Анализ java скриптов при заражении vBulletin

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
В последнее время форум часто заражают, затем посредством java скриптов, на компьютеры пользователей с моего форума подгружаются эксплоиты.
Помогите, пожалуйста други, не дайте умереть в неведении.
1. Научите определять вредноносные java скрипты, пытался это делать с помощью opera, firefox, в т.ч. с firebug, приходится анализировать глазками все java скрипты, это долго и далеко не все я могу распознать.
2. Также очень хотелось бы узнать куда подгружаются эксплоиты и как их анализировать.
:wall:
 

Mister1

Пользователь
Регистрация
02.03.13
Сообщения
234
Реакции
242
Баллы
28
Адрес
localhost
Allex, яваскрипты на сервер загружаются? html везде отключен?
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Allex, яваскрипты на сервер загружаются? html везде отключен?

Скрипты загружают подлые люди на сервер. Html не отключал. А зачема его отключать?
Вы имеете ввиду, что дырки надо закрыть?
 
Последнее редактирование:

Mister1

Пользователь
Регистрация
02.03.13
Сообщения
234
Реакции
242
Баллы
28
Адрес
localhost
Скрипты загружают подлые люди на сервер.

Если у них есть права что бы лить файлы на сервер, то ищите php шеллы.

Html не отключал. А зачема его отключать?

Предположим что у злоумышленника есть доступ к аккаунту модератора, он может создать объявление и вбить туда javascript, таким образом при входе в разделы где висит объявление, вас будет перенаправлять куда то, выскакивать алерты и т.п. Лучше отключите у модераторов возможность создавать объявления.
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Allex, можно посмотреть на форум?
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Allex, можно посмотреть на форум?

http://arbitraz.ru/

Добавлено через 2 минуты
Если у них есть права что бы лить файлы на сервер, то ищите php шеллы.

Пока не получается.


Предположим что у злоумышленника есть доступ к аккаунту модератора, он может создать объявление и вбить туда javascript, таким образом при входе в разделы где висит объявление, вас будет перенаправлять куда то, выскакивать алерты и т.п. Лучше отключите у модераторов возможность создавать объявления.

Отключил давно.
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Allex, вбСЕО?

Пока не получается.
когда не было ай-болита, всё делалось вручную... и ничего... только долго

1. список продуктов можете сказать?
2. обслуживание - показать информацию о PHP - register_globals=ON или OFF?
3. обслуживание - диагностика - подозрительные версии файлов - проверить всё, про что диагностика скажет "Файл не является частью форума" или "Файл не содержит ожидаемого содержимого" (и ещё кое-что сейчас кину в ЛС)
4. потом проверить папки, которые не проверяет штатная диагностики - тут уж совсем только глазами...

Добавлено через 4 минуты
а, да... продукты и модули - управление модулями - вверху, на "Продукт : vBulletin" что-то есть?
 

Mister1

Пользователь
Регистрация
02.03.13
Сообщения
234
Реакции
242
Баллы
28
Адрес
localhost
, да... продукты и модули - управление модулями - вверху, на "Продукт : vBulletin" что-то есть?

Хотя какирский модуль могут в любой продукт впихнуть. По личному опыту знаю, уже существующие модули тоже стоит проверить. И если уж найдете шелл, не забудьте поменять пароль к базе данных, и к аккаунту тоже.
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Allex, вбСЕО?

когда не было ай-болита, всё делалось вручную... и ничего... только долго

1. список продуктов можете сказать?

Вот
vBulletin 3.8.7
AWC защита от спамботов 1.2 Ложная форма поля для ботов.[перевод:Martell]

Cyb - Sub-Forum Manager 2.4 Cyb - Менеджер подразделов главной страницы (Перевод: Romchik® - v.1.01)

GeekyDesigns Default Avatar 2.0.3 A default avatar for posts, profiles, etc.

vB Loginza 1.3 Вход на сайт с использованием сервиса Loginza.ru

vB.Sponsors 2.0.6 Cпонсорство для разделов и категорий форума (Перевод: Romchik® - v.1.01)

vBSEO 3.6.0 vBulletin SEO

vBSEO :: Sitemap Generator 3.0 Generate a Google & Bing Sitemap for your Forums

Система Благодарностей за 7.7 Перевод осуществил "FintMax" Версия 1.0

Перевод осуществил "FintMax" и " 5.1.1 DownloadsII 5.1.1 Rus

Бан лист 1.0.5 Выводит список забаненых пользователей. Перевод Vector (www.pcvector.ru)]

Баннерная система 2.1.1 Неограниченная реклама - в любом месте вашего форума

Инспектор файлов 1.0 Сохраняет в БД информацию о файлах на сервере для последующей проверки на их изменение
2. обслуживание - показать информацию о PHP -

register_globals=ON или OFF?

register_globals Off Off

3. обслуживание - диагностика - подозрительные версии файлов - проверить всё, про что диагностика скажет "Файл не является частью форума" или "Файл не содержит ожидаемого содержимого" (и ещё кое-что сейчас кину в ЛС)

4. потом проверить папки, которые не проверяет штатная диагностики - тут уж совсем только глазами...

