Joomla вирус - backdoor.php.agent.sx он же eval(base64_decode(...));
И так. Активизировался троян, Касперский назвал его backdoor.php.agent.sx, NOD32 обозвал его PHP/Kryptik.AB
Его фишка в том, что он подменяет заголовки для поисковиков на свои сайты. Какие точно не помню, но это не так важно.
Предыстория: Делал верстку сразу на хостинге заказчика, обычно я такого не делаю, но заказчик старый волк, доверять можно. Так вот. На третий день после установки Joomla 1.5 и сдачи работы, ПС и Касперский стали ругаться, что сайт угрожает безопасности. Захожу в index.php и вижу гадость после каждого открытия php в виде eval(base64_decode(...));Начинаю ругаться на хостера т.к. доступа из вне кроме меня не было. Тот в отрицалово, и кидает инфу типа у вас украли пароли с фтп. так же приводит какой то троян сканирующий пассы Total Commander. Не верю!!!
Удаление вредоносного кода eval(base64_decode(...));
Ладно поехали дальше. Откуда все это вылазит? в папке images появился файл post.php который позволяет запустить код через url. И тот уже сканит все файли и после каждого <?php добавляет eval. Странно в Joomla же предусмотрены фильтры расширений. Захожу в админку -> общие настройки -> система. И в разрешенных расширениях появилось php. Ого! Дистрибутив всегда ставлю с сайта производителя. хм.
Мысли в слух: Я конечно не последний мудак, что бы попасть в подобный просак, но все же факт )). Обычно во время разработки я ставлю пароль админа типа 123456 что бы и заказчик мог зайти посмотреть как движется работа. Так вот. Я думаю что в нете сидит какой нить бот и сканит IP на появление новых сайтов. Далее дело техники, определить движок, и пробить админку со стандартными паролями )). Гы, не используйте простых паролей!!!
И так как бороться?
Я сделал дамп файловой системы, скачал на локалку, распаковал и с помощью программы Text Replacer заменил во всех файлах зловещий код на пробел. Залил обратно на сервер. Ну как то так!
P.S. И не забываем в админке в фильтрах убирать расширение php, и так же удалять в папке images файлик post.php
Всем удачной борьбы с этим паразитом!
-
МаратОчень полезная статья. У меня тоже в разрешенных расширениях появилось php. Убрал. Пароль админа тоже было 123456 Скачал на компьютер файлы с хостинга, Каспер долго ругался, но удалял. Потом папки которые были заражены, а это cache и modules, очищенные касперским залил снова на хостинг. Остается надеятся что всё будет путём. Админу большое спасибо за познавательное обучение.
-
На здоровье )) Еще больше убеждаюсь что все это дело рук ботов и непутевых аминов как мы ))). Ну я пользуюсь нодом (лицензия), а тот отказался его лечить, и касперский с месячным ключом тоже отказался. Поэтому помог (оказывается) очень полезный дистрибутив Text Replacer.
-
спасибо) такая же проблема, только пароль был 123qwe :)
-
Моя теория с ботом и подбором паролей подтверждается! ))) И не забываем в админке в фильтрах убирать расширение php, и так же удалять в папке images файлик post.php
-
Проблема на моем сайте остается, регулярно скачиваю файлы сайта на локалку(свой комп). Касперский антивирус 2012 у меня с журнальными ключами, легко находит вирус backdoor.php.agent.sx Работаю программой FilleZila. Пароль на хостинге неоднократно менял, бесполезно! Недавно обнаружил ещё одну заразу кто-то в папке images создал папку 1 и закачал файлы и разместил на Твиттере ссылки на скачивание(довольно много мелких файлов, всякие программки). Каким образом получают доступ - непонятно!
-
Ну еще можно админку плагином закрывать. Хотя лучше пароль нормальный ставить )
-
Марат, а в папке images есть какие нибудь *.php ? И проверь в конфигурации движку фильтры на на закачку файлов. есть ли там расширение php
-
а лучше стучись в скайп, там быстрее решим проблему. jobgomel
-
Саня, спасибо за помощь в очистке сайта от всякого дерьма!!!
-
Пожалуйста! Для тех кто столкнется: В папке Images злополучный файлик может храниться под разными именами, в последнем случае это был wso.php и внимательней смотрим фильтры, php в самом конце bmp,csv,doc,epg,gif,ico,jpg,odg,odp,ods,odt,pdf,png,ppt,swf,txt,xcf,xls,BMP,CSV,DOC,EPG,GIF,ICO,JPG,ODG,ODP,ODS,ODT,PDF,PNG,PPT,SWF,TXT,XCF,XLS,php
-
Подскажите чем потом заархивировать вылеченный сайт. Скачанный весит 30 Мб, после моего архивирования 50. Пожалуйста вышлите ответ по электронке.
-
Чем хотите главное что бы была возможность его разархивировать на серваке. я обычно пользуюсь zip
-
Откуда известно, что backdoor.php.agent.sx = php.Kryptik.A.B. ? Есть ли аналоги, генерирующие eval (base64_decode ? Сайт наш был далеко не новый - двухлетней давности, и вдруг в корневых папках и вложенных папках первого уровня во всех php файлах появился левый код eval (base64_decode. С сайтом работали только из админки, без фтп. Мог ли вирус попасть на сайт через админку?
-
Легко и не обязательно через админку! движок какой?
-
Joomla 1.5
-
ищите в папке images файлик с расширением .php - он и есть виновник а попал он туда из-за уязвимости в разрешенных загружаемых расширений. Смотрим в админке, общие настройки поле где вводятся расширения типа .jpg,.png,.gif,.doc и так далее (не помню именно где это в 1.5) если там найдете расширение php значит кто-то получил доступ к админке или файлу configuration.php, но скорей всего первое. удаляем оттуда расширение php меняем пароли к админке, фтп и т.д. чистим сайт как описано выше. Удачи!!!
-
Спасибо, сайт уже на днях почистили, и Яндекс его уже из черного списка удалил. Загадка в том, что в папке images не было файла с расширением php, и в админке в разрешенных расширениях не оказалось php, а судя по joomla-форумам у других сайтов это все было в наличии. Значит, бэкдор где-то все еще сидит? Сайт хостится на unix-подобной системе Solaris. Заливка шелла через cron?
-
сомневаюсь. В таком случае лучше логи доступа по фтп посмотреть. Хм, может они уже научились подчищать хвосты. Меняйте пароли.
-
Похоже, научились - следов нет. Тёмная сторона совершенствуется...а мы пока что только и можем, что за ними вычищать сайты... С 23 по 30 января этим редиректом было заражено 339 сайтов (список на сайте http://evuln.com/labs/yqyc.gu.ma/), и все они .ru. Сейчас, судя по этому списку, скорость распространения вируса уменьшилась. Я проверила некоторые из них через whois- они все на разных хостингах. Похоже, этот вирус тот же что и у вас был, но усовершенствованный. На днях в инете наткнулась на примерно такой текст: нужен редирект под доры, eval (base_64 decode не подойдет потому что его мигом спалят боты Яндекса...
-
тест
-
пройден )
