| Цитата |
|---|
| написал: На одном из проектов в index.php |
| Код |
|---|
$xmlname = '%71%6B%6A%6E%78%72%78%64%2E%67%79%6E%71%6C%67%78%79%2E%67%62%63'; $goweb = str_rot13(urldecode($xmlname)); echo $goweb; |
| Код |
|---|
dxwakekq.tladytkl.t%62p |
|
Разработчикам |
Взломаны сайты в честь дня конституции украины
Взломаны сайты в честь дня конституции украины
|
|||||
|
|
|
|
Господа специалисты, поделюсь что со мной произошло после того как сайт был вылечен и отчищен от последствий взлома. Произошло следующее- На сайт началась XSS атака, настолько серьезная что хостер (рег ру) заблочил за перегрузку процессора, посмотрел самые частые ip и пришел к выводу что пора блочить через htaccess посетителей изза бугра, но кроме обычных понятных ip есть один (и он самый жирный) вот такой 2a01:4f8:130:20e4::2 , может кто то сказать что это за адрес и получится ли такие адреса заблочить? Заранее спасибо
|
|
|
|
|
|
2a01:4f8:130:20e4::2 на мак адрес похоже, свой гляньте
|
|
|
|
|
обычный IPv6 |
|||
|
|
|
|
|||||
|
|
|
ipv6 адрес |
|||
|
|
|
эта команда для запуска в консоли на сервере в домашней директории сайта (операционная система linux семейства) как правило по ssh протоколу если у вас веб сервер под Виндой найдите аналог - смысл поискать во всех файлах вхождение str_rot13 |
|||
|
|
|
|
|||
|
|
|
|
|||
|
|
|
|
А как такое возможно что атака на сайт ведется с мас адреса? У нас все машины выключены были на момент атаки и с локальных машин атак быть не могло, может быть кто то сможет это объяснить?
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|||
|
|
|
Чистил сайты и с директорией .bx_temp за пределами сайта и без этого параметра. И то и другое ломают. |
|||
|
|
|
Вот скрипты которые содержат str_rot13 #grep -rl str_rot13 bitrix/modules/main/lib/search/content.php bitrix/modules/main/classes/general/vuln_scanner.php bitrix/modules/bitrix.xscan/include.php bitrix/modules/bitrix.xscan/include_fork.php Вот результат команды # grep -r str_rot13 bitrix/modules/main/lib/search/content.php: return str_rot13($token); bitrix/modules/main/classes/general/vuln_scanner.php: 'str_rot13', bitrix/modules/bitrix.xscan/include.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)'; bitrix/modules/bitrix.xscan/include_fork.php: static $functions = '(?:parse_str|hex2bin|str_rot13|base64_decode|url_decode|str_replace|str_ireplace|preg_replace|move_uploaded_file)'; bitrix/modules/bitrix.xscan/include_fork.php: static $cryptors = ['rot13', 'str_rot13', 'base32_decode', 'base64_decode', 'gzinflate', 'unserialize', что с этим делать? |
|||
|
|
|
|
Антон АК, тут ничего подозрительного.
|
|
|
|
|
|
Антон АК, у Вас какая проблема?
|
|
|
|
|
У меня всё началось с этого я пролечил/удалил, обновил и CMS и версию PHP, теперь вирусов нет, я беспокоился что внутри сайта остались PHP коды, которые сами по себе не являются вредоносными и не сканируются как угроза, но могут подкачать опять бэкдоры, поэтому попросил ТП хостинга прогнать код, который вы выкладывали выше и выложил свой результат. |
|||
|
|
|
|
Заметил ещё что Айболит и Имунфай вообще не видят части вирусных файлов, так что я бы не ориентировался на их результат как на последнюю инстанцию.
|
|
|
|
|
чтобы было понимание подкачаются бэкдоры или нет я бы посоветовал паблик загнать в git и сделать снимок ядра средствами движка ну и конечно же забэкапиться пока чисто либо без гита - сделать снимок ядра и паблика |
|||||
|
|
|
|
Список агентов вообще полезно просматривать.
Даже без вирусов там можно обнаружить ежеминутные вызовы десятка скриптов от модулей Landing, MessageService, Calendar - несмотря на то, что они не установлены в системе вовсе. |
|
|
|
|
|
подскажите пожалуйста
надоело удалять зараженные фацлы в корне сайта в папке админ они создаваться перестали сегодня сайт ломанули он перестал открываться востановил бекап все включилось сколько стоит решить этот вопрос раз и на всегда и кто может в этом помочь? |
|
|
|
|
|
Станислав Х, обновления актуальны?
|
|
|
|
|
|
||||
|
|
|
|||
