Троян(?) на сайте, проверки хостинга и CMS результатов не дают

[VadimD]

Добрый день!

Возможно, не совсем верно выбрал раздел, но более подходящего не нашел.

Ситуация по-порядку

1. в четверг, 8,11,19, примерно с 11:30 утра на сайтах https://levrana.ruи https://bioteka.online в браузере Гугл Хром Касперский и Аваст начали ругаться. на разных устройствах и в разных городах
https://prnt.sc/puaj5m

https://prnt.sc/puaqw1

при этом ни в опере, ни в мозиле антивирусы ни на что не ругаются

 

2. при проверке на хостинге были обнаружены трояны в "изображениях"
https://prnt.sc/puarwr

 

3. средствами хостинга все было "вылечено" и никаких данных об угрозах ни на хостинге, ни в CMS(Битрикс) нет
http://prntscr.com/pvrdan

http://prntscr.com/pvrdnn

 

4. сайты продолжают обращаться к внешним источникам и антивирусы продолжают на это ругаться
https://prnt.sc/pub742

http://prntscr.com/pvremo

 

при этом до 8 ноября ничего из этого не было

5. в интернете нашел статью о том, что это скрытый майнер специально под битрикс
https://ip-51.ru/articles/remove_hidden_mitra_of_site_on_bitriks_-hostingcloud-_webchain-network/

но "инструкция" по лечению ломает сам сайт

 

саппорт хостинга послал к битриксу
саппорт бирикса задал с десяток глупых вопросов и просто "послал"

помогите, пожалуйста, решить вопрос

 

[akoK]

Кеш браузера чистили после лечения?

[VadimD]

да
и кэш битрикса тоже

на одном из сайтов (Леврана) удалось побороть - нашли в header.php сроку, открывающую внешний js

но на другом сайте (биотека) не выходит найти источник в коде и файлах

[akoK]

Присмотритесь к bioteka.online/bitrix/cache/js/s1/aspro_mshop/template_533e0e580dfbf9e0d36b3ff595db8f24/template_533e0e580dfbf9e0d36b3ff595db8f24_v1.js, там большой зашифрованный скрипт

[VadimD]

спасибо, присмотрюсь внимательнее
смотрел его на внешние ссылки

будет странно, если одна и та же зараза на разные сайты встала разными способами

[akoK]

Патчили скорее всего ручками.

[VadimD]

не исключено

буду держать в курсе
если есть еще идеи/рекомендации - буду благодарен

[akoK]

не исключено

 

буду держать в курсе

если есть еще идеи/рекомендации - буду благодарен

Да, но уже не от меня.

 

 

По поводу зараженного сайта.

 

 

Я бы порекомендовал пользователю поискать во всех файлах сайта строку ^a.charCodeAt(i). Вероятнее всего вирусописатели ничего изобретательнее не придумали. Я распаковал эту штуку, она XORится с однобайтовым ключом, после распаковки тот же самый алгоритм, только ключ другой. Затем там еще один пакер function(p, a, c, k, e, d), его я убрал при помощи онлайн деобфускатора и получил исходный код заразы.

 

Сам JSфайл замаскирован под jQuery, он не выполняется из-за  ложного условия if(1==2).

[VadimD]

ничего подобного поиск не нашел

[VadimD]

отчитываюсь

1. огромная благодарность

akoK

и еще большая 

Noo
 
2. источник оказался в bitrix/templates/aspro_mshop/js/custom.js
руками это было добавлено или через какую-то уязвимость непонятно
 
3. поиск по хостингу результатов по ^a.charCodeAt(i) не давал

 

4. был совершен поиск по charCodeA, отсортирован по дате изменения и руками найдены 3 файла - источник и 2 кэшированных объединяющих скрипта

 

5. после удаления всего содержимого в источнике bitrix/templates/aspro_mshop/js/custom.js и обнулении кэша битрикса антивирус ругаться перестал, полет сайта нормальный