VadimD 0 Опубликовано 12 ноября, 2019 Share Опубликовано 12 ноября, 2019 Добрый день!Возможно, не совсем верно выбрал раздел, но более подходящего не нашел.Ситуация по-порядку1. в четверг, 8,11,19, примерно с 11:30 утра на сайтах https://levrana.ruи https://bioteka.online в браузере Гугл Хром Касперский и Аваст начали ругаться. на разных устройствах и в разных городах https://prnt.sc/puaj5m https://prnt.sc/puaqw1 при этом ни в опере, ни в мозиле антивирусы ни на что не ругаются 2. при проверке на хостинге были обнаружены трояны в "изображениях"https://prnt.sc/puarwr 3. средствами хостинга все было "вылечено" и никаких данных об угрозах ни на хостинге, ни в CMS(Битрикс) нетhttp://prntscr.com/pvrdan http://prntscr.com/pvrdnn 4. сайты продолжают обращаться к внешним источникам и антивирусы продолжают на это ругатьсяhttps://prnt.sc/pub742 http://prntscr.com/pvremo при этом до 8 ноября ничего из этого не было5. в интернете нашел статью о том, что это скрытый майнер специально под битриксhttps://ip-51.ru/articles/remove_hidden_mitra_of_site_on_bitriks_-hostingcloud-_webchain-network/ но "инструкция" по лечению ломает сам сайт саппорт хостинга послал к битриксусаппорт бирикса задал с десяток глупых вопросов и просто "послал"помогите, пожалуйста, решить вопрос Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 12 ноября, 2019 Share Опубликовано 12 ноября, 2019 Кеш браузера чистили после лечения? Цитата Ссылка на сообщение Поделиться на другие сайты
VadimD 0 Опубликовано 12 ноября, 2019 Автор Share Опубликовано 12 ноября, 2019 даи кэш битрикса тожена одном из сайтов (Леврана) удалось побороть - нашли в header.php сроку, открывающую внешний jsно на другом сайте (биотека) не выходит найти источник в коде и файлах Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 12 ноября, 2019 Share Опубликовано 12 ноября, 2019 Присмотритесь к bioteka.online/bitrix/cache/js/s1/aspro_mshop/template_533e0e580dfbf9e0d36b3ff595db8f24/template_533e0e580dfbf9e0d36b3ff595db8f24_v1.js, там большой зашифрованный скрипт Цитата Ссылка на сообщение Поделиться на другие сайты
VadimD 0 Опубликовано 12 ноября, 2019 Автор Share Опубликовано 12 ноября, 2019 спасибо, присмотрюсь внимательнеесмотрел его на внешние ссылкибудет странно, если одна и та же зараза на разные сайты встала разными способами Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 12 ноября, 2019 Share Опубликовано 12 ноября, 2019 Патчили скорее всего ручками. Цитата Ссылка на сообщение Поделиться на другие сайты
VadimD 0 Опубликовано 12 ноября, 2019 Автор Share Опубликовано 12 ноября, 2019 не исключенобуду держать в курсеесли есть еще идеи/рекомендации - буду благодарен Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 12 ноября, 2019 Share Опубликовано 12 ноября, 2019 не исключено буду держать в курсе если есть еще идеи/рекомендации - буду благодарен Да, но уже не от меня. По поводу зараженного сайта. Я бы порекомендовал пользователю поискать во всех файлах сайта строку ^a.charCodeAt(i). Вероятнее всего вирусописатели ничего изобретательнее не придумали. Я распаковал эту штуку, она XORится с однобайтовым ключом, после распаковки тот же самый алгоритм, только ключ другой. Затем там еще один пакер function(p, a, c, k, e, d), его я убрал при помощи онлайн деобфускатора и получил исходный код заразы. Сам JSфайл замаскирован под jQuery, он не выполняется из-за ложного условия if(1==2). Цитата Ссылка на сообщение Поделиться на другие сайты
VadimD 0 Опубликовано 12 ноября, 2019 Автор Share Опубликовано 12 ноября, 2019 ничего подобного поиск не нашел Цитата Ссылка на сообщение Поделиться на другие сайты
VadimD 0 Опубликовано 13 ноября, 2019 Автор Share Опубликовано 13 ноября, 2019 отчитываюсь1. огромная благодарностьakoK и еще большая Noo 2. источник оказался в bitrix/templates/aspro_mshop/js/custom.jsруками это было добавлено или через какую-то уязвимость непонятно 3. поиск по хостингу результатов по ^a.charCodeAt(i) не давал 4. был совершен поиск по charCodeA, отсортирован по дате изменения и руками найдены 3 файла - источник и 2 кэшированных объединяющих скрипта 5. после удаления всего содержимого в источнике bitrix/templates/aspro_mshop/js/custom.js и обнулении кэша битрикса антивирус ругаться перестал, полет сайта нормальный Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.