X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Bitrix + вирус (жесть), CMS Битрикс и неубиваемый вирус
Kuznec37
Kuznec37
Topic Starter сообщение 24.5.2012, 0:31; Ответить: Kuznec37
Сообщение #1


Старожил
******

Группа: Active User
Сообщений: 1134
Регистрация: 24.4.2008
Из: Кафа
Поблагодарили: 279 раз
Репутация:   32  


Нужна любая квалифицированная подсказка, сайт постоянно инфицируется, cms Bitrix, встроенный Веб-антивирус не справляется, вырезка вирусного кода "на ходу" не помогает. Код главной заменяется на:

Для всех новых посетителей появляется окно с просьбой авторизации за смс:

Возможно кто-нибудь сталкивался с подобной атакой? Дайте хоть какую-то подсказку, нервы уже на исходе.

Сообщение отредактировал Kuznec37 - 24.5.2012, 0:34


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
4enki
4enki
сообщение 24.5.2012, 1:13; Ответить: 4enki
Сообщение #2


Частый гость
**

Группа: User
Сообщений: 85
Регистрация: 4.5.2012
Поблагодарили: 17 раз
Репутация:   3  


Kuznec37, проверьте файл .htaccess, смените пароли от ФТП, проверьте комп на вирусы.
наличие инородных файлов в корне. и редирект к ним(или вообще на иной сервер) через .htaccess.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Kuznec37
Kuznec37
Topic Starter сообщение 24.5.2012, 9:56; Ответить: Kuznec37
Сообщение #3


Старожил
******

Группа: Active User
Сообщений: 1134
Регистрация: 24.4.2008
Из: Кафа
Поблагодарили: 279 раз
Репутация:   32  


Все вышенаписанное сделано, и не раз. Если кто-то не знает, у Битрикса есть собственная проактивная защита, настроили вырезку вирусного кода на ходу, но ничего не помогает, откуда появляется - не понятно.

Сообщение отредактировал OlegK - 24.5.2012, 10:00
Причина редактирования: overquote


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LebedevStr
LebedevStr
сообщение 24.5.2012, 10:56; Ответить: LebedevStr
Сообщение #4


Аналитика наше все
*****


Группа: Active User
Сообщений: 680
Регистрация: 24.10.2010
Из: Warszawa
Поблагодарили: 96 раз
Репутация:   25  


Могу только по сочувствовать. Сам изгонял трое суток троянов.


Поиск по файлам делали? Бэкапы пробовали ставить? Можно посмотреть какие файлы изменены с момента появления вируса и от них уже отталкиватся.

Сообщение отредактировал LebedevStr - 24.5.2012, 10:57
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
prftc
prftc
сообщение 24.5.2012, 12:04; Ответить: prftc
Сообщение #5


Участник
***

Группа: User
Сообщений: 229
Регистрация: 4.5.2012
Из: Moscow
Поблагодарили: 49 раз
Репутация:   7  


где-то на хостинге видимо бэкдор или шелл лежит. нужно искать..
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LebedevStr
LebedevStr
сообщение 24.5.2012, 14:01; Ответить: LebedevStr
Сообщение #6


Аналитика наше все
*****


Группа: Active User
Сообщений: 680
Регистрация: 24.10.2010
Из: Warszawa
Поблагодарили: 96 раз
Репутация:   25  


(prftc @ 24.5.2012, 11:04) *
где-то на хостинге видимо бэкдор или шелл лежит. нужно искать..


ТС, обрати внимание на слово "хостинг".
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Kuznec37
Kuznec37
Topic Starter сообщение 24.5.2012, 14:09; Ответить: Kuznec37
Сообщение #7


Старожил
******

Группа: Active User
Сообщений: 1134
Регистрация: 24.4.2008
Из: Кафа
Поблагодарили: 279 раз
Репутация:   32  


Отключили кроме одного всех админов, еще раз поменяли все пароли, шелл нашли, удалили, НО, атака продолжается, черт как-то заходит и прямо на глазах заливает шелл, работает видно через проксю, постоянно меняется ip: usa, испания, германия, канада и т.д.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 24.5.2012, 16:49; Ответить: Electric
Сообщение #8


CMS help/antivirus
******

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 389 раз
Репутация:   57  


Соседние сайты нужно проверить, если есть на этом аккаунте.
А что за хостер кстати?

