| 0
- 25.10.2012 - 20:10
|
Привет всем! Вчера Яндекс.вебмастер сообщил, что у нас на сайтах обнаружен вредоносный код. Пошли — и действительно: весёлый JavaScript с неким php-файлом в атрибуте src, и ещё пара скриптов, перенаправляющих на левые сайты всех, кто заходит с мобильных телефонов (некоторые пользователи наши на это попали). Сегодня смотрю — опять фигня, хотя вчера удалил. Посмотрел в папке lib, а там лежит некий файл tem.php. Расшифровав его (gzinflate() + base64_decode()), я понял, что это нечто вроде шелла, считывающего конфиг сервера и позволяющего сдампить БД и, видимо, сделать что-то ещё. Хостимся у GoDaddy, а они помогать по факту отказываются: логи ftp предоставили, конечно, но там ничего нет. Внимание, вопросы: как оценить ущерб? Как определить, всё ли удалено? Как понять, сдампили уже нашу БД или нет и откуда это сделали (хотели сделать)? Откуда вообще появился вредонос? В общем, все ответы по этому делу интересуют. Спасибо!     | |
| 1
- 25.10.2012 - 20:16
|
variable function стопудезно ипользовалась. =)) По теме - никак. очень похоже, что вы сами заюзали какой-то левый шаблон для разных джумл. | |
| 2
- 26.10.2012 - 02:30
|
И скорее всего лили вас на смспират, раз мобильники пренаправляли. А по факту, чтоб посмотреть как попали то логи, но не ftp, лажа это всё про фтп, ну а далее примерный алгоритм посмотрите тут: https://rdot.org/forum/showthread.php?t=677 Ну и: "Внимание, вопросы:" как оценить ущерб? - ?! это вам виднее. Как определить, всё ли удалено? - тщательный аудит кода, впрочем ссылку я вам привёл, что могут ещё и в базу данных бэкдор залить. Как понять, сдампили уже нашу БД или нет и откуда это сделали (хотели сделать)? - да сдампили скорее всего, хотя всё зависит от сайта и кол-ва пользователей, если вас там 5-10 человек, то как бы и [*****] дампить. Откуда вообще появился вредонос? - взлом сайта или угон данных с вашего компа, проникновение, заливка шела и тд... А вообще что за сайт, какой движок использовался?. | |
| 3
- 26.10.2012 - 22:53
| Собственно шел могли залить через любую уязвимость, будь-то php инклуд или sql иньекцияб ftp обычно не причем (99% случаев). По поводу слива базы, это вопрос к Вам, имеется ли что-то ценное в ней? (даза email, номера кридиток и.т.д). Если нет, то думаю врятли. Мое мнение, злаумышлиники использовали скрипт для получения моб. трафика с вашего сайта и не более. Если Вы юзаите Free CMS, мой вам совет, с остарожностью отнаситесь к левым модулям, в осномном в них и находят дыры. | |
Интернет-форум Краснодарского края и Краснодара |
