Как найти в файлах вирус spywarepc.info - Веб-программирование

VaSya_lite · 02.10.2009, 00:00

Подскажите пожалуйста, как найти и удалить в файлах движка Joomla ссылку http://spywarepc.info/0/go.php?sid=2

Нахожу свой сайт через поисковик, нажимаю на ссылку, и открывается совсем другая ссылка!!! Вот сайт www.trep.com.ua

Вот его находит в поисковике:
http://yandex.ua/yandsearch?text=trep.com.ua&lr=143&ncrnd=1418

Потом выдает ошибку:
В адресной строке совсем другая ссылка: http://spywarepc.info/0/go.php?sid=2

И текст:
Ошибка!
Невозможно найти удалённый сервер

Вы попытались получить доступ к адресу http://clck.yandex.ru/redir/AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW99KUdgowt9XvqxGyo_rnZJpNjfFDg3rinAOILsx 9Z_6HLRdMFAG871THz9Mu3D0080rN0MSYRWX2T_GRbZliyDb7MKvB41jkz7k4m_7PRCPQ? data=UlNrNmk5WktYejR0eWJFYk1LdmtxdE8xSUdLak1IS0VoSV84YlVpSktVVmY2d3ZOR U9SaXpSMXhfd0IyaUZNT1JUTlozcjJtM08zSjNaRDRsTDA3XzU1MXYwN08wai13&b64e=2 &sign=072c36a2df15245ded49efe7f026dc26&keyno=0, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.
Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение.

Так же когда на сайте заполняю некие поля с модуля chronoforms для joomla, нажимаю отправить, в адресной строке снова появляется ссылка на http://spywarepc.info/0/go.php?sid=2 и такой же текст как и выше!!!

Что делать??? Пересмотрел все index.php файлы, нигде этой ссылки нету! Как ее найти???

Borland · 02.10.2009, 00:33

Цитата:

Сообщение от VaSya_lite

как найти и удалить в файлах движка Joomla

Очевидно - сравнением с теми же файлами оригинального движка. WinMerge (например) в помощь.
Если нет изменений в файлах - убирайте по одному навесные модули пока эффект не пропадёт. Также проведите сравнение файлов этих модулей с оригиналами, полученными непосредственно от разработчика.
Если движок со всеми расширениями девственно чист - проверяйте web-сервер.
курить: http://www.google.com/safebrowsing/diagnostic?site=http://www.trep.com.ua/&hl=ru

Цитата:

Malicious software includes 6 scripting exploit(s), 4 trojan(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

Hubbitus · 02.10.2009, 02:38

Значит что интересное заметил, перенаправление идёт на сервере, не на JavaScript, так что можете просто поискать подозрительные новые вызовы header(...).

Если не справится, постучитесь ко мне - помогу.

VaSya_lite · 02.10.2009, 02:46

Все попробовал, ничего не помогает

Что делать?

добавлено через 2 минуты
Вот, можете посмотреть например:
http://trep.com.ua/index.php?option=com_chronocontact&chronoformname=zayavka_na_zapisj
Откройте, нажмите на кнопку "Отправить", и посмотрите на результат!

добавлено через 1 минуту

Цитата:

Сообщение от Hubbitus

Значит что интересное заметил, перенаправление идёт на сервере, не на JavaScript, так что можете просто поискать подозрительные новые вызовы header(...).

Если не справится, постучитесь ко мне - помогу.

А каким образом их искать?

Borland · 02.10.2009, 10:35

Вы всерьёз полагаете, что здесь кто-то горит желанием заполучить на свой компьютер трояна?

Цитата:

Сообщение от Borland

Если движок со всеми расширениями девственно чист - проверяйте web-сервер.

Hubbitus · 02.10.2009, 11:56

Цитата:

Сообщение от Borland

Вы всерьёз полагаете, что здесь кто-то горит желанием заполучить на свой компьютер трояна?

Ну а это-то тут при чем?? Человек же явно пишет что зараза, он не обманывает зазывая зайти. Кто боится, пусть не ходит по ссылка, мне например пофигу, эти трояны для винды и мне как-то пополам. Что же теперь, не решать проблему??

Цитата:

Сообщение от VaSya_lite

А каким образом их искать?

Я предложил Вам полностью помочь, или же Вы все же хотите самостоятельно? Тогда так, заходите по SSH, и грепаете для начала по header, как-то так:

Код:

fgrep -irn 'header' .

