Поддержка Проблемы и решения Хелп трояны замучали

  • Всем привет! Ребят как устранить уязвимость?

    Есть у меня сайт, стараюсь обновлять его вовремя, вот сейчас 3,6,1 (до 3,7 еще не успел обновить), и на сайте постоянно появляется гадость причем в разных папках wp-admin/images/pokerface.swf
    /wp-admin/js/redman.swf
    wp-admin/network/ravens.js
    /webim/images/maza.js
    /wp-includes/js/scriptaculous/socrates.js

    как блин определить откуда у него ноги растут?

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Модератор Yuri

    (@yube)

    Наиболее вероятные причины:
    — троянчик ворует пароли с Вашего компа
    — на сайте имеется шелл/бэкдор, залитый через уязвимость или прячущийся в теме или плагине
    — дырявый хостинг

    По первому пункту, думаю, ясно что делать.
    По второму — грубо можно проверить скриптом http://revisium.com/ai/. Плюс по базе известных уязвимостей.
    По третьему — косвенно можно диагностировать по наличию заразы у соседей по хостингу.

    Вообще-то, это задача не из лёгких, и простого способа найти дыру в общем случае не существует.

    спасибо, хоть план есть что делать. AI-Bolit понаходил кучу гадости, повычищал все нафиг, посмотрю как дальше будет.

    А не знаете плагинчик такой или сервис, который будет показывать какие файлы и где (новые) сами появились на сайте?

    продолжается борьба с этой пакастью

    обновил все плагины и движок, повычищал все «стремные» места, на которые ругался AI-Bolit

    в итоги нифига блин не изменилось, в блоге так и появляются в самых неожиданных папках файлы *.php *.swf

    вот содержимое одного из таких файлов — http://joxi.ru/YmKcUtg5CbBROg_-3AI

    решил разобрать что там, может зацепка будет, откуда ноги растут…

    пробовал base64 декодировать, но это похоже не base64, на что это еще может быть похоже?

    пробовал base64 декодировать, но это похоже не base64, на что это еще может быть похоже?

    Там не base64, это точно. Замена символов идет через preg_replace. По какой методике — сходу не разобрать. Проще снести все. А то, что есть сейчас — за архивировать и разбирать в свободное от работы время.

    спасибо за ответ. Да сносить уже замучился, эта хрень появляется постоянно, в самых разных местах.

    Вы после сноса всего меняли все пароли доступа? Не только к сайту и базе, а еще и к хостингу/фтп?

    только что еще раз все проверил, посносил других пользователей, поудалял временные фтп, сменил пароль. К бд только не менял, так геморно у меня с этим

    вот содержимое одного из таких файлов

    По первым строчкам понятно, что это один из серьезных шеллов, позволяющий своему хозяину делать всё самое гадкое на вашем хостинге (если хостинг настроен кривовато, то и у соседей тоже).

    если он такой серьезный, почему он кроме бессмысленного мусора:

    wp-admin/images/pokerface.swf
    /wp-admin/js/redman.swf
    wp-admin/network/ravens.js
    /webim/images/maza.js

    ничего не делает

    почему он кроме бессмысленного мусора ничего не делает

    Так вы спросите у хозяина сего чуда. Нашли где спрашивать 🙂 Если он так засветился, значит поставленную задачу уже выполнил, а теперь просто балует.

    Почему вы решили, что он ничего не делает? Он только оп ему известным правилам составляет из того мусора, что есть внутри файла вполне осмысленную программу. То, что она не работает «прям ща» и не рассылает спам с сиськами — это вопрос времени. Вполне логично поведение, как для вируса. Поселиться, выждать (чтоб носитель ничего не подозревал) а потом действовать. Либо просто ждет управляющей команды от владельца/создателя.

    не радостны речи ваши (

    поменял абсолютно на все пароли, даже на БД если и после этого фигня будет, я уже даже не знаю что делать, походу обращаться в стороннюю контору

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Тема «Хелп трояны замучали» закрыта для новых ответов.