Покинул форум
Сообщений всего: 21
Дата рег-ции: Июнь 2014
Помог: 0 раз(а)
Привет всем! Давно тут не был)
В общем, дело такое: на сайте заказчика вирус, сайт на wordpress, но это по сути не так важно, потому, что до момента поиска уязвимости еще далеко. Ну, то есть я конечно сделал все стандартные действия- убил все левые плагины, сравнил оригинал вордпресса с текущим, прогнал сайт несколькими плагинами по выявлению вредоносного кода, прогнал "айболитом" и т.д. В итоге начистил гору вредоносов, но безрезультатно - они появляются вновь.
Что делает вирус. Он спамит через email, за что хостер отрубил возможность отправлять письма. Но это тоже к сути моего вопроса отношения не имеет. Вредоносный код обычно появляется во всяких потаенных местах, типа css папок, всяких глубоких папок js каких-то плагинов и т.д. Выглядит как, либо абракадабра (dffr32.php), либо маскируется под какие-то нужные файлы (template.php). Сам код обфусцирован несложно довольно-таки, потому я его привел в божеский вид и пытаюсь понять как именно он все делает.
Пока я понял только, что он проверяет наличие $_FILES, перебирает его и если находит там любой файл кроме jpg то меняет его имя определенным образом. Ну и по мелочи там- имя хоста и т.д. Затем идет огромный кусок кода, это класс phpMailer прямо с комментариями даже с гитхаба) Этот кусок я пропустил и не буду показывать сейчас потому что он огромен и 100% это чистый phpmailer , а после уже идет опять код зловреда, где он уже и собственно отправляет спам. Но я не могу понять момента, где он берет сам список спама, список адресов куда слать и т.д.
Может кто-то из уважаемого сообщества заинтересуется и посмотрит код? Он очень интересный, между прочим) В общем, любые соображения приветствуются.
Этот код содержится практически во всех зараженных файлах, и везде он одинаков. Но, должен сказать, что попадается еще один вид кода, который я пока не смог толком деобфусцировать. Если кому-то станет интересно - выложу в "грязном" виде.
Всем спасибо.
Мелкий
Отправлено: 10 Сентября, 2015 - 21:52:45
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
MikaBi пишет:
сайт на wordpress
MikaBi пишет:
сделал все стандартные действия ...
MikaBi пишет:
они появляются вновь.
Почему в стандартных действиях не указано "обновил до актуальной, поддерживаемой версии саму CMS и все плагины"?
----- PostgreSQL DBA
MikaBi
Отправлено: 10 Сентября, 2015 - 22:33:15
Новичок
Покинул форум
Сообщений всего: 21
Дата рег-ции: Июнь 2014
Помог: 0 раз(а)
Мелкий пишет:
MikaBi пишет:
сайт на wordpress
MikaBi пишет:
сделал все стандартные действия ...
MikaBi пишет:
они появляются вновь.
Почему в стандартных действиях не указано "обновил до актуальной, поддерживаемой версии саму CMS и все плагины"?
Ну, потому, что это настолько кристально ясно, что я даже не стал "засорять эфир" этой информацией. Конечно обновил в первую очередь.
Viper
Отправлено: 10 Сентября, 2015 - 23:34:40
Активный участник
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Помог: 98 раз(а)
Логи сервера смотреть не судьба? Как минимум mail relay запретить.
PS! Вы хотели узнать что делает скрипт? Или как от него избавиться?
В логах идет ежеминутное обращение к 2 - 3 вредоносным файлам. Если файлы удалить, то продолжает долбиться в 404 несколько дней. Момент дропа новых файлов пока отследить не могу, но буду стараться.
Ну, само собой финальная цель - избавиться, а если точнее, то закрыть уязвимость. Но и понять принцип действия от начала до конца тоже хочется.
DlTA
Отправлено: 11 Сентября, 2015 - 08:37:27
Постоянный участник
Покинул форум
Сообщений всего: 2952
Дата рег-ции: Окт. 2010
Помог: 53 раз(а)
MikaBi пишет:
Но и понять принцип действия от начала до конца тоже хочется.
вам на хост заливают сторонние файлы, как?!
может зная ваши пароли, или через дырки WP или где то лежит шелл или хостер у вас гуано и позволяет заглядывать в соседние папки и не только
MikaBi
Отправлено: 11 Сентября, 2015 - 21:30:29
Новичок
Покинул форум
Сообщений всего: 21
Дата рег-ции: Июнь 2014
Помог: 0 раз(а)
DlTA пишет:
MikaBi пишет:
Но и понять принцип действия от начала до конца тоже хочется.
вам на хост заливают сторонние файлы, как?!
может зная ваши пароли, или через дырки WP или где то лежит шелл или хостер у вас гуано и позволяет заглядывать в соседние папки и не только
Все омрачается тем, что не я владелец сайта. И хотя я сменил все пароли на просто совершенно надежные, но не могу гарантировать, что например у заказчика нет троянов и кйлогеров каких-нибудь на машине с которой он ходит в админку и т.д. Хостер TimeWeb, вроде не совсем уж днище. Сейчас, когда в очередной раз все почистил, буду построчно мониторить логи, что бы отловить обращение к шеллу, других вариантов не вижу пока.
higub
Отправлено: 04 Декабря, 2015 - 16:51:20
Новичок
Покинул форум
Сообщений всего: 56
Дата рег-ции: Нояб. 2015
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.