Перейти к содержимому


Фотография
- - - - -

Троян(?) на сайте, проверки хостинга и CMS результатов не дают

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   VadimD

VadimD

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Ноябрь 2019 - 11:21

Добрый день!

Возможно, не совсем верно выбрал раздел, но более подходящего не нашел.

Ситуация по-порядку

1. в четверг, 8,11,19, примерно с 11:30 утра на сайтах https://levrana.ruи https://bioteka.online в браузере Гугл Хром Касперский и Аваст начали ругаться. на разных устройствах и в разных городах
https://prnt.sc/puaj5m

https://prnt.sc/puaqw1

при этом ни в опере, ни в мозиле антивирусы ни на что не ругаются

 

2. при проверке на хостинге были обнаружены трояны в "изображениях"
https://prnt.sc/puarwr

 

3. средствами хостинга все было "вылечено" и никаких данных об угрозах ни на хостинге, ни в CMS(Битрикс) нет
http://prntscr.com/pvrdan

http://prntscr.com/pvrdnn

 

4. сайты продолжают обращаться к внешним источникам и антивирусы продолжают на это ругаться
https://prnt.sc/pub742

http://prntscr.com/pvremo

 

при этом до 8 ноября ничего из этого не было

5. в интернете нашел статью о том, что это скрытый майнер специально под битрикс
https://ip-51.ru/art...bchain-network/

но "инструкция" по лечению ломает сам сайт

 

саппорт хостинга послал к битриксу
саппорт бирикса задал с десяток глупых вопросов и просто "послал"

помогите, пожалуйста, решить вопрос

 


  • 0

#2 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 972

Отправлено 12 Ноябрь 2019 - 15:21

Кеш браузера чистили после лечения?


  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#3 OFF   VadimD

VadimD

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Ноябрь 2019 - 15:34

да
и кэш битрикса тоже

на одном из сайтов (Леврана) удалось побороть - нашли в header.php сроку, открывающую внешний js

но на другом сайте (биотека) не выходит найти источник в коде и файлах


  • 0

#4 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 972

Отправлено 12 Ноябрь 2019 - 15:58

Присмотритесь к bioteka.online/bitrix/cache/js/s1/aspro_mshop/template_533e0e580dfbf9e0d36b3ff595db8f24/template_533e0e580dfbf9e0d36b3ff595db8f24_v1.js, там большой зашифрованный скрипт


  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#5 OFF   VadimD

VadimD

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Ноябрь 2019 - 16:09

спасибо, присмотрюсь внимательнее
смотрел его на внешние ссылки

будет странно, если одна и та же зараза на разные сайты встала разными способами


  • 0

#6 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 972

Отправлено 12 Ноябрь 2019 - 16:16

Патчили скорее всего ручками.


  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#7 OFF   VadimD

VadimD

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Ноябрь 2019 - 16:19

не исключено

буду держать в курсе
если есть еще идеи/рекомендации - буду благодарен


  • 0

#8 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 972

Отправлено 12 Ноябрь 2019 - 20:14

не исключено

буду держать в курсе
если есть еще идеи/рекомендации - буду благодарен

Да, но уже не от меня.

 

 


По поводу зараженного сайта.
 
 
Я бы порекомендовал пользователю поискать во всех файлах сайта строку ^a.charCodeAt(i). Вероятнее всего вирусописатели ничего изобретательнее не придумали. Я распаковал эту штуку, она XORится с однобайтовым ключом, после распаковки тот же самый алгоритм, только ключ другой. Затем там еще один пакер function(p, a, c, k, e, d), его я убрал при помощи онлайн деобфускатора и получил исходный код заразы.
 
Сам JSфайл замаскирован под jQuery, он не выполняется из-за  ложного условия if(1==2).

  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#9 OFF   VadimD

VadimD

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Ноябрь 2019 - 20:26

ничего подобного поиск не нашел


  • 0

#10 OFF   VadimD

VadimD

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 13 Ноябрь 2019 - 12:57

отчитываюсь

1. огромная благодарность

akoK

и еще большая 

Noo
 
2. источник оказался в bitrix/templates/aspro_mshop/js/custom.js
руками это было добавлено или через какую-то уязвимость непонятно
 
3. поиск по хостингу результатов по ^a.charCodeAt(i) не давал

 

4. был совершен поиск по charCodeA, отсортирован по дате изменения и руками найдены 3 файла - источник и 2 кэшированных объединяющих скрипта

 

5. после удаления всего содержимого в источнике bitrix/templates/aspro_mshop/js/custom.js и обнулении кэша битрикса антивирус ругаться перестал, полет сайта нормальный


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных