Анализ java скриптов при заражении vBulletin

Allex1 · 14.01.14

В последнее время форум часто заражают, затем посредством java скриптов, на компьютеры пользователей с моего форума подгружаются эксплоиты.
Помогите, пожалуйста други, не дайте умереть в неведении.
1. Научите определять вредноносные java скрипты, пытался это делать с помощью opera, firefox, в т.ч. с firebug, приходится анализировать глазками все java скрипты, это долго и далеко не все я могу распознать.
2. Также очень хотелось бы узнать куда подгружаются эксплоиты и как их анализировать.
:wall:

Mister1 · 14.01.14

Allex, яваскрипты на сервер загружаются? html везде отключен?

Allex1 · 14.01.14

Mister написал(а):
Allex, яваскрипты на сервер загружаются? html везде отключен?

Скрипты загружают подлые люди на сервер. Html не отключал. А зачема его отключать?
Вы имеете ввиду, что дырки надо закрыть?

Mister1 · 14.01.14

Allex написал(а):
Скрипты загружают подлые люди на сервер.

Если у них есть права что бы лить файлы на сервер, то ищите php шеллы.

Allex написал(а):
Html не отключал. А зачема его отключать?

Предположим что у злоумышленника есть доступ к аккаунту модератора, он может создать объявление и вбить туда javascript, таким образом при входе в разделы где висит объявление, вас будет перенаправлять куда то, выскакивать алерты и т.п. Лучше отключите у модераторов возможность создавать объявления.

Льюви · 14.01.14

Allex, можно посмотреть на форум?

Allex1 · 14.01.14

Льюви написал(а):
Allex, можно посмотреть на форум?

http://arbitraz.ru/

Добавлено через 2 минуты

Mister написал(а):
Если у них есть права что бы лить файлы на сервер, то ищите php шеллы.

Пока не получается.

Mister написал(а):
Предположим что у злоумышленника есть доступ к аккаунту модератора, он может создать объявление и вбить туда javascript, таким образом при входе в разделы где висит объявление, вас будет перенаправлять куда то, выскакивать алерты и т.п. Лучше отключите у модераторов возможность создавать объявления.

Отключил давно.

Льюви · 15.01.14

Allex, вбСЕО?

Allex написал(а):
Пока не получается.

когда не было ай-болита, всё делалось вручную... и ничего... только долго

1. список продуктов можете сказать?
2. обслуживание - показать информацию о PHP - register_globals=ON или OFF?
3. обслуживание - диагностика - подозрительные версии файлов - проверить всё, про что диагностика скажет "Файл не является частью форума" или "Файл не содержит ожидаемого содержимого" (и ещё кое-что сейчас кину в ЛС)
4. потом проверить папки, которые не проверяет штатная диагностики - тут уж совсем только глазами...

Добавлено через 4 минуты
а, да... продукты и модули - управление модулями - вверху, на "Продукт : vBulletin" что-то есть?

Mister1 · 15.01.14

Льюви написал(а):
, да... продукты и модули - управление модулями - вверху, на "Продукт : vBulletin" что-то есть?

Хотя какирский модуль могут в любой продукт впихнуть. По личному опыту знаю, уже существующие модули тоже стоит проверить. И если уж найдете шелл, не забудьте поменять пароль к базе данных, и к аккаунту тоже.

Allex1 · 15.01.14

Льюви написал(а):
Allex, вбСЕО?

когда не было ай-болита, всё делалось вручную... и ничего... только долго

1. список продуктов можете сказать?

Вот

2. обслуживание - показать информацию о PHP -

Льюви написал(а):
register_globals=ON или OFF?

register_globals Off Off

Льюви написал(а):
3. обслуживание - диагностика - подозрительные версии файлов - проверить всё, про что диагностика скажет "Файл не является частью форума" или "Файл не содержит ожидаемого содержимого" (и ещё кое-что сейчас кину в ЛС)

4. потом проверить папки, которые не проверяет штатная диагностики - тут уж совсем только глазами...

Зрение тренирую вовсю. Последние вирусы глазками и вычислил. Инспектор файлов отобразил новые файлы как старые и неверно отобразил имена (видимо изменили дату создания файлов и их имена).
Вычислил их по работе js, увидел новые, не знакомые в firebug.
Сравнил с бэкапом, новые удалил, модифицированные переписал.
Total commander помогает находить вызовы скриптов в модифицированных файлах.
Php и swf просто глазками смотрю.

Льюви написал(а):
Добавлено через 4 минуты
а, да... продукты и модули - управление модулями - вверху, на "Продукт : vBulletin" что-то есть?

Там нет: "продукт vBulletin"

Wmboard · 15.01.14

Allex написал(а):
Html не отключал. А зачема его отключать?

HTML должен быть отключен в правах всех групп пользователей. В обязательном порядке.

Allex написал(а):
vBSEO 3.6.0 vBulletin SEO

Инструкции по защите форума с вбСео выполнили? Тема есть в уязвимостях? Если нет, вот вам и источник проблем.

Allex1 · 15.01.14

Veter написал(а):
HTML должен быть отключен в правах всех групп пользователей. В обязательном порядке.

Уточните, плиз, где это включается.

Veter написал(а):
Инструкции по защите форума с вбСео выполнили? Тема есть в уязвимостях? Если нет, вот вам и источник проблем.

Можно ссылочку?

Wmboard · 15.01.14

Allex, вы же вроде старый участник. Не пробовали из этой темы перейти в раздел хотя бы. Она закреплена https://lumtu.com/uyazvimosti-vbulletin/2659-kak-zaschitit-forum-na-vbulletin.html

Allex1 · 16.01.14

Спасибо, други, что не бросили в беде.
Вопрос был несколько другим, однако тема перешла в вопросы общей безопасности, из чего заключаю, что решаете вы проблемы как и я глазками.
И так общая безопасность.
В последнее время стали почти ежедневно ломать сайты. Раньше это было редко.
За изменениями файлов внимательно слежу, только это и спасает.
На мои просьбы предоставить сведения откуда дровишки, хостер вежливо отвечает: Мы не предоставляем услуг по поиску уязвимостей в сайтах пользователей. По данному вопросу рекомендуем обратиться в специализированные компании либо к разработчикам. В логах хостера необходимая информация отсутствует.
Предположим у хостера - jino.ru нет дыр (хотя многие жалуются). Тогда сайты модифицируют через шелы, которые я пока найти не могу.
Вопросы:
1. Кто поможет отыскать шелы (не бесплатно), сайты на vBulletin и Wordpress.
2. Порекомендуйте хостера, который сможет давать нормальные логи по файлам, кто, когда и что менял, в идеале с хорошей антивирусной и антиспамерской защитой.
3. Для теста планирую развернуть сайт, что предложите?
В идеале, готовая виртуальная машина с установленным образом под w7.
Пробовал Denver - глючноват.
Linux уважаю. Есть успешный опыт развертывания сервера на Debian, в связке apach, php 5.5, mysql, с привязкой ndis.

Льюви · 16.01.14

Allex написал(а):
register_globals Off Off

это хорошо, это правильно

Mister написал(а):
Хотя какирский модуль могут в любой продукт впихнуть.

могут, да
но согласись: это редкость
особенно если модуль льют через уязвимость... у них же "инструкция", по ней всё и делается
а чтобы поцепить модуль к продукту, надо отойти от инструкции

Allex написал(а):
из чего заключаю, что решаете вы проблемы как и я глазками

Вы не поверите... так и есть, в основном - глазами
я бы показала какой-нить отчёт ай-болита, если бы там не было "конфиденциальной информации"
скажем так: количество "ложных сработок" настолько велико, что по получении отчёта начинается самое интересное: фильтруем базар, где таки шелл или вшитый код, а где - нормальный файл
Правда, у меня ещё ни разу не было (тьфу-тьфу через плечо), чтобы ай-болит пропустил "плохой" файл, за это ему спасибо

Wmboard · 17.01.14

Allex написал(а):
Кто поможет отыскать шелы (не бесплатно), сайты на vBulletin и Wordpress

А что и вордпресс ломают? Значит точно хостер. Съезжайте. Пишите отзывы на форумах.

Анализ java скриптов при заражении vBulletin

Allex1

Mister1

Allex1

Mister1

Льюви

Allex1

Льюви

Mister1

Allex1

Wmboard

Allex1

Wmboard

Allex1

Льюви

Wmboard