Хитрый вирус, проверьте свои сайты

Пишу в вопросы, т.к. не хватает рейтинга.

Уже писал насчёт этого вируса.

Как проверить. Открываете исходный код страницы сайта в браузере. Ищите там вызов любого файла js, желательно первую ссылку в коде для чистоты эксперимента. Открываете его, и обновляете страницу несколько раз с паузами. Можно в разное время попробовать. В какой-то момент содержимое скрипта подменится на такое:

!function(){function t(){try{return window.self!==window.top}catch(t){return!0}}function e(){var t=document.getElementsByTagName(«head»)[0],e=document.createElement(«script»);e.src=«p.tlrtb.com/ad/base.js?»,e.type=«text/javascript»,t.appendChild(e)}function n(t){o.parentNode.insertBefore(t,o.nextSibling)}function r(t){document.write(t.outerHTML)}function c(){for(var t=document.createElement(«script»),e=Array.prototype.slice.call(o.attributes),n=0;n<e.length;n++)t.setAttribute(e[n].nodeName,e[n].nodeValue);return t.src=«мойсайт.ru/assets/site/libs/jquery-1.11.1.min.js?»,t}var o=document.currentScript||document.scripts[document.scripts.length-1],i=c();o.async||o.defer?n(i):r(i),window.__qsrad||t()||(window.__qsrad=1,e())}();

Как я и писал ранее, найти вирус мне не удалось. Пробовал айболит, поиск рекурсивный, и другие манипуляции.

Этот вирус может в наглую отдавать редирект на смс-подписку через раз, а может вообще никак не проявлять себя, но код при этом подменяется периодически. Я так понимаю это сделано специально, чтобы не палиться. Особенно когда на сайте трафика нет. И мне кажется, если трафик пойдёт, то тут то он себя и проявит, чтобы срубить бабла на подписках. Кстати, часто сижу с 3G-4G который раздаёт телефон. И уже не раз с меня снимали деньги на подписках. Это такой легальный способ отъёма денег со стороны сотовых операторов. У мегафона, например, их штук 8 видов. А запрет на подписку действует только 3 месяца :) И по телефону поддержка не сообщает обо всех видах подписок. Отключает один, но попадаешься на другом. Всё это придумано, чтобы по-тихому списывать деньги с абонентов. И в конечном счёте таким образом они покрывают мошенников.

Предположу, что создатель вируса хорошо знаком с системой MODX, что сумел так ловко его спрятать. Возможно, он даже читает эти строки. Приветствую тебя, хитрый засранец.

Уже в который раз сталкиваюсь с этим вирусом, поэтому, масштабы заражения, как мне кажется, довольно обширные, просто многие не в курсе, и думают, что у них всё в порядке. Проверьте свои сайты.
Николай
18 сентября 2018, 14:47
579
-3

Комментарии: 17

Николай
18 сентября 2018, 15:00
0
Скину ссылочку на сайт (не мой), где вирус ведёт себя агрессивно — ivpstore_ru. Скорее всего зайдёте только со 2-го раза :) Вот там можно попробовать описанный способ проверки.
    Евгений Борисов
    18 сентября 2018, 16:17
    +2
    Чтобы внедрить такое на сайт не обязательно быть знакомым с системой на 100%. Встречаются вариации, когда просто где-то в index.php/config.inc.php зашивают серверную часть, которая рандомно себя проявляет + параллельно проверяя USER_AGENTS или даже IP посетителя на предмет вхождения в подсеть сотовых операторов.

    Так же никто не исключает возможность взлома вашего сервера через Exim или какие-то другие службы с устаревшим софтом, а не через CMS. При этом нельзя исключать вариант того, что был получен root доступ к серверу, где размещен ваш сайт (довольно часто это бывает, когда сайт обновляют, а про серверное ПО забывают)

    В общем давно бы уже заказали аудит у профессионалов, раз сами не можете справиться с проблемой.
      Николай
      18 сентября 2018, 16:49
      0
      зашивают серверную часть, которая рандомно себя проявляет + параллельно проверяя USER_AGENTS или даже IP посетителя на предмет вхождения в подсеть сотовых операторов.
      То то я сейчас написал парсер js фалов с разных сайтов, чтобы мониторить ситуацию, а он ничего не выдаёт, скорее всего потому, что парсер на сервере работает, оттуда запросы идут, а я то сижу на 4G. Т.е. описанный мной способ скорее всего не работает для тех у кого проводной интернет, или Wifi. Т.е. всё ещё хитрее, чем я думал. Большинство очень долго не заметит ничего…

      Так же никто не исключает возможность взлома вашего сервера через Exim или какие-то другие службы с устаревшим софтом, а не через CMS.
      Так в том то и дело, что сайты разных владельцев на разных серверах, и даже иностранный хостинг один есть.

      В общем давно бы уже заказали аудит у профессионалов, раз сами не можете справиться с проблемой.
      Буду иметь ввиду) Лично мне пока не нужно просто… Один сайт только мой, и то собирался его переделывать. А объяснить клиентам необходимость этого будет сложно. Либо скупердяи, либо могут подумать, что их пытаются развести на деньги, либо за сайты отвечают менеджеры какие-нибудь, которым нафиг не надо ничего, работает вроде и ладно. Да и вообще, инициатива часто наказуема))
        Himurovich
        18 сентября 2018, 17:11
        0
        А объяснить клиентам необходимость этого будет сложно. Либо скупердяи, либо могут подумать, что их пытаются развести на деньги, либо за сайты отвечают менеджеры какие-нибудь, которым нафиг не надо ничего, работает вроде и ладно. Да и вообще, инициатива часто наказуема))
        А при должном подходе еще и оплачиваема. Дайте ссылки на посты здесь на modx.pro, forums.modx.com, рассылки от modxcloud, сообщения на главной в самом MODX, тем самым укажите, что это не блажь ваша, а проблема MODX мира с 18 июля сего года, да и вообще не держать ПО в актуальном состоянии это же моветон какой-то.
          Николай
          18 сентября 2018, 17:34
          0
          Да, вы всё верно говорите. Но, в цепочке хозяин сайта — менеджер — подрядчик — программист (это может быть не вся цепочка), заработать лично мне если удастся что-то, то сущие копейки, и то не факт. При этом я буду заниматься тем на что не подписывался изначально, и что мне не надо в принципе… И это уже другой вопрос)
        Евгений Борисов
        18 сентября 2018, 17:36
        +1
        А объяснить клиентам необходимость этого будет сложно
        Если ваши клиенты вам платят за поддержку, то это ваша головная боль. Если клиенты в свободном плаванье, то рекомендация обновиться и подчиститься по причине массовых взломов воспринимается как забота о клиенте и ответственный подход к работе.

        Да и вообще, инициатива часто наказуема))
        Если вы сидите на ЗП, то с таким подходом вы легко заменяемый винтик в бизнес-процессе вашего клиента. Но именно такие кадры чаще всего стонут, что их не ценят и мало платят. Но если вы работаете во фрилансе/веб-студии/и т.п., то общение с клиентами нужно поддерживать не только во время сдачи-приемки ТЗ.

        Вот кейс из моей практики. Когда на хабре была опубликована первая статья с предупреждением, что Google Chrome будет помечать http сайты как не безопасные, я всем своим клиентам (даже те, которые не находятся в поддержке) скинул ссылку на этот поиск. Мол подумайте над тем, чтобы совершить переход на https. Вы не поверите, но в течении всей следующей недели эта задача стала приоритетной у всех клиентов. Кто-то меня попросил заняться этим вопросом, кто-то привлек своих программистов, а кто-то даже заказал выпуск платных сертификатов.

        А знаете почему? Потому, что клиент должен заниматься развитием своего бизнеса, а не вниканием в технические нюансы обслуживания сайтов и слежением за тенденциями в вебе. Когда клиент начинает вас учить делать сайты или считает, что вы его разводите на бабки, то тут 2 варианта:
        — Либо вы не достаточно компетентны, чтобы адекватно аргументировать необходимость того или иного действия
        — Либо с бизнесом у клиента не все в порядке

        Без обид, но в вашем случае я склонен думать, что причина не в компетентности. Банально, у вас стоит ISPManager, где можно без лишних усилий подключить Let's Encrypt. Но до сих пор это не сделано. Чего уж там говорить про обновление и вирусы.
          Николай
          18 сентября 2018, 18:10
          0
          Если ваши клиенты вам платят за поддержку, то это ваша головная боль. Если клиенты в свободном плаванье, то рекомендация обновиться и подчиститься по причине массовых взломов воспринимается как забота о клиенте и ответственный подход к работе.
          Да нет никакой поддержки. Я сейчас берусь на фрилансе за всякую чепуху. Обычно от посредников. Указанный сайт не мой, просто как пример.

          — Либо вы не достаточно компетентны, чтобы адекватно аргументировать необходимость того или иного действия
          — Либо с бизнесом у клиента не все в порядке
          Либо мне и моим заказчикам (посредникам) это не нужно)) Ну или хозяин раз в месяц в офисе появляется. Да много разных вариантов может быть.

          Без обид, но в вашем случае я склонен думать, что причина не в компетентности. Банально, у вас стоит ISPManager, где можно без лишних усилий подключить Let's Encrypt. Но до сих пор это не сделано. Чего уж там говорить про обновление и вирусы.
          Может мне тогда и объяснять каждому втором про необходимость https?) Настроил им менюшку, а потом пытаешься впарить https) Тот сайт не мой ещё раз повторюсь. Кстати, есть один пример с теми же симптомами, но с https.

