Здравствуйте.
В наш адрес поступила жалоба на Ваш сервер. Просим Вас разобраться в ситуации и принять соответствующие меры.
Здравствуйте!
Указанные ниже в нашем письме IP адреса и веб страницы предположительно были использованы в последних кибератаках в составе ботнета. Мы просим Вас обратить внимание на эти веб-сайты для идентификации и удаления заражённых страниц.
Типичная инфицированная страница:
В наличии типичной инфицированной страницы можно убедиться путём добавления в браузере следующего параметра к ссылке (URL) на подозреваемую страницу:
?c_id=ZWNobygnPGgxPklORkVDVEVEPC9oMT4nKTs=
Пример:
www.infecteddomain.com/infectedpage.php?с_id=ZWNobygnPGgxPklORkVDVEVEPC9oMT4nKTs=
Отображаемая страница в браузере скорее всего отобразит «INFECTED», если страница заражена. Мы полагаем, что заражающий скрипт пытается инфицировать все доступные PHP файлы, а также создает дополнительные. В связи с этим Вам может понадобиться просканировать все файлы в системе на предмет обнаружения инфекции (см. ссылку 1.D «Рекомендация Интернет-провайдера» ниже).
Если же браузер сообщает, что веб-страницы не существует, выдавая 404 Message (ошибка 404 — страница не найдена), сообщение "Access denied" или просто пустой экран, то Вам может понадобиться использовать утилиту, позволяющую просматривать заголовок HTTP. Если Вы используете команду cURL, то введите в консоли:
curl -A “Mozilla/4.0” -iL [URL]
Если первая строка выдачи это "HTTP/1.1 200 OK", это значаит, что страница на самом деле присутствует в системе, вне зависимости от остального выдаваемого текста. PHP скрипты на таких страницах нужно проверить на наличие следующего выражения для вызова функции:
eval(base64decode($_REQUEST
Такое выражение, вместе с именем параметра, позволяет передавать зашифрованный PHP скрипт на страницу где он будет выполнен.
Удаление вредоносных кодов:
Следующие шаги могут быть полезны для удаления инфекции:
1. Блокировать вредоносное программное обеспечение.
a. Удалить или обезвредить вредоносные скрипты (см. подробные инструкции по ссылке 1.D «Рекомендации Интернет-провайдера»).
b. Если не удаётся заблокировать вредоноса, то отключите зараженное устройство от сети.
2. Смените учётные данные Joomla/Wordpress.
a. Смените пароль администратора для Joomla/Wordpress. Это важно сделать, так как пароль учетной записи перехватывается при заражении.
b. Если существует учётная запись администратора с именем “admin”, измените эту учётную запись на какую-нибудь другую (см. ссылку 2.С). Это важно, потому, что одна из версий вредоносного скрипта осуществляет подбор пароля для этой учётной записи, существующей по умолчанию.
3. Установите последнюю доступную версию Joomla/Wordpress и все обновления к ней
a. Joomla и WordPress являются общим компонентом инфицированных систем. Установка последних версий и обновлений безопасности необходима для предотвращения подобного заражения.
Спасибо за Ваше внимание и помощь. Пожалуйста, свяжитесь с нами после получения этого письма и оставайтесь на связи до решения этой проблемы.
С уважением,
Bank of America Abuse Team
*********************************************************************************************************************************
Ссылки порождающие вредоносную активность
*********************************************************************************************************************************
Вредоносное содержимое:
5.178.87.84
http://trezvesti.com/tmp/tga.php
*********************************************************************************************************************************
Дополнительная информация
*********************************************************************************************************************************
1. Детали недавних DDoS атак, аспекты деятельности ботнета и потенциальные шаги по устранению угрозы доступны бесплатно по следующим ссылкам:
A. Последняя информация: http://www.prolexic.com/news-events-pr-threat-advisory-ddos-itsoknoproblembro.html
B. Детальный отчет: http://www.prolexic.com/knowledge-center-ddos-threat-advisory-itsok/pr.html
C. Парсер логов BroBot: https://github.com/plxsert/brolog
D. Рекомендации провайдера: http://devilsworkshop.org/tutorial/remove-evalbase64decode-malicious-code-grep-sed-commands-files-linux-server/55587/
2. Следующие ресурсы могут быть полезны для ваших клиентов и могут помочь им обезопасить их веб сайты и предотвратить повторное заражение:
A. http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website
B. http://www.netmagazine.com/features/10-essential-security-tips-protect-your-site-hackers
C. http://docs.joomla.org/Why_should_you_immediately_change_the_name_of_the_default_admin_user%3F
D. http://joomupgradeservice.com/documentation/15-reset-admin-password
E. http://joomupgradeservice.com/documentation/25-reset-admin-password-joomla-3-0