Здравствуйте.
Где-то сидит вирус, который создает дополнительные страницы .xml , на кот. какая-то реклама. Появляются они всегда в папке, куда идет загрузка изображений из fckeditor. Изменение паролей от ftp и доступа к админке не помогло. Плюс к этому, периодически создаются файлы в этой же папке типа .5php (или .php5, могу ошибаться). И было несколько раз ali.exe и wp-stats (папка все та же). Простое удаление всего этого из папки тоже не помогло. Касперский локально ничего не нашел, кроме вот этих файлов, еще несколько антивирусов тоже. Все антивирусы онлайн пишут, что все ок. Скрипт Ай-болит ругается на большое количество файлов, в основном на файлы fckeditor, но на такой же fckeditor той же самой версии, свежескаченный, он ругается точно на такие же файлы.
Нюанс в том, что CMS самописная, сравнивать не с чем. Ай-болит ругается на некоторые файлы php, но там все похоже на обычные функции для работы сайта. На java некоторые тоже ругается, но все это давно уже создавалось разработчиком и как должно быть - не понятно. Онлайн анализы при этом все показывают, что с файлами java все ок.
Можно ли исходя из активности вируса и следов его деятельности только в папке закачек fckeditor сделать какие-то предположения, где его искать?
Вирус развлекается в папке закачек FCkeditor, где найти?
(Ответов: 6, Просмотров: 929)
- 04.08.2015 23:05
- Регистрация: 25.03.2015
- Сообщений: 46
- Репутация: 7
- 04.08.2015 23:06
Логи проверяйте, смотрите активность по файлам.
- 04.08.2015 23:22
- Регистрация: 25.03.2015
- Сообщений: 46
- Репутация: 7
По логам например так (ip меняются):
46.159.247.215 мойсайт.com - [26/Jul/2015:00:14:09 +0200] "GET /imgs/deshevie-aviabileti-iz-kazani-v-adler-61759.xml HTTP/1.1" 200 41120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
66.135.48.133 мойсайт.com - [26/Jul/2015:02:36:31 +0200] "GET /imgs/aviabileti-tomsk-irkutsk-71036.xml HTTP/1.1" 200 41120 "-" "WordPress.com; https://jqtwizetmvfsb.wordpress.com"
66.135.48.133 мойсайт.com - [26/Jul/2015:02:36:32 +0200] "GET /imgs/aviabileti-tomsk-irkutsk-71036.xml HTTP/1.1" 200 41120 "-" "WordPress.com; https://jqtwizetmvfsb.wordpress.com"
66.135.48.133 мойсайт.com - [26/Jul/2015:02:36:39 +0200] "HEAD /imgs/aviabileti-tomsk-irkutsk-71036.xml HTTP/1.1" 200 - "-" "WordPress.com; https://jqtwizetmvfsb.wordpress.com" - 07.08.2015 11:06
- Регистрация: 25.03.2015
- Сообщений: 46
- Репутация: 7
Вот ночью загрузился очередной фаил indexp.php c каким-то скриптом внутри. Загрузка через текстовый редактор в его папку для загрузки картинок (все вирусные файлы всегда загружаются только туда).
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:04 +0200] "POST /admin/fckeditor/editor/filemanager/connectors/php/upload.php?time=1438900195000&Type=File&CurrentFol der=/indexp.php%00 HTTP/1.1" 200 335 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:10 +0200] "GET /imgs/indexp.php HTTP/1.1" 200 120 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:15 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 54856 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:15 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 82162 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:21 +0200] "GET /indexp.php HTTP/1.1" 200 120 "http://www.мойсайт.com/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:21 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 54854 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:21 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 8478 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:22 +0200] "POST /indexp.php HTTP/1.1" 200 82131 "http://www.мойсайт.com/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:22 +0200] "POST /indexp.php HTTP/1.1" 200 8346 "http://www.мойсайт.com/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" - 07.08.2015 12:36
- Регистрация: 27.03.2015
- Сообщений: 271
- Репутация: 35
1. в директорию /admin/fckeditor добавить файл .htaccess с содержимым
Код HTML:2. Проверить права на папки# Disable access to all file types except the following Order deny,allow Deny from all <Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar|xml)$"> Allow from all </Files>
3. Проверить сайт на живность (айболит) - 07.08.2015 12:53
Могу посоветовать:
1. поменять путь к папке fckeditor (/admin/fckeditor/ - сильно палевно)
2. запретить выполнение скриптов в папке куда загружаются изображения
3. перед загрузкой проверять является ли файл изображением - 07.08.2015 21:38
наймите специалиста для лечения сайта от вирусов
Похожие темы
Темы | Раздел | Ответов | Последний пост |
---|---|---|---|
Прошу помочь найти вирус | Вопросы от новичков | 17 | 20.11.2014 22:12 |
Помогите найти вирус! Mal/ExpJS-BE | Консультации по безопасности | 0 | 16.02.2014 20:54 |
Инструкция. Как найти, вылечить или удалить вирус с сайта | Дайджест блогосферы | 0 | 24.10.2013 18:26 |
Помогите найти вирус | Прочее | 15 | 30.09.2013 07:30 |
Помогите найти где находится вирус, или как его код выглядит | Консультации по безопасности | 6 | 08.02.2013 10:01 |