Борьба с условным редиректом

Тема в разделе "Вопросы безопасности", создана пользователем zicale, 02.11.2011.

  1. Offline

    zicale Недавно здесь

    Регистрация:
    02.11.2011
    Сообщения:
    2
    Симпатии:
    2
    Пол:
    Мужской
    Как то позвонил заказчик и говорит, какая то беда с Гуглом, не понятно куда отправляет, но только не на сайт. Редирект был на goooogle.osa.pl. Причем если вход по прямой ссылке - то все нормально, а через поисковик засада.
    Просидел весь день, перерыл практически все файлы Джумлы. Итак, как "излечил" CMS.
    Сначала обратил внимание, что все файлы index.php во всех папках тем изменены, строка выглядила так
    Думаю понятно, что эти выражения точно не для indexов, пришлось заменять файлы полностью из сохраненных бакапов.
    Дальше увидел \includes\post.php там
    любимая строка:)
    Были заражены cache.php, credits.php, defines.php, img.php, info.php (с этим вообще интересно - лежал в корне сайта его назначение мне понятно не до конца), o.php - не родной файл для Джумлы, post.php, z.php - тут такой огромный шифр, что расшифровать не взялся ни один онлайн сервис.
    Как я понял, вломились через уязвимость галлереи Ozio gallery.
    По совету удалил файл components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php
    Рекомендую сравнивать файлы по содержимому, особенно те, которые загружаются в первую очередь такие как defines.php. Потому как открыв папочки я увидел, что файлы банально заменены и соответственно даты у них отличаются от основной массы, а вот именно defines.php из общей массы никак не выделялся, меня смутил его размер, открыл и увидел знакомую картину eval (base64_..... Поблагодарил Бога и сайт стал работать.
    ЗЫ если интересно, могу выставить файлы для обзора.
     
    valear и Asylum нравится это.
  2.  
  3. Offline

    zicale Недавно здесь

    Регистрация:
    02.11.2011
    Сообщения:
    2
    Симпатии:
    2
    Пол:
    Мужской
    Теперь еще интереснее, похоже господа наловчились заражать все php файлы движка. Думаю уже автоматизировали процесс и используют какой то скрипт. Сначала весь сайт сканируют и анализируют все расширения, или ищут какие либо, в коих есть дырки и именно через них влезают.
    Еще раз обращаю внимание, что пароли ftp не шифруются и передаются в открытом виде, к тому же программы шпионы считывают сохраненные пароли в ftp программах. Поэтому рекомендую не хранить пароли, а вводить их заново каждый раз.
    Сегодня разведка донесла:X что редирект прописывают не только в файлах Джумлы, но и WP phpbb3 и др.
    Хотелось бы мне в глаза взглянуть этим товарищам, которые так хулиганят.
     
    Последнее редактирование: 10.01.2012

Поделиться этой страницей

Загрузка...