Поиск источника вредоносного кода Joomla фишинг

Поиск и устранение вредоносного кода на сайтах.

 

 

На хостинге все файлы сайта удалены и вместо них огромное количество .html файлов с фишингом и рекламой.

Выглядит это примерно так:

 

[root@server domain.com]# ls -la

итого 108432

-rw-r--r-- 1 user user 31704 Окт 10 07:46 00_Chanel-Diamond-Ring_yv2_Bb.html

-rw-r--r-- 1 user user 54013 Окт 7 04:20 00-mYKZ-Chloe-Fragrance-Body-Cream.html

-rw-r--r-- 1 user user 31261 Окт 7 12:44 00n_Efiru-Series_79.html

-rw-r--r-- 1 user user 37191 Окт 7 05:25 00-rWQL-Calvin-Klein-Beauty.html

-rw-r--r-- 1 user user 33568 Окт 7 18:23 00_Women-Suit-Coat_87SO.html

-rw-r--r-- 1 user user 37984 Окт 8 21:53 01b_Cordless-Cleaner_07.html

-rw-r--r-- 1 user user 43828 Окт 7 07:03 02-CHANLUU-AGENCY-TF-oc.html

-rw-r--r-- 1 user user 36381 Окт 10 05:49 02_Chanluu-Handling-Store_ic6_Wy.html

-rw-r--r-- 1 user user 36470 Окт 8 23:29 02e_16Inches-Bicycle_36.html

-rw-r--r-- 1 user user 37597 Окт 10 05:49 02_Velvetlounge-Bracelet_js7_Nl.html

-rw-r--r-- 1 user user 30840 Окт 8 00:58 03_12Inch-Tires_20OT.html

-rw-r--r-- 1 user user 25910 Окт 11 06:20 03-GOROS-PURCHASE-DL-gr.html

-rw-r--r-- 1 user user 29827 Окт 10 06:42 03-GOROZU-EAGLE-FACE-CM-av.html

-rw-r--r-- 1 user user 15740 Окт 7 08:43 03_Marc-Jacobs-Ring_gd2_Ri.html

-rw-r--r-- 1 user user 27345 Окт 9 22:45 03-uXXV-Chanel-Cosmetics-Face.html

-rw-r--r-- 1 user user 30085 Окт 9 02:00 05_Corner-Board_43JI.html

-rw-r--r-- 1 user user 41423 Окт 8 19:42 05d_Mini-Speaker_69.html

-rw-r--r-- 1 user user 35654 Окт 9 21:01 06-tAON-Chloe-Accessories.html

-rw-r--r-- 1 user user 35574 Окт 9 15:17 06-tKLT-Chloe-Official-Site.html

 

 

Действия по выявлению проблемы:

 

1) Поиск вредоносного кода используя критерий "eval"

 

Найдены файлы:

./rtt.by/media/media/css/cacheplugin.php:

./domain.com/qen/include.php

./domain.com/wp-content/include.php

 

Все эти файлы созданы в одно время 2015-10-06 09:32 :

[root@server www]# stat ./domain.com/wp-content/include.php

File: «./domain.com/wp-content/include.php»

Size: 28 Blocks: 8 IO Block: 4096 обычный файл

Device: fd02h/64770d Inode: 6165109 Links: 1

Access: (0644/-rw-r--r--) Uid: ( 2391/user) Gid: ( 2390/user)

Access: 2015-10-06 09:32:08.701000100 +0300

Modify: 2015-10-06 09:32:08.701000100 +0300

Change: 2015-10-06 09:32:08.701000100 +0300

 

[root@server www]# stat ./domain.com/qen/include.php

File: «./domain.com/qen/include.php»

Size: 28 Blocks: 8 IO Block: 4096 обычный файл

Device: fd02h/64770d Inode: 6166541 Links: 1

Access: (0644/-rw-r--r--) Uid: ( 2391/user) Gid: ( 2390/user)

Access: 2015-10-06 09:32:20.248000100 +0300

Modify: 2015-10-06 09:32:20.248000100 +0300

Change: 2015-10-06 09:32:20.248000100 +0300

 

2) Поиск событий в логах c сайтом которые произошли в ~2015-10-06 09:32

zcat ./logs/domain.com.access.log.5.gz | grep 09:32:* --color

27.159.210.196 - - [06/Oct/2015:09:32:08 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 1274

27.159.210.196 - - [06/Oct/2015:09:32:09 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 2154

27.159.210.196 - - [06/Oct/2015:09:32:11 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537

 

 

т.е. на сайте был вредоносный скрипт /templates/system/conns.php который и осуществил создание других вредоносных скриптов

 

3) Поиск в логах упоминаний о /templates/system/conns.php

[root@server user]# zcat ./logs/domain.com.access.log.* | grep POST | grep conns.php

120.40.144.219 - - [11/Oct/2015:00:06:20 +0300] "POST /conns.php HTTP/1.0" 200 14 "http://domain.com/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 23501

27.159.210.196 - - [06/Oct/2015:09:32:24 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 1697

 

И находим, что первый запрос был выполнен 06/Oct/2015:09:32:24

 

4) Проверяем события за 06/Oct/2015:09:3*

[root@server user]# zcat ./logs/domain.com.access.log.6.gz | grep 05/Oct/2015:16:05:43 -B10 --color

95.108.132.176 - - [05/Oct/2015:15:54:17 +0300] "GET /index.php/roster/roster-pagans/133-roster/images/news/elaf-2013-anons-inosmi.jpg HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" 45223

178.172.138.138 - - [05/Oct/2015:15:58:23 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 39670

178.172.138.138 - - [05/Oct/2015:15:58:23 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "http://domain.com/index.php/comand/raspisanie-tenirovok" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 458

178.172.138.138 - - [05/Oct/2015:15:58:45 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 52146

178.172.138.138 - - [05/Oct/2015:15:58:47 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 36488

178.172.138.138 - - [05/Oct/2015:15:58:47 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 42670

178.172.138.138 - - [05/Oct/2015:15:58:48 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 31282

178.172.138.138 - - [05/Oct/2015:15:58:48 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 34107

130.193.48.26 - - [05/Oct/2015:16:00:01 +0300] "GET /index.php/comand/inf-comand/87-games/images/news/Litwins-vs-Vityaz-small-2.jpg HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; YandexImages/3.0; +http://yandex.com/bots)" 47275

188.165.15.84 - - [05/Oct/2015:16:04:41 +0300] "GET /index.php/106-video-all/video-games/105-2011-03-19-litwins-vs-hogs-2?tmpl=component&print=1&page= HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)" 37001

37.9.62.39 - - [05/Oct/2015:16:05:43 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 75157

 

 

И находим подозрительный файл который не свойственен для CMS Joomla testosteron.php

37.9.62.39 - - [05/Oct/2015:16:05:43 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 75157

 

Проверка показала, что данный файл отсутствует в резервной копии за 4 октября.

  • 0 Пользователи нашли это полезным
  • Помог ли вам данный ответ?

    Related Articles

    Как перенести сайт к вам на хостинг?

    Наша компания помогает своим клиентам в переносе сайтов на наши сервера. Для получения этой...

    Как работать с почтой через веб-интерфейс?

    Доступ через почтовый веб-интерфейс Для доступа к почтовому ящику через веб-интерфейс...

    Как работать с почтой через почтовый клиент?

    Доступ через Microsoft Office Outlook 2010 Чтобы настроить Microsoft Office Outlook 2010:...

    Как проверить, заблокирован ли 25-й порт?

    Стандартный порт, который используется для соединения к протоколу SMTP — порт 25. Одна из...

    Для чего используется файл robots.txt?

    Файл robots.txt – это текстовый файл, находящийся в корневой директории сайта, в котором...

    Более 10 000 клиентов за 10 лет