смотрите подозрительные переадресации. Можете сократить поиск до PHP-файлов. Повторяю, искать нужно именно на сервере, переадресация идет HTTP-заголовками, и то, если только есть реферер, если зайти просто на сайт скопировав ссылку, то открывается сайт:

Код:

$ wget --spider -S http://trep.com.ua
Включен режим робота. Проверка существования удалённого файла.
--2009-10-02 10:55:33--  http://trep.com.ua/
Распознаётся trep.com.ua... 91.197.129.144
Устанавливается соединение с trep.com.ua|91.197.129.144|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 
  HTTP/1.0 200 OK
  Server: nginx/0.7.43
  Date: Fri, 02 Oct 2009 06:57:09 GMT
  Content-Type: text/html; charset=utf-8
  X-Powered-By: PHP/5.2.11
  Set-Cookie: ea31fc68a8a255841ce94b127753195e=05cf6d654ef707572e3e48960329962d; path=/
  P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
  Expires: Mon, 1 Jan 2001 00:00:00 GMT
  Last-Modified: Fri, 02 Oct 2009 06:57:09 GMT
  Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
  Pragma: no-cache
  Vary: Accept-Encoding,User-Agent
  X-Cache: MISS from smb.korda.local
  Connection: keep-alive
Длина: нет информации [text/html]
Удалённый файл существует и может содержать дополнительные
ссылки, но рекурсия отключена -- не загружается.

Код:

$ wget --spider -S --referer='http://yandex.ua/yandsearch?text=trep.com.ua&lr=143&ncrnd=3994' http://trep.com.ua
Включен режим робота. Проверка существования удалённого файла.
--2009-10-02 10:55:06--  http://trep.com.ua/
Распознаётся trep.com.ua... 91.197.129.144
Устанавливается соединение с trep.com.ua|91.197.129.144|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 
  HTTP/1.0 302 Moved Temporarily
  Server: nginx/0.7.43
  Date: Fri, 02 Oct 2009 06:56:42 GMT
  Content-Type: text/html; charset=iso-8859-1
  Location: http://spywarepc.info/0/go.php?sid=2
  X-Cache: MISS from smb.korda.local
  Connection: keep-alive
Адрес: http://spywarepc.info/0/go.php?sid=2 [переход]
Включен режим робота. Проверка существования удалённого файла.
--2009-10-02 10:55:06--  http://spywarepc.info/0/go.php?sid=2
Распознаётся spywarepc.info... 59.125.231.241
Устанавливается соединение с spywarepc.info|59.125.231.241|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 
  HTTP/1.0 302 Moved Temporarily
  Date: Thu, 01 Oct 2009 15:53:33 GMT
  Server: Apache/2
  X-Powered-By: PHP/5.2.10
  Set-Cookie: schema2=true; expires=Thu, 08-Oct-2009 15:53:33 GMT
  Set-Cookie: visited2=2; expires=Thu, 08-Oct-2009 15:53:33 GMT
  Referer: http://yandex.ua/yandsearch?text=trep.com.ua&lr=143&ncrnd=3994
  Location: http://my-garden-state.com/?pid=156&sid=3f9ecd
  Vary: Accept-Encoding,User-Agent
  Content-Type: text/html
  X-Cache: MISS from smb.korda.local
  Connection: keep-alive
Адрес: http://my-garden-state.com/?pid=156&sid=3f9ecd [переход]
Включен режим робота. Проверка существования удалённого файла.
--2009-10-02 10:55:07--  http://my-garden-state.com/?pid=156&sid=3f9ecd
Распознаётся my-garden-state.com... 89.248.174.58
Устанавливается соединение с my-garden-state.com|89.248.174.58|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 
  HTTP/1.0 404 Not Found
  Date: Fri, 02 Oct 2009 06:55:07 GMT
  Server: Apache
  X-Powered-By: PHP/5.2.8
  Set-Cookie: red=1; expires=Sat, 03-Oct-2009 06:55:07 GMT
  Content-Type: text/html
  X-Cache: MISS from smb.korda.local
  Connection: keep-alive
Удалённый файл не существует -- битая ссылка!

Hubbitus · 14.10.2009, 12:02

Все забываю отписать, уже несколько дней прошло (заодно не знаю читал ли топикстартер мое сообщение, в онлайне в Джаббере не отвечает что-то больше)...

В общем мои предполрожения были верны, и все дело оказалось во взломе аккаунта и крайне странных настройках этого хостера - moyhoster.com - у них в каждый сайт включается ~/.htaccess, хотя DocumentRoot значительно ниже прописан для виртуалхоста и этот файл вообще должен быть не доступен для него. Что кстати так и есть, ни по FTP для дополнительного аккаунта этого сайта, ни из PHP с под ним же этот файл не доступен... То есть, получается такая специальная настройка для хакеров...

С поддержкой хостера общался, но убедить их в чем-либо так и не удалось...

P.S. Кстати, оказалось что я по IP у них был заблокирован еще на серверах

(я с одного из серверов с проблемой разбирался, и через него пробрасывал). В белый список они меня потом добавили, но даже почему это было сказать не могут... Тот еще хостинг в общем

02.10.2009, 00:00	# 1
VaSya_lite Junior Member Регистрация: 15.11.2004 Сообщения: 58	Как найти в файлах вирус spywarepc.info Подскажите пожалуйста, как найти и удалить в файлах движка Joomla ссылку http://spywarepc.info/0/go.php?sid=2 Нахожу свой сайт через поисковик, нажимаю на ссылку, и открывается совсем другая ссылка!!! Вот сайт www.trep.com.ua Вот его находит в поисковике: http://yandex.ua/yandsearch?text=trep.com.ua&lr=143&ncrnd=1418 Потом выдает ошибку: В адресной строке совсем другая ссылка: http://spywarepc.info/0/go.php?sid=2 И текст: Ошибка! Невозможно найти удалённый сервер Вы попытались получить доступ к адресу http://clck.yandex.ru/redir/AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW99KUdgowt9XvqxGyo_rnZJpNjfFDg3rinAOILsx 9Z_6HLRdMFAG871THz9Mu3D0080rN0MSYRWX2T_GRbZliyDb7MKvB41jkz7k4m_7PRCPQ? data=UlNrNmk5WktYejR0eWJFYk1LdmtxdE8xSUdLak1IS0VoSV84YlVpSktVVmY2d3ZOR U9SaXpSMXhfd0IyaUZNT1JUTlozcjJtM08zSjNaRDRsTDA3XzU1MXYwN08wai13&b64e=2 &sign=072c36a2df15245ded49efe7f026dc26&keyno=0, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу. Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение. Так же когда на сайте заполняю некие поля с модуля chronoforms для joomla, нажимаю отправить, в адресной строке снова появляется ссылка на http://spywarepc.info/0/go.php?sid=2 и такой же текст как и выше!!! Что делать??? Пересмотрел все index.php файлы, нигде этой ссылки нету! Как ее найти??? Последний раз редактировалось Borland; 02.10.2009 в 00:13. Причина: деактивация сцылок

02.10.2009, 02:38	# 3
Hubbitus мод IMHO Кодер-200(6,7,8) Регистрация: 29.03.2003 Адрес: Saint-Petersburg, Russia Пол: Male Сообщения: 2 734	Значит что интересное заметил, перенаправление идёт на сервере, не на JavaScript, так что можете просто поискать подозрительные новые вызовы header(...). Если не справится, постучитесь ко мне - помогу. __________________ Я делаю Линукс! Присоединяйтесь к свободным людям! Связаться со мной всегда можно по джабберу: Hubbitus@jabber.ru Pahan-Hubbitus.

14.10.2009, 12:02	# 7
Hubbitus мод IMHO Кодер-200(6,7,8) Регистрация: 29.03.2003 Адрес: Saint-Petersburg, Russia Пол: Male Сообщения: 2 734	Все забываю отписать, уже несколько дней прошло (заодно не знаю читал ли топикстартер мое сообщение, в онлайне в Джаббере не отвечает что-то больше)... В общем мои предполрожения были верны, и все дело оказалось во взломе аккаунта и крайне странных настройках этого хостера - moyhoster.com - у них в каждый сайт включается ~/.htaccess, хотя DocumentRoot значительно ниже прописан для виртуалхоста и этот файл вообще должен быть не доступен для него. Что кстати так и есть, ни по FTP для дополнительного аккаунта этого сайта, ни из PHP с под ним же этот файл не доступен... То есть, получается такая специальная настройка для хакеров... С поддержкой хостера общался, но убедить их в чем-либо так и не удалось... P.S. Кстати, оказалось что я по IP у них был заблокирован еще на серверах (я с одного из серверов с проблемой разбирался, и через него пробрасывал). В белый список они меня потом добавили, но даже почему это было сказать не могут... Тот еще хостинг в общем __________________ Я делаю Линукс! Присоединяйтесь к свободным людям! Связаться со мной всегда можно по джабберу: Hubbitus@jabber.ru Pahan-Hubbitus.