ENG    РУС

Все заметки блога »

Вирус на форуме, редирект на url2short.info (форумы на движке IPB, vBulletin)

Закажите лечение сайта и защиту от взлома у специалистов

В последнее время участились случаи заражения сайтов, реализованных на движке форума Invision Power Board или vBulletin. Вредоносный код выполняет перенаправление (редирект) посетителей на сторонние сайты:

  • myfilestore.com
  • filestore72.info
  • file2store.info
  • url2short.info
  • filestore123.info
  • url123.info
  • dollarade.com
  • и другие.

Данный вирус определяется Яндексом как “Поведенческий анализ”, но его достаточно сложно найти на форуме, так как вредоносный код зашифрован, а редирект выполняется время от времени при соблюдении определенных условий.

Вредоносный код выглядит следующим образом (код вируса выделен рамкой)

код редиректа ipb

Обычно он внедрен в основной шаблон форума (в базе данных), а его копия сохранена в кэше шаблона (в файле).

Обнаружить код можно, выполнив поиск по дампу базы данных фрагмента “strstr($mds”, “preg_replace($i” или “#c#.substr”.

код редиректа ipb

При лечении сайта удалять нужно код, размещенный в базе данных, после чего перестроить шаблоны форума, чтобы данный вредоносный код исчез и из кэша шаблонов. Бесполезно удалять код из закэшированных шаблонов, так как он появится снова при редактировании стиля форума.

код редиректа ipb

Чтобы понять, как работает данный вредоносный код, расшифруем его:

код редиректа ipb

Во-первых, вредонос содержит бэкдор в строке 10, который позволяет выполнять произвольный код, передав его в переменной $k в зашифрованном виде (зашифрованный base64 + str_rot13).

Во-вторых, код выполняет редирект посетителей на вредоносный сайт, например, url4short.info. Перенаправление возникает не всегда, поэтому его сложно обнаружить даже владельцу сайта. Редирект возникает при определенных условиях (на примере форума IPB):

  1. не установлена куки <префикс>lang_id
  2. в запросе присутствует параметр ipbv
  3. в запросе отсутствует параметр <префикс>session_id, но установлена куки с тем же именем
  4. поле REFERER содержит хост сайта 

Вирус работает достаточно хитро: при переходе на форум с поисковой системы в код страницы внедряется javascript вида

http://сайт/index.php?ipbv=случайная_строка&g=js

При его загрузке проверяются перечисленные выше параметры и, если все в порядке, выполняется редирект посетителя посредством внедрения javascript кода

document.location=’http://вредоносный_сайт/фрагмент_хэша_хоста';

При перенаправлении посетителя ему ставится куки <префикс>lang_id на 10 часов. Поэтому при повторном заходе в течение этого времени с того же браузера редиректа не будет.

Администраторам форума IPB код легко обнаружить, выполнив поиск по фрагментам “strstr($mds”, “preg_replace($i” или “#c#.substr” в файле skin_global.php.

код редиректа ipb

Для администраторов форума vBulletin процесс поиска вредоносного кода хорошо разобран на сайте http://club.myce.com/f20/vbulletin-myfilestore-hack-find-traces-remove-them-332219/, он может быть внедрен в коде плагинов или также в шаблонах. Сам вредоносный фрагмент vBulletin очень похож по поведению и внешнему виду на код, который внедряется хакерами на форумах IPB, все, что написано выше, справедливо и для vBulletin.

Если самостоятельно обнаружить и удалить данный код вы не можете, обратитесь к нашим специалистам.

 

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: