Перейти к содержанию

Троян(?) на сайте, проверки хостинга и CMS результатов не дают


VadimD

Рекомендуемые сообщения

Добрый день!

Возможно, не совсем верно выбрал раздел, но более подходящего не нашел.

Ситуация по-порядку

1. в четверг, 8,11,19, примерно с 11:30 утра на сайтах https://levrana.ruи https://bioteka.online в браузере Гугл Хром Касперский и Аваст начали ругаться. на разных устройствах и в разных городах
https://prnt.sc/puaj5m

https://prnt.sc/puaqw1

при этом ни в опере, ни в мозиле антивирусы ни на что не ругаются

 

2. при проверке на хостинге были обнаружены трояны в "изображениях"
https://prnt.sc/puarwr

 

3. средствами хостинга все было "вылечено" и никаких данных об угрозах ни на хостинге, ни в CMS(Битрикс) нет
http://prntscr.com/pvrdan

http://prntscr.com/pvrdnn

 

4. сайты продолжают обращаться к внешним источникам и антивирусы продолжают на это ругаться
https://prnt.sc/pub742

http://prntscr.com/pvremo

 

при этом до 8 ноября ничего из этого не было

5. в интернете нашел статью о том, что это скрытый майнер специально под битрикс
https://ip-51.ru/articles/remove_hidden_mitra_of_site_on_bitriks_-hostingcloud-_webchain-network/

но "инструкция" по лечению ломает сам сайт

 

саппорт хостинга послал к битриксу
саппорт бирикса задал с десяток глупых вопросов и просто "послал"

помогите, пожалуйста, решить вопрос

 

Ссылка на комментарий
Поделиться на другие сайты

да
и кэш битрикса тоже

на одном из сайтов (Леврана) удалось побороть - нашли в header.php сроку, открывающую внешний js

но на другом сайте (биотека) не выходит найти источник в коде и файлах

Ссылка на комментарий
Поделиться на другие сайты

Присмотритесь к bioteka.online/bitrix/cache/js/s1/aspro_mshop/template_533e0e580dfbf9e0d36b3ff595db8f24/template_533e0e580dfbf9e0d36b3ff595db8f24_v1.js, там большой зашифрованный скрипт

Ссылка на комментарий
Поделиться на другие сайты

спасибо, присмотрюсь внимательнее
смотрел его на внешние ссылки

будет странно, если одна и та же зараза на разные сайты встала разными способами

Ссылка на комментарий
Поделиться на другие сайты

не исключено

 

буду держать в курсе

если есть еще идеи/рекомендации - буду благодарен

Да, но уже не от меня.

 

 

По поводу зараженного сайта.
 
 
Я бы порекомендовал пользователю поискать во всех файлах сайта строку ^a.charCodeAt(i). Вероятнее всего вирусописатели ничего изобретательнее не придумали. Я распаковал эту штуку, она XORится с однобайтовым ключом, после распаковки тот же самый алгоритм, только ключ другой. Затем там еще один пакер function(p, a, c, k, e, d), его я убрал при помощи онлайн деобфускатора и получил исходный код заразы.
 
Сам JSфайл замаскирован под jQuery, он не выполняется из-за  ложного условия if(1==2).
Ссылка на комментарий
Поделиться на другие сайты

отчитываюсь

1. огромная благодарность

akoK

и еще большая 

Noo
 
2. источник оказался в bitrix/templates/aspro_mshop/js/custom.js
руками это было добавлено или через какую-то уязвимость непонятно
 
3. поиск по хостингу результатов по ^a.charCodeAt(i) не давал

 

4. был совершен поиск по charCodeA, отсортирован по дате изменения и руками найдены 3 файла - источник и 2 кэшированных объединяющих скрипта

 

5. после удаления всего содержимого в источнике bitrix/templates/aspro_mshop/js/custom.js и обнулении кэша битрикса антивирус ругаться перестал, полет сайта нормальный

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ser_S
      От Ser_S
      Здравствуйте, если, например задать маску проверки сайтов например *.mail.ru, то проверяется зона ru, затем mail и затем если звёздочка, то  все эти поддомены соответствуют условию.
      Непонятно, если условие написать mail.*, то будет ли проверяться каждая зона(ru, net, com и т.д.) на содержание поддомена mail?
    • MadMess
      От MadMess
      Скачал программу WoMic с сайта wolicheng.com (сайт по моему официальный), а там троян если верить антивирусам. Вообщем скачал я эту программу чтобы пользоваться телефоном как микрофон, после установки я проверил на вирустотал, а там нашли троян 7 антивирусов, в том числе был Dr.Web. Хотел удалить через uninstaller который находился в папке WoMic, но там удалился только часть файлов, а сама программа все равно работала, пришлось вручную все удалять. Очистил всю эту папку, но не уверен что полностью удалил. После очистки я сбросил до точки восстановления, где не устанавливал эту программу, а после проверил через одноразовый антивирус Dr Web в безопасном режиме, вирусы он не обнаружил. Осталось три вопроса: "дейстительно ли в программе находился троян?", "точка восстановления спасает от вирусов, если на точке не было вирусов?" и "есть смысл сбросить до заводских настроек?". Человек я похож на параоника, и не успокоюсь пока вирусы не удалятся полностью
×
×
  • Создать...