Обнаружен вирус на некоторых сайтах instantcms!

 
Посетитель
small user social cms
Медаль
Сообщений: 886
на сайте
Уже насчитал больше 5 зараженных сайтов

Вирус делает перенаправление на левый сайт людей пришедших к вам из поисковиков


История с первым обнаружением и чем опасен вирус для самого сайта
тут - http://www.instantcms.ru/forum/thread28582-1.html


Подробности работы вируса:

К аватарке юзера прицеплен код
Спойлер

Который добавляет в тело подгрузку еще одного скрипта с адреса coml.be
Спойлер

Скрипт coml.be проверяет/ставит свои куки, смотрит с поисковика ли и делает редирект на левый сайт
Спойлер


Проверьте свои сайты!

Как проверить?

Зайдите на свой сайт и посмотрите куки
если есть r5877 значит вирус есть

Как быстро удалить?

Посмотрите юзеров зарегистрировавшихся за последние 2-3 недели
ищите аватарку женщины на черном фоне, и удалите юзера.
Спойлер
Fuze:
Полечиться можно вот таким запросом, выполнив его в phpmyadmin
Код SQL:
  1.  
  2. UPDATE `cms_users` SET `avatar`= NULL WHERE `avatar` LIKE '%onload%'



Как обезопасить себя?

Читать внимательно пост Fuze - http://www.instantcms.ru/forum/thread28589-1.html#276383
Редактировалось: 8 раз (Последний: 6 декабря 2017 в 17:48)
Украинский хостер с супер ценами и отличной техподдержкой
Посетитель
small user social cms
МедальАвторитет форумаПочетный донор проекта
Сообщений: 2410
Sonat:
Мне пока не известно через уязвимость в каком компоненте добавлен код,
А взлом не рассматривали?
Отличный хостинг для InstantCMS - Беслпатные сертификаты! Лучшая поддержка! Размещение: ЕС
Посетитель
no avatar
Сообщений: 51
а то я смотрю, на одном из моих проектов стали редиректы сыпаться...
проверю сейчас, спасибо
Посетитель
small user social cms
МедальАвторитет форумаПочетный донор проекта
Сообщений: 2410
Какой хостинг сразу пишите, может это у кого до уязвимость
Отличный хостинг для InstantCMS - Беслпатные сертификаты! Лучшая поддержка! Размещение: ЕС
Посетитель
small user social cms
Медаль
Сообщений: 886
на сайте
Jestik:
А взлом не рассматривали?
Не понял вопрос. scratch Ну, да, это взлом, через уязвимость какого-то компонента или движка (что маловероятно).


Jestik:
Какой хостинг сразу пишите, может это у кого до уязвимость
Разные сайты на разных хостингах - объединяет их то что они на instantcms
Редактировалось: 1 раз (Последний: 6 декабря 2017 в 15:08)
Украинский хостер с супер ценами и отличной техподдержкой
Посетитель
small user social cms
Сообщений: 72
Sonat:

В Вашем сообщении #1 отсутствует верхняя строка и есть только завершающий тег ссылки.
В сообщении #14 Сегодня в 14:27 здесь правильно, там два тега.
Редактировалось: 1 раз (Последний: 6 декабря 2017 в 15:34)
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 3972
Есть xss, да.
1. Отсюда возьмите файлы image.php и images.php и замените их у себя.
2. В файле /system/libs/html.helper.php замените аналогичные строки вот так и вот так

Основной дистрибутив версии 2.8.2 и пакет обновления обновлены.

Для любых версий ниже 2.8.2 можно выполнить только второй пункт. Зловредный код пройдёт, но не будет работать.

Полечиться можно вот таким запросом, выполнив его в phpmyadmin
Код SQL:
  1. UPDATE `cms_users` SET `avatar`= NULL WHERE `avatar` LIKE '%onload%'
где cms_users - ваша таблица юзеров, avatar - системное имя поля с аватаром. Аналогично можно проделать с другими таблицами, где есть поля изображений и юзеры могут добавлять записи.

Код SQL:
  1. UPDATE `НАЗВАНИЕ_ТАБЛИЦЫ` SET `СИСТЕМНОЕ_ИМЯ_ПОЛЯ_ИЗОБРАЖЕНИЯ`= NULL WHERE `СИСТЕМНОЕ_ИМЯ_ПОЛЯ_ИЗОБРАЖЕНИЯ` LIKE '%onload%'
P.S. ну и конечно это не вирус, обычная xss
Редактировалось: 3 раз (Последний: 6 декабря 2017 в 15:58)
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Медаль
Сообщений: 886
на сайте
Fuze, Спасибо! v

Рекомендуется ли всем обновиться?
Украинский хостер с супер ценами и отличной техподдержкой
Посетитель
small user social cms
МедальАвторитет форумаПочетный донор проекта
Сообщений: 2410
Кстати, как я почта была у этого аккаунта с женщиной? Везде разная?
Отличный хостинг для InstantCMS - Беслпатные сертификаты! Лучшая поддержка! Размещение: ЕС
Посетитель
small user social cms
Медаль
Сообщений: 886
на сайте
Jestik, Не знаю, почта же крыта у всех, сайты не мои, доступа в админку нет.
Украинский хостер с супер ценами и отличной техподдержкой
Посетитель
small user social cms
Сообщений: 8
Jestik:

Кстати, как я почта была у этого аккаунта с женщиной? Везде разная?
На моем selena.kuchukova@ mail.ru

Автору топика и Fuze премного благодарностей за решение проблемы! Пошел латать дырки))
Редактировалось: 1 раз (Последний: 6 декабря 2017 в 18:45)
Посетитель
small user social cms
Сообщений: 75
У себя нашел именно с таким аватаром

Обнаружен вирус на некоторых сайтах instantcms!


Спасибо за информацию!!

Бегу изгонять дьявола
Посетитель
small user social cms
Сообщений: 75
Fuze:
В файле /system/libs/html.helper.php замените аналогичные строки вот так и вот так

У меня отличаются данные файлы. версия 2,8,2

Подскажите ориентировочно в какой строке изменить?

Заменил файлы взяв их из дистрибутива
Редактировалось: 2 раз (Последний: 6 декабря 2017 в 21:01)
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.