Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Сайт заражен вирусом Troj/jsredir-mh, Как вылечить???
KOC | Профиль
Дата 17 Октября, 2013, 12:11
Quote Post




Group Icon

Группа: Старожил
Сообщений: 6244
Регистрация: 22.10.08
Авторитет: 106
Вне форума

Предупреждения:
(0%) -----


Собственно Яндекс выдал предупреждение, что сайт заражен
http://accsnab.com.ua
Вэбмастер выдал название вируса: Troj/JSRedir-MH

КАК ЛЕЧИТЬ???


____________________
PMEmail PosterUsers Website
2/7915   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
VladiZlav | Профиль
Дата 17 Октября, 2013, 14:34
Quote Post



Ты уверен?...
Group Icon

Группа: Старожил
Сообщений: 4068
Регистрация: 20.05.05
Авторитет: 88
Вне форума

Предупреждения:
(0%) -----


Цитата(KOC @ 17 Октября, 2013, 11:11)
КАК ЛЕЧИТЬ???

Все зависит от того на каком движке сайт (в данном случае друпал), где именно находится вредоносный код, так же нужно выяснить как он туда попал wink.gif На сайт не пускает даже опера - предупреждает о заражении, так что нужно вам как администратору проверить на каких же страницах засел вредоносный код, удалить его из них (естессно вручную) либо поднять более ранние бэкапы. Сайт проверялся как я понял по базам http://antivirus-alarm.ru/ 12 числа сего месяца и вирусов там не найдено, но это не значит что их там нет. Поскольку вирус найден именно яндексом я бы добавил сайт в панель вебмастера от яндекса и там уже администратор сайта может получить более подробную информацию о вирусе, на каких страницах найден и т.д. Поскольку сайт выполнен на друпале - в первую очередь проверить актуальность версии ядра и модулей, кстати очень часто сайты на друпал заражаются именно из за дыр в модулях, особенно тех, которые устарели или вообще не поддерживаются. Есть еще более углубленные программы и скрипты для анализа сайта но с ними удобно работать имея рут доступ к серверу, хотя можно и средствами PHP wink.gif
P.S. Особое внимание следует обратить на .js файлы, причем в первую очередь на те, которые находятся в модулях smile.gif Удачи в лечении, доводилось мне уже не раз этим заниматься, иногда находил за несколько минут, а иногда не хватало и нескольких суток. smoke.gif
P.P.S. http://www.revisium.com/ai/ - рекомендую к использованию, проанализировать придется не мало, но зато шансы найти максимальны wink.gif

Отредактировал VladiZlav - 17 Октября, 2013, 14:44


____________________
user posted image
PMUsers Website
2/10696   
KOC | Профиль
Дата 17 Октября, 2013, 14:48
Quote Post




Group Icon

Группа: Старожил
Сообщений: 6244
Регистрация: 22.10.08
Авторитет: 106
Вне форума

Предупреждения:
(0%) -----


Цитата(VladiZlav @ 17 Октября, 2013, 12:34)
удалить его из них (естессно вручную)

каким образом это сделать?

Цитата(VladiZlav @ 17 Октября, 2013, 12:34)
я бы добавил сайт в панель вебмастера от яндекса и там уже администратор сайта может получить более подробную информацию о вирусе, на каких страницах найден и т.д.

это уже сделано
есть список старниц

на каким редактором залезть в код?


____________________
PMEmail PosterUsers Website
1/7915   
VladiZlav | Профиль
Дата 17 Октября, 2013, 14:59
Quote Post



Ты уверен?...
Group Icon

Группа: Старожил
Сообщений: 4068
Регистрация: 20.05.05
Авторитет: 88
Вне форума

Предупреждения:
(0%) -----


Цитата(KOC @ 17 Октября, 2013, 13:48)
на каким редактором залезть в код?

любым толковым текстовым, я к примеру всегда использую http://akelpad.sourceforge.net/ru/index.php
Цитата(KOC @ 17 Октября, 2013, 13:48)
каким образом это сделать?

В идеале предварительно слить копию сайта (забэкапить), а затем внеся правки в необходимые файлы залить на сервер, очистить кэш, проверить результат.