Зрение тренирую вовсю. Последние вирусы глазками и вычислил. Инспектор файлов отобразил новые файлы как старые и неверно отобразил имена (видимо изменили дату создания файлов и их имена).
Вычислил их по работе js, увидел новые, не знакомые в firebug.
Сравнил с бэкапом, новые удалил, модифицированные переписал.
Total commander помогает находить вызовы скриптов в модифицированных файлах.
Php и swf просто глазками смотрю.


Добавлено через 4 минуты
а, да... продукты и модули - управление модулями - вверху, на "Продукт : vBulletin" что-то есть?



Там нет: "продукт vBulletin"
Продукт : AWC защита от спамботов
Продукт : Cyb - Sub-Forum Manager
Продукт : GeekyDesigns Default Avatar
Продукт : vB Loginza
Продукт : vB.Sponsors
Продукт : vBSEO
Продукт : Система Благодарностей за
Продукт : Перевод осуществил "FintMax" и "
Продукт : Бан лист
Продукт : Баннерная система
Продукт : Инспектор файлов
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Html не отключал. А зачема его отключать?

HTML должен быть отключен в правах всех групп пользователей. В обязательном порядке.


Инструкции по защите форума с вбСео выполнили? Тема есть в уязвимостях? Если нет, вот вам и источник проблем.
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
HTML должен быть отключен в правах всех групп пользователей. В обязательном порядке.

Уточните, плиз, где это включается.


Инструкции по защите форума с вбСео выполнили? Тема есть в уязвимостях? Если нет, вот вам и источник проблем.
Можно ссылочку?
 

Allex1

Пользователь
Регистрация
21.04.12
Сообщения
158
Реакции
34
Баллы
13
Спасибо, други, что не бросили в беде.
Вопрос был несколько другим, однако тема перешла в вопросы общей безопасности, из чего заключаю, что решаете вы проблемы как и я глазками.
И так общая безопасность.
В последнее время стали почти ежедневно ломать сайты. Раньше это было редко.
За изменениями файлов внимательно слежу, только это и спасает.
На мои просьбы предоставить сведения откуда дровишки, хостер вежливо отвечает: Мы не предоставляем услуг по поиску уязвимостей в сайтах пользователей. По данному вопросу рекомендуем обратиться в специализированные компании либо к разработчикам. В логах хостера необходимая информация отсутствует.
Предположим у хостера - jino.ru нет дыр (хотя многие жалуются). Тогда сайты модифицируют через шелы, которые я пока найти не могу.
Вопросы:
1. Кто поможет отыскать шелы (не бесплатно), сайты на vBulletin и Wordpress.
2. Порекомендуйте хостера, который сможет давать нормальные логи по файлам, кто, когда и что менял, в идеале с хорошей антивирусной и антиспамерской защитой.
3. Для теста планирую развернуть сайт, что предложите?
В идеале, готовая виртуальная машина с установленным образом под w7.
Пробовал Denver - глючноват.
Linux уважаю. Есть успешный опыт развертывания сервера на Debian, в связке apach, php 5.5, mysql, с привязкой ndis.
 
Последнее редактирование:

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
это хорошо, это правильно

Хотя какирский модуль могут в любой продукт впихнуть.
могут, да
но согласись: это редкость
особенно если модуль льют через уязвимость... у них же "инструкция", по ней всё и делается
а чтобы поцепить модуль к продукту, надо отойти от инструкции

из чего заключаю, что решаете вы проблемы как и я глазками
Вы не поверите... так и есть, в основном - глазами
я бы показала какой-нить отчёт ай-болита, если бы там не было "конфиденциальной информации"
скажем так: количество "ложных сработок" настолько велико, что по получении отчёта начинается самое интересное: фильтруем базар, где таки шелл или вшитый код, а где - нормальный файл
Правда, у меня ещё ни разу не было (тьфу-тьфу через плечо), чтобы ай-болит пропустил "плохой" файл, за это ему спасибо
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard

Статистика форума

Темы
200.635
Сообщения
380.523
Пользователи
327.876
Новый пользователь
pm1199
Сверху Снизу