          Я по части собрать сайт, а вот с уязвимостями туго у меня, и не знал даже к кому обратиться. Теперь знаю, поэтому если что свяжусь с вами. Уже есть на примете один человек, ему всё разжевал.

          P.S. Я не считаю себя профессионалом, но судя по сайтам, которые мне попадаются в работу, такое ощущение, что их делали криворукие, которые вчера про MODX узнали.
    Евгений Борисов
    18 сентября 2018, 16:34
    +1
    Беглый осмотр. Сразу же выявил XSS в поиске. В общем удачи в борьбе с хитрым вирусом.
Николай
18 сентября 2018, 17:44
0
Почему-то заметку минусуют. Может быть потому, что перешли на этот сайт и с них сняли деньги?

Скину ссылочку на сайт (не мой), где вирус ведёт себя агрессивно — ivpstore_ru. Скорее всего зайдёте только со 2-го раза :) Вот там можно попробовать описанный способ проверки.
Если что я извиняюсь конечно, но про подписки я изначально писал. А предупредить в сообщении не догадался просто… В общем, скорее всего способ проверки будет работать только для тех кто в интернет с 3G выходит. А остальные будут спать спокойно. Я только что проверил этот сайт с проводного интернета, редиректа нет.
    Евгений Борисов
    18 сентября 2018, 19:23
    0
    Лично я минус поставил, т.к. вы слишком преувеличили значимость проблемы. Лечение сайта это не только проверка айболитом и обновление сайта до последней версии.
      Николай
      18 сентября 2018, 19:31
      0
      Ну так если мне уже который сайт попадается, причём на разных серверах, то логично предположить, что таких сайтов довольно много в массе своей. И их владельцы не в курсе. Вот я и хотел прояснить масштабы, и возможно сообща найти решение, но пока все молчат) А насчёт айболитов это лишь то, что в первую очередь в голову пришло. Я думаю здесь небольшой процент людей, кто сможет самостоятельно выявить и исправить проблему. Стало быть, если таких людей много, то для них это довольно значимая проблема))
        Евгений Борисов
        18 сентября 2018, 19:39
        0
        Вот ТОП-10 IP с которых долбились на разные сайты в попытках взломать через последную уязвимость. И дальше что? Это не значит, что за всеми этими IP стоит один и тот же человек.
        94.23.196.14
        192.99.35.121
        192.99.35.135
        212.129.61.154
        37.187.132.5
        46.118.112.85
        123.30.235.19
        178.137.88.27
        51.15.146.39
        77.72.83.79
        А есть еще куча однотипных шеллов. Но это тоже не значит, что управляет этим зоопарком один человек. По большей части многие шеллы качаются из паблика и потому просто друг на друга похожи…
          Николай
          18 сентября 2018, 19:47
          0
          Я просто предположение высказал, что якобы это один человек, потому-что не разбираюсь в вопросе. Признаю, уязвимость может быть из паблика. Но цель у меня была проверить как у других, чтобы все спохватились, может оказаться, что реально каждый второй сайт заражён и никто про это не знает. А чем больше народу подключиться, тем больше вероятность, что проблема решится.
Николай
19 сентября 2018, 23:24
0
Захотел я было качнуть скрипт jquery с официального сайта, открываю, а там знакомая картина:



И так во всех браузерах. А я то как раз 3 дня назад систему переставлял, компьютер чистый, NOD32 лицензия… Полез в интернет, вот что пишут:



У меня то как раз TELE2. Вот такой вот «хитрый вирус»…
Ivan
20 сентября 2018, 22:07
0
Видимо все кто сидит на tele2 в Москве или ближайших регионов в подарок получили такую услугу при просмотре сайтов http… встраивался скрипт на страничке в head p.tlrtb.com/ad/base.js. Позвонил в tele2 отказался от показа баннеров и рекламы и через 5 мин скрипт стал грузиться нормально…
vc.ru/marketing/36042-tele2-polzovateli-mogut-otkazatsya-ot-pokazov-reklamy-operatora-poverh-storonnih-saytov
    Николай
    20 сентября 2018, 23:42
    +2
    В компании vc.ru подтвердили, что тестируют новую рекламную технологию в нескольких регионах. В Tele2 уточнили, что интернет-трафик при показах рекламы не оплачивается абонентом.
    Они такие предумотрительные, что сэкономят мне пару лишних мегабайт, а за это я буду любоваться какой-нибудь фигнёй поверх сайтов)) Оборзели в край бизнесмены недоделанные. Платишь за трафик, но и этого мало. Из принципа придётся отказаться от этого чернушного оператора, хотя связь устраивает. Может кому пригодится заметка, когда обнаружит на своих сайтах «хитрый вирус»)) Блин, я столько времени на него потерял, чтобы разобраться… Кстати, так и не понял за что заминусовали.