____________________
user posted image
PMUsers Website
2/10696   
VladiZlav | Профиль
Дата 17 Октября, 2013, 15:01
Quote Post



Ты уверен?...
Group Icon

Группа: Старожил
Сообщений: 4068
Регистрация: 20.05.05
Авторитет: 88
Вне форума

Предупреждения:
(0%) -----


небольшое дополнение - тут как я понял вирус хитроопый, он может проявится а может и нет в зависимости от рефера (смотрит откуда пришел юзер), так что его нужно тщательно вылавливать. Знать на каких страницах он есть - часть дела. Страницы же формируются на отдачу из многих составляющих, теперь я бы начал проверку всех файлов этим инструментом http://www.revisium.com/ai/


____________________
user posted image
PMUsers Website
2/10696   
KOC | Профиль
Дата 17 Октября, 2013, 15:12
Quote Post




Group Icon

Группа: Старожил
Сообщений: 6244
Регистрация: 22.10.08
Авторитет: 106
Вне форума

Предупреждения:
(0%) -----


VladiZlav
спасибо за помощь!

буду разбираться сейчас


____________________
PMEmail PosterUsers Website
KOC | Профиль
Дата 17 Октября, 2013, 16:56
Quote Post




Group Icon

Группа: Старожил
Сообщений: 6244
Регистрация: 22.10.08
Авторитет: 106
Вне форума

Предупреждения:
(0%) -----


Походу проще восстановиться с резервной копии

а эту копию как проверить на вирусы оффлайн?


____________________
PMEmail PosterUsers Website
2/7915   
VladiZlav | Профиль
Дата 17 Октября, 2013, 17:08
Quote Post



Ты уверен?...
Group Icon

Группа: Старожил
Сообщений: 4068
Регистрация: 20.05.05
Авторитет: 88
Вне форума

Предупреждения:
(0%) -----


Цитата(KOC @ 17 Октября, 2013, 15:56)
а эту копию как проверить на вирусы оффлайн?

по большому счету никак, только подняв у себя на локалке сервер и пройдя утилитой которой я рекомендовал выше. Но просто восстановление бэкапа - это временное решение проблемы, нужно найти дыру откуда он вообще взялся wink.gif


____________________
user posted image
PMUsers Website
2/10696   
killer8080 | Профиль
Дата 17 Октября, 2013, 20:05
Quote Post




Group Icon

Группа: Абориген
Сообщений: 406
Регистрация: 03.03.10
Авторитет: 14
Вне форума

Предупреждения:
(0%) -----


Цитата(KOC @ 17 Октября, 2013, 15:56)
а эту копию как проверить на вирусы оффлайн?

обычным текстовым поиском в тотал командере например, но для этого в начале нужно было выявить тело вируса.
Вообще устранить вирус это ерунда, гораздо важней определить, каким путем он туда попал. Нужно смотреть даты модификации файлов, инфицированные файлы будут иметь боле позднюю дату, чем остальные файлы движка. Далее по дате модификации файлов поднимаем логи вебсервера, и ищем подозрительную активность. Если дыру искали сканером, там наверняка будет шквал кривых запросов, с 404-ой ошибкой. Если ломали через дыры в скриптах, таким путем можно вычислить уязвимость.
Так же нужно поднять логи фтп, возможно заход был оттуда.
Ну и стандартные действия после взлома:
1 смена всех паролей, ко всему, фтп, панель хостинга, админка и т.п.
2 если используется фтп, обязательно задействовать фильтрацию по IP
3 сообщить хостеру, и узнать не были ли взломаны другие аккаунты, вполне возможно проблемы на его стороне.
4 проверить все компы с которых админится сайт, на наличие вирусов
PMEmail Poster
2/1233   
Будулай | Профиль
Дата 17 Октября, 2013, 20:17
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 751
Регистрация: 05.02.10
Авторитет: 35
Вне форума

Предупреждения:
(0%) -----


А ещё можно попробовать поискать файлы с недавней датой модификации.
PMEmail Poster
w2bcomua | Профиль
Дата 20 Октября, 2013, 3:21
Quote Post






Группа: Пpохожий
Сообщений: 3
Регистрация: 20.10.13
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Поскольку за последнюю неделю вирус очень активизировался то сделали по нем более подробный обзор.

проблема в том что вирус сложный и современный
прописывается в файлах, а точнее в 3х.
1. - флеш файл .swf
2. - вызывающий его закодированный .js
3. - измененный файл движка / темы / стиля / пинчеванная картинка ... что была на сайте которая подтягивает вышеуказанный и максимально незаметна по изменениям (вес и дату стараются оставить как в изначальном)

Обзор подробный по этому вирусу тут - w2b.com.ua/audit/552-kak-udalit-virus-trojjsredir-mh-s-sajta.html

если сами не разберетесь, то обращайтесь в skype: w2b.kz или на почту - support@w2b.kz по цене порядка 25$ за лечение, срок гарантированного возврата в чистую выдачу серпа Яндекса - от 2 до 72 часов.
PMEmail Poster
1/79   
w2bcomua | Профиль
Дата 20 Октября, 2013, 3:28
Quote Post






Группа: Пpохожий
Сообщений: 3
Регистрация: 20.10.13
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


В Вашем конкретном случае (без фтп доступа сказать точно сложно что там еще заражено) но вроде как сам файл зловред - accsnab.com.ua/sites/default/files/589.swf это п.1 после выполнения 2 и 3 ну и всего что по инструкции прописано можете переподать.
А насчет проверки есть вирус или нет то лучше всего virustotal.com юзать, вот Ваш сразу засветился:
virustotal.com/ru/url/aa2ec7ba5e939197f5acac63585b3d358437ce0775897ee146e9f035729e1b7a/analysis/1382224925/

Отредактировал w2bcomua - 20 Октября, 2013, 3:33
PMEmail Poster
2/79   
KOC | Профиль
Дата 22 Октября, 2013, 9:12
Quote Post




Group Icon

Группа: Старожил
Сообщений: 6244
Регистрация: 22.10.08
Авторитет: 106
Вне форума

Предупреждения:
(0%) -----


Спасибо w2bcomua за оперативное решение проблемы!
Быстро, четко и за адекватные деньги!

Рекомендую!!!


____________________
PMEmail PosterUsers Website
IVR | Профиль
Дата 22 Октября, 2013, 20:39
Quote Post




Group Icon

Группа: Модераторий
Сообщений: 1015
Регистрация: 31.12.09
Авторитет: 27
Вне форума



Ваш сайт заражён
смотрите в файлах .php по адресам http://accsnab.com.ua/node/714, http://accsnab.com.ua/content/kak-kupit, http://accsnab.com.ua/node/1, http://accsnab.com.ua/node/2, http://accsnab.com.ua/каталог/borona-luschilnik/vtulka, http://accsnab.com.ua/каталог/borona-lusch...ik/gajka-borony
участки кода:
<p class="rtecenter"><a target="_blank" href="http://accsnab.com.ua"><img width="162" height="162" border="0" title="QR код" alt="" src="http://qrcoder.ru/code/?BEGIN%3AVCARD%0AFN%3A%C0%E3%F0%EE%F1%EF%E5%F6%F1%ED%E0%E1%0AORG%3A%CE%CE%CE+%22%CF%F0%E5%E4%EF%F0%E8%FF%F2%E8%E5+%22%C0%E3%F0%EE%F1%EF%E5%F6%F1%ED%E0%E1%22%0ATEL%3A%2 B380665248348%0AURL%3Ahttp%3A%2F%2Faccsnab.com.ua%0AEMAIL%3Asales%40accsnab.com.ua%0ANOTE%3A%C7%E0%EF%F7%E0%F1%F2%E8%2C+%EC%E0%F2%E5%F0%E8%E0%EB%FB%2C+%F3%F1%EB% F3%E3%E8+%EF%EE+%F0%E5%EC%EE%ED%F2%F3+%E4%EB%FF+%F2%F0%E0%EA%F2%EE%F0%EE%E2%2C+%EA%EE%EC%E1%E0%E9%ED%EE%E2%2C+%E0%E2%F2%EE%EC%EE%E1%E8%EB%E5%E9%2C+%F1%EF%E5%F6%F2%E5 %F5%ED%E8%EA%E8%0AEND%3AVCARD&amp;2&amp;0" /></a></p>