Ищите Base64 и eval во всех файлах. Если есть какойто подозрительно длинный набор символов в той же строке - это и есть вредонос. Примеры и советы смотрите тут: http://www.maultalk.com/topic116023.html


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
prftc
prftc
сообщение 24.5.2012, 17:59; Ответить: prftc
Сообщение #9


Участник
***

Группа: User
Сообщений: 229
Регистрация: 4.5.2012
Из: Moscow
Поблагодарили: 49 раз
Репутация:   7  


(Kuznec37 @ 24.5.2012, 14:09) *
Отключили кроме одного всех админов, еще раз поменяли все пароли, шелл нашли, удалили, НО, атака продолжается, черт как-то заходит и прямо на глазах заливает шелл, работает видно через проксю, постоянно меняется ip: usa, испания, германия, канада и т.д.

как вариант, у вас висит какой-то процесс (вывод "ps aux" посмотрите через ssh), который смотрит, что происходит и принимает команды для загрузки всякой дряни.
около года назад наблюдал работу такого "сервиса", являвшегося частью ботнета. удалось даже перехватить их IRC сервер, через который они команды отправляли. схема была такая: в процессы системы внедрялся фейковый httpd (а при возмодножности заменялся полностью), который во все выдаваемые HTML документы ставил нужный код, который через IRC задавали. разработка фееричная и даже в каком-то плане впечатляющая.
вобщем варианты:
- запущенный процесс
- какой-то шелл на сервере вне ваших каталогов (если у вас вирт.хостинг)


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Brodyaga
Brodyaga
сообщение 24.5.2012, 18:57; Ответить: Brodyaga
Сообщение #10


Участник
***

Группа: User
Сообщений: 244
Регистрация: 24.12.2010
Из: Прекрасного далека
Поблагодарили: 34 раза
Репутация:   8  


1. Возможно грузять шелл через загрузчик, временно права на папки 755 поставьте, на те папки куда загружаются картинки.
2. Если шелл уже был залит, гляньте в директадмине может уже создан еще один аккуант под FTP
3. Возможно ломают через базу данных, смените пароль к базе данных.
4. Печальный случай, если чел прогер, мог написать скрипт который сам правит ваш шаблон, если это так, права на файл который изменяется 644
5. Искать шелл, смотреть код правленых файлов, FTP показывает время последнего редактирования файла
6. Самое хорошее это понять как ломают и как заливаю шелл, для этого возможно помогут логи аппача.

Да и для таких случаев, чтобы узнать что изменяется, что правится, что заливается и прочее лучше ставить
сканер


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Вирус на службе маркетинга
2 jack 646 9.10.2017, 19:33
автор: jack
Открытая тема (нет новых ответов) Ускорить загрузку сайта CMS Bitrix
0 Zubkov 570 23.6.2016, 13:04
автор: Zubkov
Открытая тема (нет новых ответов) Безанкорная статейная база Bitrix (от 23.12.2014) - бесплатно!
9 OldSpice 12895 8.3.2015, 23:51
автор: stels78
Открытая тема (нет новых ответов) Cтатейные прогоны по базе Joomla K2 и базе Профилей Bitrix.
Прогон по двум базам с размножением статьи 32 WMZ(Исходник статьи-ваш)
1 alllffa 2271 16.11.2014, 4:17
автор: alllffa
Открытая тема (нет новых ответов) Помогите удалить вирус на joomla 1.5
Готов оплатить помощь.
5 pulsar21 2004 17.5.2013, 8:00
автор: pulsar21


 



RSS Текстовая версия Сейчас: 18.12.2017, 20:58
Дизайн