Вірус в vbulletin

Вредосной кампанії filestore72.info вже більше року. Свого часу ми писали про неї. коли був масовий злом Invision Power Board (IP Board). Але оскільки до нас все ще приходять клієнти з даними зараженням, тобто кампанія як і раніше активна і перенаправляє відвідувачів тепер уже інший CMS vBulletin на шкідливі сторінки, ми вирішили більш детально розповісти про те, що за шкідливий код ховається на зараженому сайті, як вилікувати від нього сайт і які запити використовує хакерський бот, щоб отримувати несанкціонований доступ до сайту.

Вірус в vbulletin

HTTP сесія зараженого сайту виглядає так:

Вірус в vbulletin


Шкідливі редіректи помічені на наступні сайти:
  • myfilestore.com
  • filestore72.info
  • file2store.info
  • url2short.info
  • filestore123.info
  • url123.info
  • dollarade.com
Всі вони працюють за одним і тим же принципом: коли користувач вперше потрапляє на будь-яку сторінку сайту з результатів пошуку, його перекидає на заражений сайт (зокрема, filestore72.info). Сайт, який виконує даний редирект, позначається в Google як фішингових, а Google Safe Browsing повертає для нього статус social_engineering. Як наслідок, доступ до сайту блокується в Chrome, Firefox і інших програмах і сервісах, які використовують базу Googe Safe Browsing API.

Вірус в vbulletin


Причиною пошукового редиректу є вірусний PHP код в базі даних. Даний «шкідливий» можна виявити тільки переглядаючи базу даних (таблиця datastore, запис plugins) або пошуком по файлу дампа.


Вірус в vbulletin

Вірус в vbulletin


Якщо відкрити код даного плагіна в інтерфейсі vBulletin (там, де редагується код плагінів), то шкідливий інжект не відображається. Це пов'язано з символом, який доданий перед шкідливим кодом.

Вірус в vbulletin


Тепер подивимося на код шкідливого Інжект:

Вірус в vbulletin


Скрипт складається з двох логічних блоків: бекдор в рядку 10 (до нього ми повернемося трохи пізніше) і безпосередньо код, який впроваджує редирект.


А ось з автоматичним виявленням все дещо складніше. з ним може впоратися тільки просунутий веб-сканер, такий як веб-сканер ReScan.pro. так як потрібно емулювати відкриття сайту в браузері, зберігати контекст сторінки при виявленні двоетапного впровадження і підставляти правильне значення поля Referer при формуванні запиту до скриптів. Наприклад, ні sucuri.sitecheck.ru, ні quttera.com не змогли виявити даний інжект. Вони показували тільки те, що сайт знаходиться в чорному списку Google (що було зрозуміло і без перевірки).


В ході розширеного моніторингу зараженого сайту ми також виявили цікавий запит до Бекдор (рядок 10). Payload в нього передається в зашифрованому вигляді (rot13 + base64).

Вірус в vbulletin

Вірус в vbulletin


Якщо ви зіткнулися з даними зломом і самостійно впоратися не виходить, зверніться до нас для лікування сайту від вірусу і захисту від злому.

  • Вірус в vbulletin
  • Вірус в vbulletin
  • Вірус в vbulletin
  • Вірус в vbulletin

Схожі статті