ModX 1.0.6 -- где искать вредонос?

12
Ragnarok
На сайте с 25.06.2010
Offline
218
2205

На сайте с ModX версии 1.0.6 (судя по админке) найден скрытый блок со ссылками на доры. Блок прямо перед </body>. Шаблоны хранятся в базе, там всё чисто: сниппет метрики и после него </body>. На странице после кода метрики и перед </body> появляется этот блок. В закешированных движком страницах код со ссылками также присутствует.

Прогнал сайт ай-болитом, ничего похожего не нашёл.

Что делать? куда копать?

//TODO: перестать откладывать на потом
K5
На сайте с 21.07.2010
Offline
209
#1

обновить до 1.0.15 для начала

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
auditsaitov001
На сайте с 28.06.2015
Offline
11
#2

Возможно, вредонос закодирован в base64, но айболитом не детектится, находиться может где угодно....

Обновление может закрыть дыру, но если успели залить шелл, то обновление не поможет.

Тут все надо проверять вручную.

Аудит безопасности Вашего сайта квалифицированным специалистом по иб. Ручная проверка кода на уязвимости, поиск вирусов, вебшеллов и проч. Полная проверка, а не простое удаление вирусов.
auditsaitov001
На сайте с 28.06.2015
Offline
11
#3

А разве открытое предложение услуг допустимо в данном разделе?

Если да, то я тоже буду предлагать услуги своего специалиста в открытую....

Просьба для админа - объясните, пожалуйста, так можно или нельзя?....

SeVlad
На сайте с 03.11.2008
Offline
1528
#4
auditsaitov001:
Возможно, вредонос закодирован в base64, но айболитом не детектится,

Айболит вполне детектит base64.

auditsaitov001:
А разве открытое предложение услуг допустимо в данном разделе?

Нет. А предлагающие (даже завуалировано) получат по рукам.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
auditsaitov001
На сайте с 28.06.2015
Offline
11
#5
SeVlad:
Айболит вполне детектит base64.

Не всегда.

Вот: /ru/forum/909033

Тут не нашел такое:

$content = base64_decode('IyBCRUdJTiBXb3JkUHJlc3MKPElmTW9kdWxlIG1vZF9yZXdyaXRlLmM+ClJld3JpdGVFbmdpbmUgT24KUmV3cml0ZUJhc2UgLwpSZXdyaXRlUnVsZSBeaW5kZXhcLnBocCQgLSBbTF0KUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWYKUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWQKUmV3cml0ZVJ1bGUgLiAvaW5kZXgucGhwIFtMXQo8L0lmTW9kdWxlPgoKIyBFTkQgV29yZFByZXNzCg==');
if (file_exists($path) AND file_get_contents($path) != $content) {
chmod($path, 0644);
SeVlad
На сайте с 03.11.2008
Offline
1528
#6
auditsaitov001:
Вот: /ru/forum/909033
Тут не нашел такое:

Вот "там" я не знаю как можно было не найти такое :) Ты сам проверял?

Вообще то ли я на лыжах, то ли одно из двух, но мне странно и не понятно когда говорят, что айболит ничего не нашел. Да он находит даже там, где нет и кучу предупреждений вывавливает! А то "не нашел".. Не знаю..

Ида. Не надо думать что я прям уж такой фанат айболита и защищаю его "просто так". Это не так. Я к нему отношусь так же, как и к любому другому полезному инструменту. Если есть косяки или чего-то не ищется (что я вполне допускаю, и сам отсылал разрабам сигнатуры) - всегда можно обратиться к разрабам. Это всем на пользу. В отличии от жалоб в разных топиках на форуме.

auditsaitov001
На сайте с 28.06.2015
Offline
11
#7

Конечно, не сам :)

Может, скрипт не доработал или ставили на мин. чувствительность, или еще что-то.....

Знает тот, кто сканил.

Айболит помощник хороший, никто не спорит, но не бывает абсолютно надежных антивирусов/сканеров.

P. S.

Накормил айболит фор виндовс файлом, где содержится только тот самый нехороший код.

Вот что получилось:

Критические замечания

Вредоносные скрипты не найдены. Попробуйте сканер в режиме "Параноидальный".

Предупреждения

Эвристический анализ обнаружил подозрительные файлы. Проверьте их на наличие вредоносного кода. (1)

.....\aibolit-for-windows\site/626.php (Подозрительные параметры времени изменения файла)

При этом define('AI_EXPERT_MODE', 2);

Почему то ничего про base64 не сказано....

Jake Foley
На сайте с 16.08.2008
Offline
151
#8

Вообще-то в modx можно сувать скрипты сразу в mysql файлов шаблона, ищити в админке в шаблонах, физических файлом с кодом нет

Сам так делал в молодости 🍿

SeVlad
На сайте с 03.11.2008
Offline
1528
#9
auditsaitov001:
Попробуйте сканер в режиме "Параноидальный".

Эм.. Я всегда (вернее с нек пор после общения с разрабами) только в параноидальном сканю. Возможно поэтому я вижу лишку :)

LM
На сайте с 18.10.2009
Offline
117
#10

Сохранить дамп базы где-нибудь на диске сервера, просканировать айболитом. 🍿

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий