Не нравятся результаты поиска? Попробуйте другой поиск!

Вирус 404.php


     14.06.2013    Все вопросы » Общие вопросы по PHP    4035

вопрос
Делал полный backup сайта через FTP
В момент копирования антивирус Касперского обнаружил вирус расположенный в:
/engine/editor/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/ сам файл назывался 404.php весит около 64кб.

Антивирус сразу удалил вирус с компьютера даже не стал закидывать его на карантин.
С сервера файл 404.php был также сразу удален, поэтому сказать что за код был внутри не смогу.

Проверил предыдущие backup папки данный файл отсутствует.
Во всей папке /editor/ и ее под папках отсутствует файлы заглушки .htaccess правильно ли это?
Какие права лучше указать на папку /editor/?
И вообще как быть?

Ответа пока нет


10 комментариев

dj-avtosh
PHP-developer

dj-avtosh - 18 июня 2013 19:14 -

Для начала не сохранять пароли от фтп, особенно в FileZilla.

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Gopr
Юзер

Gopr - 18 июня 2013 23:12 -

Да у меня как раз FileZilla :/

Yamakasi
Юзер

Yamakasi - 19 июня 2013 00:35 -

Gopr,
я ранее писал мануал по защите и поиску вирусов на старых версиях dle, вам залили шел и всунули в код казюльки ))) проверьте код.

вот ссылочка на скрипке: ЦЫК

Gopr
Юзер

Gopr - 19 июня 2013 01:44 -

Ваш мануал по защите и поиску вирусов отсутствует если пройти по указанной ссылке.
Он у вас остался еще где то, кроме этого файлового обменника?
Чуть ниже в комментариях указан оф адрес с патчем для 9.6, но у меня 9,7.
Все же проверил патч для 9.6 в итоге у меня не было пропиано 2го и 3го пункта!
Что касается про "Маленький фикс в безопасности DLE" так это учтено уже давно.

Yamakasi
Юзер

Yamakasi - 24 июня 2013 00:39 -

Gopr,
читаем тут тогда!
ЦЫКА

Gopr
Юзер

Gopr - 24 июня 2013 01:53 -

Спасибо это я уже пробовал, было проверено 2000+ файлов в том числе lng, js и даже css короче весь бекап.
Ни чего похожего не найдено из того, что сказано в данной инструкции. Проверял по HTTP_USER_AGENT, base64_decode, и адресам указанных в вредоносном коде. Да и к тому же у меня отключена мобильная версия сайта. Когда был обнаружен вирус у меня не стояли патчи: раз и два. В той ссылке что вы дали расписан способ закрытия дыры. На всякий случай я решил проверить и его. Делал поиск по @rename нашлось два скрипта highlight.code.js, tiny_mce.js и файл Logger.php. Проверил их даты через FTP, они соответствуют дате установки движка, так что с ними все норм. В предыдущих версиях бекапов выполняя поиск по @rename нашлись файлы описываемые в инструкции по закрытию дыры. Так что патчи с оф сайта dle сделали свое дело. Но так и не ясно как был залит файл 404.php

Gopr
Юзер

Gopr - 19 июля 2013 16:01 -

Сегодня был еще раз обнаружен файл 404.php в том же месте. На этот раз файл удалось поймать и закинуть в архив, так как антивирус Касперского люто ругается на него. Распознается как backdoor.php.webshell.fe весит 67.630 байт.
Для тех кто разбирается, залил сюда эту дрянь. В архиве будет переименованный файл 404.php на 1404.php, пароль от архива: 1

dj-avtosh
PHP-developer

dj-avtosh - 19 июля 2013 21:09 -

Бэкдур) куки воруют ;)

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Gopr
Юзер

Gopr - 20 июля 2013 01:32 -

Кому то нужен доступ (^_^) ха ха...
Что то на самом деле не смешно! Второй раз сюда заливают /engine/editor/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/

dj-avtosh
PHP-developer

dj-avtosh - 20 июля 2013 02:31 -

Никто не заливает. Не сохраняй пароль от фтп в клиенте, тогда вирус не попадёт таким макаром. Все логично и просто.

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх