Virus în vbulletin

Fișierul filestore72.info pentru mai mult de un an. La timp, am scris despre asta. când a existat o masivă hacking Invision Power Board (IP Board). Dar, așa cum pentru noi inca clienti vin cu această infecție, adică, campania este încă activă și redirecționează vizitatorii acum un alt CMS vBulletin cu pagini rău intenționate, am decis să vă spun mai multe despre asta pentru cod dăunător ascuns de pe site-ul infectat, cum de a vindeca de la acesta un site și ce cere botului hackerului să utilizeze pentru a obține acces neautorizat la site.







Virus în vbulletin

Sesiunea HTTP a site-ului infectat arată astfel:

Virus în vbulletin


Redirecționările rău intenționate se găsesc pe următoarele site-uri:
  • myfilestore.com
  • filestore72.info
  • file2store.info
  • url2short.info
  • filestore123.info
  • url123.info
  • dollarade.com
Toate acestea funcționează pe același principiu: atunci când utilizatorul accesează mai întâi o pagină a site-ului din rezultatele căutării, îl aruncă pe site-ul infectat (în special, filestore72.info). Site-ul care efectuează această redirecționare este marcat pe Google ca fiind phishing și Navigarea sigură Google returnează starea de asistență socială pentru acesta. Prin urmare, accesul la site este blocat în Chrome, Firefox și în alte programe și servicii care utilizează API-ul Navigare sigură Google.

Virus în vbulletin


Motivul pentru redirecționarea căutării este codul viral PHP din baza de date. Acest "malware" poate fi detectat numai prin navigarea bazei de date (tabelul cu date, scrierea pluginurilor) sau prin căutarea fișierului cu memorie.








Virus în vbulletin

Virus în vbulletin


Dacă deschideți codul pentru acest plug-in în interfața vBulletin (în cazul în care codul pluginului este editat), atunci nu se afișează o injecție periculoasă. Acest lucru se datorează simbolului adăugat înainte de codul rău intenționat.

Virus în vbulletin


Acum, să examinăm codul pentru injecții rău intenționate:

Virus în vbulletin


Scenariul constă din două blocuri logice: un backdoor pe rândul 10 (vom reveni la el mai târziu) și direct codul care introduce redirecționarea.


Dar, cu detectarea automată, totul este ceva mai complicat. Poate fi manipulat numai de un scanner web avansat, cum ar fi scanerul web ReScan.pro. deoarece este necesar să emulați deschiderea unui site în browser, să salvați contextul paginii atunci când este detectată o implementare în două etape și să înlocuiți valoarea corectă a câmpului Referer când creați o solicitare pentru scripturi. De exemplu, nici sucuri.sitecheck.ru, nici quttera.com nu au putut detecta această injecție. Au arătat doar că site-ul se află în lista neagră Google (care a fost ușor de înțeles și fără verificare).


În timpul monitorizării extinse a locului infectat, am descoperit, de asemenea, o cerere interesantă pentru backdoor (linia 10). O sarcină utilă este transmisă în formă criptată (rot13 + base64).

Virus în vbulletin

Virus în vbulletin


Dacă întâmpinați această furt și nu vă puteți descurca singuri, vă rugăm să ne contactați pentru tratamentul site-ului de la virus și protecția împotriva hacking-ului.

  • Virus în vbulletin
  • Virus în vbulletin
  • Virus în vbulletin
  • Virus în vbulletin







Articole similare

Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: