP/1.1 301 Moved Permanently
Date: Mon, 05 Jan 2009 12:04:52 GMT
Server: Apache
Location: http://history.philosophy.pu.ru/forum/
Content-Length: 246
Content-Type: text/html; charset=iso-8859-1

HTTP/1.1 200 OK
Date: Mon, 05 Jan 2009 12:04:52 GMT
Server: Apache
Accept-Ranges: bytes
X-Powered-By: PHP/4.4.7
Set-Cookie: session_id=799f37efdb571a7ba45c89d25790ad05; path=/
Transfer-Encoding: chunked
Content-Type: text/html

[Philosophaster]

понятно, напишу нашему администратору сервера. Но тем не менее, обратите, что Google считает вирусным _philosophy.pu.ru/forum, а не _history.philosophy.pu.ru/forum
Сделать все ваши действия (2. Обновите весь сайт из архива) не могу, потому, что архива нет. Имеет ли смысл искать на сервере файлы, относящиеся к моему сайту и проверять измененные в декабре на наличие вирусов? Будут ли антивирусы находить вредоносный код в PHP-файлах?

[DVi]

Имеет смысл восстановить из архива (если таковой имеется) все доступные файлы сайта (в том числе шаблоны форума). И обязательно поменять пароли!

Антивирус не всегда может найти зловреда в файлах сайта, т.к. зловред может содержаться в относительно безопасных блоках: frame, iframe, img, script, object и многих других.

[priv8v]

Хочется посоветовать внимательно слушать то, что говорит DVI - т.к говорит абсолютно правильные и здравые вещи.

От себя лишь хочется немного разъяснить сие:

1). Проверить комп в "Помогите!" - "нумер раз" - только после уверенности, что комп чист имеет смысл приступать ко второму шагу, т.к по статистике примерно половина взломов сайтов происходит не через веб-уязвимость сайта/взлом сервера, а через угон паролей с компа админа (не важно каким программным способом это было сделано).

2). Восстановить все файлы двига (сайта, форума, сторонних скриптов...) из бекапа (скрипты могут быть протроянены - если вы и сможете на странице найти левый ифрейм - это мало чего даст, достаточно добавить одну строку в код ПХП и все - это даст возможность посылать скрипту команды - т.е вычищая ифреймы и прочую нечисть, но не очищая код ПХП - это будет просто мартышкин труд. Не думаю, что Вы сможете самостоятельно в двиге ИПБ найти вставку - кода там слишком много и надо пхп знать хорошо очень, что бы суметь найти лишнее в коде пыхи... - вот поэтому нужно заменить все файлы.
БД также нужно достать из бекапа старенького - хотя бы такого, который сделан за неделю до взлома - так будет некоторая гарантия, что БД не протроянена (т.е там нет вставок)

Можно, конечно, и руками шуровть ища вкладки - например в блокноте искать "eval" в коде... но это от дурака-взломщика спасет - так большинство троянит скрипты, но есть и куча других способов протроянить скрипт...

Менять и тереть нужно все - т.к могут быть не только левые строки в коде пхп, в шаблонах и т.д, но и даже левые файлы могут быть - так называемые, шеллы - штука во всех отношениях удобная - как для админа, так и для взломщика

[Philosophaster]

Спасибо всем, кто откликнулся. Я связался с друзьями из Доктора Веба, они подтвердили, что мой сайт чист (я ничего не делал, кроме описанного выше), и сейчас ждем администратора с выходных и будем менять пароли, конфигурировать апач и убивать дырявый PHPBB 3 на клеящемся сайте.

[valho]

Ну наконец то, поздравляю, теперь на сайт нормально заходится, было бы неплохо конечно узнать как гугл убрал предупреждения у вас

[Philosophaster]

У нас кто-то (до сих пор админ не выяснил) поставил криво форум по адресу philosophy.pu.ru/forum. Гугл необъяснимым образом не понимал разницы между этой папкой и history.philosophy.pu.ru/forum. В итоге, папку удалили, два раза я писал в StopBadware и отметку сняли без объяснений причин.

Более того, ее сняли незадолго до классного прикола от гугл - когда в прошлую субботу все сайты на выдаче были "вредоносными", потому, что сотрудник гугла решил добавить в базу символ "/".