И опять HEUR:Trojan.Script.Generic

Главные вкладки

Аватар пользователя wiw wiw 24 января 2013 в 10:48

И опять HEUR:Trojan.Script.Generic этот дурацкий вирус!

Есть сайт cellbiol.ru с под-доменом ekvat.cellbiol.ru. Однажды за ходя на эти сайты я обнаружил что Касперский ругается на вышеописанный вирус. После недельного бодания с хостером и ковыряния в мозгах обнаружил уязвимость (вирус загрузился с картинки в новости, которая загружалась со стороннего сайта) - перезалил картинку на свой сайт, почистил htaccess, почистил папки js, css, languages. Вроде бы можно было спать спокойно. Хрен! (sorry)

Недавно начал бродить по внутренним страницам сайта, и обнаружил, что на некоторые страницы Касперский ругается, некоторые пропускает.

Примеры страниц (ВНИМАНИЕ! ЗАХОДИТЬ С ВКЛЮЧЕННЫМ КАСПЕРСКИМ И/ИЛИ FIREFOX + NOSCRIPT):
http://cellbiol.ru/book/literatura_po_izucheniyu_proteomiki
http://cellbiol.ru/book/biografii/akselrod_dzhulius
http://cellbiol.ru/book/biografii/barbara_makklintok

Касперский при этом ругается на попытку загрузки объекта http://cellbiol.ru/book/literatura_po_izucheniyu_proteomiki//cellbiol (к адресу страницы добавляется //cellbiol)

Интересно, что если отключить Касперский и зайти на зараженную страницу (через Firefox+NoScript), потом опять включить Касперского, обновить страницу - то антивирус уже не ругается. А ругаться начинает минут через пять.

Что я сделал:
База данных и содержимое сайта прогрепаны на наличие base64_decode - фиг!
Проверены htaccess - фиг!
Удалены все файлы кроме папки sites и обновлен Drupal до последней версии - фиг!
Проверена папка files, удалено содержимое папок js, css, languages - фиг!
Отключены блоки и модули выводящие какие либо ссылки на эти страницы - фиг!

Какой у меня из этого всего вывод:
Вирус встраивается на страницу (пока неизвестно как), проверяет используемую систему (Windows or Linux), если Windows то при загрузке страницы пытается совершить зловредное действие (неизвестно какое), затем удаляет себя из тела страницы.

Касперский реагирует на загрузку вируса и блокирует страницу.
Но если отключить Касперского и при помощи NoScript не дать вирусу выполниться, то некоторое время страница будет не зараженной. Затем всё повторяется

Вопрос! Что делать?

Комментарии

Аватар пользователя VLADI27 VLADI27 24 января 2013 в 13:38

"wiw" wrote:
Вопрос! Что делать?

Выкинуть касперского. Не так давно каспер обнаружил подозрительность в одном из сайтов. Ругается сильно. Но описания самой опасности нету. При запросе в службу поддержки каспера, служба не может дать ответ. Они сами не знают на что он ругается.

Аватар пользователя WadimKo51 WadimKo51 25 января 2013 в 6:41

Могу написать что сделал бы я.

Попробуйте поиск по всем файлам и базе на сайте по "cellbiol"
попробуйте почистить кэш своего браузера, папку мои документы, попробуйте зайти с друго ПК.
Вероятно у вас в браузере какой-то скрипт закеширвоался с другого сайта. а имена какие-то совпали.

У меня раз было CSS закешировался какой-то. половина страниц стали непонятно как отображаться. может и у вас такое только с скриптами. Хотя скорее всё-таки что-то в теле страницы, скорее в базе где-то.
Сделайте бэкап, попробуйте поискать в нём по вышеописанной фразе или по тэгам скрипт.

ещё погуглите по добавляемому слову, может есть что-то уже где-то.

Ещё, картинки иногда бывают не картинками вовсе. Вернее она как-то хитро, вроде картинка, а внутри вирус. Выкинет эту картинку со своего сайта. Или просмотрите содержимое в текстовом редакторе.

Пожалуйста, опишите чем дело кончилось.
Вообще-то это весьма важно.

Аватар пользователя wiw wiw 25 января 2013 в 11:53

"WadimKo51" wrote:
Попробуйте поиск по всем файлам и базе на сайте по "cellbiol"

сделал, ничего нет

"WadimKo51" wrote:
попробуйте почистить кэш своего браузера, папку мои документы, попробуйте зайти с друго ПК.
Вероятно у вас в браузере какой-то скрипт закеширвоался с другого сайта. а имена какие-то совпали.

на другом ПК с касперским также проверял - тоже ругается на вирус

"WadimKo51" wrote:
ещё погуглите по добавляемому слову, может есть что-то уже где-то.

Добавляемое слово это всего лишь доменное имя моего сайта. Скорее всего грепается и
добавляется скриптом...

"WadimKo51" wrote:
Ещё, картинки иногда бывают не картинками вовсе. Вернее она как-то хитро, вроде картинка, а внутри вирус. Выкинет эту картинку со своего сайта. Или просмотрите содержимое в текстовом редакторе.

Вот картинки проверю...
Потом отпишусь

Аватар пользователя WadimKo51 WadimKo51 26 января 2013 в 1:12

Сам бы взял Notepad++ натравил поиском в папке по слову в всех файлах.
По картинкам может зависнуть, если сразу по скриптам, и картинкам.
Лучше как-то разделить поиск по файлам по отдельным подпапкам, и ли по расширению.
Но в файлах картинок иногда точно можно найти нечто интересное.

Аватар пользователя wiw wiw 31 января 2013 в 21:13

WadimKo51 wrote:
Сам бы взял Notepad++ натравил поиском в папке по слову в всех файлах.
По картинкам может зависнуть, если сразу по скриптам, и картинкам.
Лучше как-то разделить поиск по файлам по отдельным подпапкам, и ли по расширению.
Но в файлах картинок иногда точно можно найти нечто интересное.

Зачем notepad++, я грепом проходил по всем файлам и директориям (grep -ir "your_request" your_destination)
И ничего не нашел...

Аватар пользователя 6RUN0 6RUN0 6 апреля 2013 в 19:47

Попробуйте следующее:

  • for file in `find /path/to/site/ -type f`; do grep -i 'regexp' $file; done
  • сделать бекап сайта, скачать, распаковать и проверить каспером