Методы лечения зараженных сайтов

ВНИМАНИЕ!!!
Не делайте то, что написано ниже, если у вас не установлено никакой защиты!!!

Знакомые пожаловались, что их сайт dvi-group.ru заражён какой-то гадостью.

Если заходить на этот сайт напрямую, то зараза никак себя не проявляет.
Но вот если поискать в Гугле "DVI-Group",
и кликнуть в первую найденную ссылку,
то Гугл честно перенаправляет на данный сайт,
но зараза на сайте активируется и переадресует браузер на случайные зараженные или порнушные сайты.

Причина появления заразы понятна.
На компе у того, кто лазил на сайт по ФТП, был троян, ворующий пароли.
Злоумышленник получает ФТП логин/пароль от очередной жертвы,
заливает туда веб-шелл с функциями заражения,
и запускает его.
Всё. Дело сделано.
Далее любой клик по сайту приводит к лавинообразному автоматическому заражению остальных еще не зараженных файлов.

Как предохраняться от такого - в принципе, давно известно.
Проверяйте свой комп на вирусы.
Разрешайте административный доступ только с определенных адресов.

А вот как лечить уже зараженный сайт?
По идее, желательно периодически делать список контрольных сумм всех файлов.
Тогда простое сравнение по этому списку покажет что и где поменялось.
Удаляем то, чего не должно быть, заливаем из бэкапа файлы, которые поменялись, или удалены.

А если ранее никто никаких бэкапов и контрольных списков не делал?
Да и логи ФТП никто не только не отслеживал, но даже и логов не делали?
Как тогда вообще выявить, какие файлы заражены, а какие нет?

Сообщение отредактировано: vot - 18.08.11, 17:06

если речь о домашнем компе - пользуйтесь лицензионной виндой и всеми ее прелестями в виде обновлений и бесплатного антивируса от МС,
если речь о рабочем компе - то это геморой ИТ отдела

Цитата КролеГ @ 18.08.11, 22:40

если речь о домашнем компе ... рабочем компе

Речь О САЙТЕ, размещённом у хостинг-провайдера!

Сообщение отредактировано: vot - 19.08.11, 06:11

vot Пароля обычного юзера недостаточно для заражения. Значит там еще была дырка для получения рута. Поэтому сначала дырку закрыть. Кстати, если фтп обычный - то это тоже ДЫРКА, т.к. пароли можно просниффать, троян не нужен.
Если бекапов не было, то увы ТРУБА. Срочно надо все удалять. Это проще. Пока найдут как лечить и вылечат - клиент уйдет! Впрочем может они ШУСТРЫЕ. В любом случае надо обращаться в антивирусные компании, а не по форумам искать "ПОЛЕЗНЫХ" советов.

Цитата ValterG @ 19.08.11, 06:28

Пароля обычного юзера недостаточно для заражения. Значит там еще была дырка для получения рута.

Невнимательно читаем
Украден ФТП-пароль!
Этого достаточно, чтобы залить на сайт скриптовый зловред, а потом запустить его через обычный браузер.

Последствия заражения я искал по дате/периоду модификации.
Далее искал по сигнатуре полнотекстовым поиском в файлах.
Вот так руками можно все и пофиксить, только надо быть уверенным, что нашел все рассованные по углам шеллы.
Еще вариант - сделать бекап или подмонтировать папку и натравить каспера.

Цитата nash @ 19.08.11, 09:22

искал по дате/периоду модификации.

А если дата заражения неизвестна?

Цитата nash @ 19.08.11, 09:22

искал по сигнатуре полнотекстовым поиском в файлах

Как узнать, КАКИЕ сигнатуры надо искать?

Цитата nash @ 19.08.11, 09:22

Вот так руками можно все и пофиксить

Руками - это геморрой чрезвычайный.
У меня был случай - полторы тыщи зараженных файлов, и до двухсот инъекций в одном файле!
Хорошо бы утилитку какую найти...

Цитата nash @ 19.08.11, 09:22

быть уверенным, что нашел все рассованные по углам шеллы.

Как добиться такой уверенности? Т.е. как определить, всё ли ты нашёл и вычистил?
Ибо только найти и удалить шеллы - этого бывает недостаточно, ибо бывает, что оставшаяся зараза пересоздаёт новые шеллы вместо удалённых...

Цитата nash @ 19.08.11, 09:22

подмонтировать папку и натравить каспера.

Пробовал натравливать ДрВеба - молчит, как партизан

Цитата nash @ 19.08.11, 09:22

Этого достаточно, чтобы залить на сайт скриптовый зловред, а потом запустить его через обычный браузер.

Если скриптовый зловред умеет заражать в режиме обычного юзера - это означает наличие дырки. Я про это и толкую.

Цитата ValterG @ 19.08.11, 13:03

Если скриптовый зловред умеет заражать в режиме обычного юзера

Да это ж практически повсеместная практика.
Все фолдеры для аплоада обычно имеют права 777.
Да и апача нередко запускают от имени юзера, так что достаточно обычных прав 644 для заражения...