____________________
С удовольствием сделаю Вам интернет магазин, сайт - визитку, корпоративный сайт и т.д. +7(978)-734-18-О1
PM
1/1334   
w2bcomua | Профиль
Дата 22 Октября, 2013, 21:34
Quote Post






Группа: Пpохожий
Сообщений: 3
Регистрация: 20.10.13
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


В любом случае выражаем признательность IVR за проявленную заботу, но "вынуждены" разочаровать, указанный код это не вирус, а лиш ссылка с картинкой пусть и по очень страшному адресу bigwink.gif
Разберем подробней весь код:
<p class="rtecenter"><a target="_blank" href="http://accsnab.com.ua"> - открытие строи и ссылка причем на главную того же сайта
</a></p> - закрытие ссылки и самого строки
теперь самый "страшная" часть:
<img width="162" height="162" border="0" title="QR код" alt="" src="http://qrcoder.ru/code/?BEGIN%3AVCARD%..." />
это код к показу картинки по с адреса qrcoder.ru/code/?BEGIN%3....
что бы удостоверица в том что там нет вируса а это просто GIF изображение достаточно проверить его отдельно, что подтверждает отсутствие в нем отсутствия зловредного кода - https://www.virustotal.com/ru/url/2ea527f7a...sis/1382462620/

Касаемо очистки сайта http://accsnab.com.ua/ от вируса Troj/JSRedir-MH то она была успешно проведена о чем свидетельствует удаление сайта из базы зараженных в Sophos антивирусе и соответственно сегодняшний его возврат к нормальному режиму поисковой выдачи без предупреждения об опасности заражения, подробный отчет по лечению сайта есть у его владельца, думаю если он захочет то поделится с Вами подробностями где был вирус и что с ним сделали.
--
Хорошего Вам вечера и пусть Вас не кусают вирусы bye1.gif
С уважением, W2B support center
--------------------------------------------
e-mail: support@w2b.kz
icq: 265909362
skype: w2b.kz
web: www.W2B.kz
PMEmail Poster
77/79   
IVR | Профиль
Дата 22 Октября, 2013, 21:47
Quote Post




Group Icon

Группа: Модераторий
Сообщений: 1015
Регистрация: 31.12.09
Авторитет: 27
Вне форума



в 18-30 сайт ещё был в Blacklist яндекса.
Сейчас всё нормально и это есть - хорошо.



____________________
С удовольствием сделаю Вам интернет магазин, сайт - визитку, корпоративный сайт и т.д. +7(978)-734-18-О1
PM
1/1334   
GhostDragon | Профиль
Дата 9 Декабря, 2013, 14:00
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 898
Регистрация: 03.10.06
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


В свое время сталкивался с аналогичной ситуацией.
Проблему решал восстановлением пораженных файлов из бакапа.
PMEmail Poster
parolex | Профиль
Дата 9 Декабря, 2013, 15:23
Quote Post




Group Icon

Группа: Старожил
Сообщений: 3395
Регистрация: 06.10.09
Авторитет: 68
Вне форума

Предупреждения:
(0%) -----


Цитата(GhostDragon @ 9 Декабря, 2013, 12:00)
Проблему решал восстановлением пораженных файлов из бакапа.

фигня это все,если залез один раз-залезет и потом,нужно искать место,через которое он влез или обновлять сук или переезжать на другую

хотя,еще надо узнать инфу,поймали ли эту гадость сайты, которые крутятся у провайдера, бо могут и через провайдера залезть

З.Ы. много видел сливов проектов,которые были слиты через дыры в centos или его карявую настройку на стороне безопасности


и самая шикарная редактилка для php-netbeans

Отредактировал parolex - 9 Декабря, 2013, 15:32


____________________
user posted image
PMEmail Poster
1/5770   

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0831 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top