2 ValterG, Странные у тебя цитаты, и комментарий про дырку.
Ты понимаешь, что там как бы сервер не заражен строго говоря, т.е. сервер не выполняет никаких зловредных процессов и руткитов?

2vot,

Ну как дата неизвестна? Ты же знаешь хоть один URL, который творит беспредел? Вот его и надо анализировать, что там за файлы выполняются.
Далее дату примерную видишь, сигнатуру видишь, ищешь другие.

Автоматизировать можно скрипт написать который ищет регуляркой и вырезает автоматически.

Насчет шелла, ну хоть один найти, далее опять по сигнатуре искать.

Натрави Каспера, практика показывает что при всем богатстве выбора другой альтернативы...
По крайней мере шеллы точно должен найти.

Ну а как добиться уверенности... ну код смотреть, может там изначально закладка есть от изначального программиста, какие уж тут уверенности.

Цитата nash @ 19.08.11, 13:47

Ты понимаешь, что там как бы сервер не заражен строго говоря

Ну не сообразил - извини. Перечитал. Короче :
1) Сайт не заражен. Т.е. с центральной страницы все дерево чистое и не зараженное.
2) На сайте запущен/запускается скрипт, который помещает себя в поисковики и РАЗМНОЖАЕТСЯ или просто живет

Тогда вроде все просто: смотрим скрипт и вылавливаеи его на сайте и чистим!!!
Возможно что он один вообще был и уже почистили давно.
+++++++++++++++++++++++++++++++
В любом случае все дырки надо немедленно затыкать. Т.к. пока мы тут судимся, хакеры сидят и выискивают чего бы еще заразить.

Сообщение отредактировано: ValterG - 19.08.11, 15:54

Цитата nash @ 19.08.11, 13:47

Натрави Каспера, практика показывает что при всем богатстве выбора другой альтернативы...
По крайней мере шеллы точно должен найти.

Скормил ссылку ДрВебу:

Цитата

http://dvi-group.ru//js/jquery.js - Ok
http://dvi-group.ru//swfobject.js - Ok
http://dvi-group.ru//js/jquery.lightbox.js - Ok
http://dvi-group.ru/ - archive HTML
>http://dvi-group.ru//JavaScript.0 - Ok
>http://dvi-group.ru//JavaScript1.1.1 - Ok
>http://dvi-group.ru//JavaScript1.2.2 - Ok
>http://dvi-group.ru//JavaScript1.3.3 - Ok
>http://dvi-group.ru//JavaScript.4 - Ok
>http://dvi-group.ru//JavaScript.5 - Ok
>http://dvi-group.ru//Script.6 - Ok
>http://dvi-group.ru//Script.7 - Ok
>http://dvi-group.ru//Script.8 - Ok
http://dvi-group.ru/ - Ok

Отправил найденный шелл ДрВебу онлайн:

Цитата

Вирусов не обнаружено
Всего вирусных записей: 2503578
Версия антивирусного ядра: 5.0.2.3300
Размер файла: 66016 байт
MD5 файла: c5afdd677c479b203a20080ba23d1890
config_147140.php - OK

Отправил найденный шелл касперу онлайн:

Цитата

Проверенный файл: config_147140.php
Статистика проверки:
Известных вирусов: 5899638
Дата последнего обновления: 15-08-2011
Размер файла (Kb): 65
Файлов: 1
Архивов: 0
Тел вирусов: 0
Предупреждений: 0
Подозрительных: 0

Так что, увы, Ни Каспер, ни Данилов с заданием не справились

Сообщение отредактировано: vot - 19.08.11, 15:53

Ты не то отправил. Ты отправь ссылку, которая в гугле !

Цитата vot @ 18.08.11, 17:05

но зараза на сайте активируется и переадресует браузер на случайные зараженные или порнушные сайты.

Грубо говоря это не вирус. Безобидное перенаправление. Поэтому антивирусники молчат, особенно если на эти файльшивые ссылки нет ссылок с центральной страницы и нет в дереве.

Сообщение отредактировано: ValterG - 19.08.11, 15:59

Цитата ValterG @ 19.08.11, 15:55

Ты отправь ссылку, которая в гугле !

Дык в гугле эта самая ссылка и светится
_http://dvi-group.ru/

А если взять гугло-редирект-ссылку:
http://www.google.ru/url?sa=t&source=web&cd=1&sqi=2&ved=0CBoQFjAA&url=http%3A%2F%2Fdvi-group.ru%2F&rct=j&q=dvi%20group&ei=_o9OTpXBFo6O4gTK5MXmBw&usg=AFQjCNGos1msVN4dC2d8frV2CmVbBYWoGA&sig2=wAhq0LaMqGLJ6_PFAXmjDw&cad=rja
то ДрВеб-онлайн не может с ней справиться, говорит "недоступно"...

Цитата ValterG @ 19.08.11, 15:55

Грубо говоря это не вирус. Безобидное перенаправление.

Да мне-то похрен, как и кто это идентифицирует
У меня задача - найти и обезвредить!
А для этого нужны БЫ инструменты какие-нибудь...

Цитата vot @ 19.08.11, 16:43

А для этого нужны БЫ инструменты какие-нибудь...

Какие-нибудь - не получится. Скрипты разные бывают и ловить их приходится по разному. Так что обычно используется что-нить самописное. Но конкретно поиск заразы - это обычно grep -R на что-нибудь. Для начала - имена сайтов, куда идёт перенаправление, потом все возможные команды перенаправления.

JS можно посмотреть и руками - гадости обычно дописывают себя в конце файлов либо полностью переписывая их (в особенности это касается файлов либ вроде jquery) и высмотреть такое - не проблема. Также руками можно почитать все имеющееся index.* файлы - обычно заражение только ими и ограничивается.

Цитата vot @ 19.08.11, 09:46

А если дата заражения неизвестна?

А если подумать? Заражение наверняка происходило не руками, так-что модифицировались далеко не все файлы и можно просто поискать отклонения.

Добавлено 19.08.11, 17:58
И ничего в гугле не светится.

Цитата Dark Side @ 19.08.11, 17:55

это обычно grep -R на что-нибудь.

Знать бы еще, "на что именно"...

Цитата Dark Side @ 19.08.11, 17:55

Для начала - имена сайтов, куда идёт перенаправление, потом все возможные команды перенаправления.

Никаких имён сайтов или перенаправлений в явном виде нет.
Все инъекции закодированы в Base64.

Цитата Dark Side @ 19.08.11, 17:55

JS можно посмотреть и руками - гадости обычно дописывают себя в конце файлов либо полностью переписывая их

Ни одного подобного не найдено.

Цитата Dark Side @ 19.08.11, 17:55

можно почитать все имеющееся index.* файлы - обычно заражение только ими и ограничивается.

Увы, это не так. По крайней мере в данном случае...
Заражены HTML, JS, PHP, CFG, TPL файлы.
Метод инъекции - в основном внедрение закодированного яваскрипта или пхп-кода прямо внутри тела файла, причем по многу раз. Рекорд инфицирования одного файла = 152 инъекции!
Внедрение очень аккуратное, не нарушающее ни хтмл-разметку, ни яваскрипты, ни пхп-код. Причем в инъекциях используются несколько разных методов, что затрудняет идентификацию...

Цитата Dark Side @ 19.08.11, 17:55

А если подумать? Заражение наверняка происходило не руками, так-что модифицировались далеко не все файлы и можно просто поискать отклонения.

Отклонения от ЧЕГО?
Если ты впервые видишь файлы проекта, с чем ты их сравнивать будешь?

Цитата Dark Side @ 19.08.11, 17:55

И ничего в гугле не светится.

Дык люди ж не только по форумам ошиваются

Цитата vot @ 19.08.11, 18:13

Все инъекции закодированы в Base64.

А эти коды не ищутся?

Цитата vot @ 19.08.11, 18:13

Дык люди ж не только по форумам ошиваются

Да. Но гугл обычно ставит предупреждение об опасности посещения сайта, и снимает его не сразу и отнюдь не за красивые глаза.

Цитата vot @ 19.08.11, 18:13

Отклонения от ЧЕГО?
Если ты впервые видишь файлы проекта, с чем ты их сравнивать будешь?

От нормы. Это-же продакшн, причем законченный. Т.е. всё заливалось довольно давно. А значит изменения вирусом (если он конечно сам не менял время модификации) - есть самые последние изменения.

Цитата vot @ 19.08.11, 18:13

Заражены HTML, JS, PHP, CFG, TPL файлы.
Метод инъекции - в основном внедрение закодированного яваскрипта или пхп-кода прямо внутри тела файла, причем по многу раз. Рекорд инфицирования одного файла = 152 инъекции!
Внедрение очень аккуратное, не нарушающее ни хтмл-разметку, ни яваскрипты, ни пхп-код. Причем в инъекциях используются несколько разных методов, что затрудняет идентификацию...

Бред какой-то. Нафига так сложно-то? Но всё-равно: нашел одно внедрение - написал его вырезаловку по всему зайту (хоть на том-же php), нашел другое - опять написал его вырезаловку. Разных типов-то там явно не сотни.

Цитата Dark Side @ 20.08.11, 03:33

нашел одно внедрение - написал его вырезаловку по всему зайту (хоть на том-же php), нашел другое - опять написал его вырезаловку.

Ну так и делается.
Только где гарантия, что ты ВСЁ нашел?
Лично я вот не уверен...

Цитата vot @ 18.08.11, 17:05

Если заходить на этот сайт напрямую, то зараза никак себя не проявляет.
Но вот если поискать в Гугле "DVI-Group",
и кликнуть в первую найденную ссылку,
то Гугл честно перенаправляет на данный сайт,
но зараза на сайте активируется и переадресует браузер на случайные зараженные или порнушные сайты.

Вылечили уже? Не наблюдаю такого. Windows XP SP3, виртуалка VirtualBox, opera 11.50. Показывает сайт какой-то компании компании.

Как починили?

Тупым поиском всех файлов, содержащих любой шестнадцатеричный код...