Поиск источника вредоносного кода Joomla фишинг
Автор:
|
|
На хостинге все файлы сайта удалены и вместо них огромное количество .html файлов с фишингом и рекламой. Выглядит это примерно так:
итого 108432 -rw-r--r-- 1 user user 31704 Окт 10 07:46 00_Chanel-Diamond-Ring_yv2_Bb.html -rw-r--r-- 1 user user 54013 Окт 7 04:20 00-mYKZ-Chloe-Fragrance-Body-Cream.html -rw-r--r-- 1 user user 31261 Окт 7 12:44 00n_Efiru-Series_79.html -rw-r--r-- 1 user user 37191 Окт 7 05:25 00-rWQL-Calvin-Klein-Beauty.html -rw-r--r-- 1 user user 33568 Окт 7 18:23 00_Women-Suit-Coat_87SO.html -rw-r--r-- 1 user user 37984 Окт 8 21:53 01b_Cordless-Cleaner_07.html -rw-r--r-- 1 user user 43828 Окт 7 07:03 02-CHANLUU-AGENCY-TF-oc.html -rw-r--r-- 1 user user 36381 Окт 10 05:49 02_Chanluu-Handling-Store_ic6_Wy.html -rw-r--r-- 1 user user 36470 Окт 8 23:29 02e_16Inches-Bicycle_36.html -rw-r--r-- 1 user user 37597 Окт 10 05:49 02_Velvetlounge-Bracelet_js7_Nl.html -rw-r--r-- 1 user user 30840 Окт 8 00:58 03_12Inch-Tires_20OT.html -rw-r--r-- 1 user user 25910 Окт 11 06:20 03-GOROS-PURCHASE-DL-gr.html -rw-r--r-- 1 user user 29827 Окт 10 06:42 03-GOROZU-EAGLE-FACE-CM-av.html -rw-r--r-- 1 user user 15740 Окт 7 08:43 03_Marc-Jacobs-Ring_gd2_Ri.html -rw-r--r-- 1 user user 27345 Окт 9 22:45 03-uXXV-Chanel-Cosmetics-Face.html -rw-r--r-- 1 user user 30085 Окт 9 02:00 05_Corner-Board_43JI.html -rw-r--r-- 1 user user 41423 Окт 8 19:42 05d_Mini-Speaker_69.html -rw-r--r-- 1 user user 35654 Окт 9 21:01 06-tAON-Chloe-Accessories.html -rw-r--r-- 1 user user 35574 Окт 9 15:17 06-tKLT-Chloe-Official-Site.html
Действия по выявлению проблемы:
1) Поиск вредоносного кода используя критерий "eval"
Найдены файлы: ./rtt.by/media/media/css/cacheplugin.php: ./domain.com/qen/include.php ./domain.com/wp-content/include.php
Все эти файлы созданы в одно время 2015-10-06 09:32 :
File: «./domain.com/wp-content/include.php» Size: 28 Blocks: 8 IO Block: 4096 обычный файл Device: fd02h/64770d Inode: 6165109 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 2391/user) Gid: ( 2390/user) Access: 2015-10-06 09:32:08.701000100 +0300 Modify: 2015-10-06 09:32:08.701000100 +0300 Change: 2015-10-06 09:32:08.701000100 +0300
File: «./domain.com/qen/include.php» Size: 28 Blocks: 8 IO Block: 4096 обычный файл Device: fd02h/64770d Inode: 6166541 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 2391/user) Gid: ( 2390/user) Access: 2015-10-06 09:32:20.248000100 +0300 Modify: 2015-10-06 09:32:20.248000100 +0300 Change: 2015-10-06 09:32:20.248000100 +0300
2) Поиск событий в логах c сайтом которые произошли в ~2015-10-06 09:32
27.159.210.196 - - [06/Oct/2015:09:32:08 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 1274 27.159.210.196 - - [06/Oct/2015:09:32:09 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 2154 27.159.210.196 - - [06/Oct/2015:09:32:11 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537
т.е. на сайте был вредоносный скрипт /templates/system/conns.php который и осуществил создание других вредоносных скриптов
3) Поиск в логах упоминаний о /templates/system/conns.php
120.40.144.219 - - [11/Oct/2015:00:06:20 +0300] "POST /conns.php HTTP/1.0" 200 14 "http://domain.com/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 23501 27.159.210.196 - - [06/Oct/2015:09:32:24 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 1697
И находим, что первый запрос был выполнен 06/Oct/2015:09:32:24
4) Проверяем события за 06/Oct/2015:09:3*
95.108.132.176 - - [05/Oct/2015:15:54:17 +0300] "GET /index.php/roster/roster-pagans/133-roster/images/news/elaf-2013-anons-inosmi.jpg HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" 45223 178.172.138.138 - - [05/Oct/2015:15:58:23 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 39670 178.172.138.138 - - [05/Oct/2015:15:58:23 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "http://domain.com/index.php/comand/raspisanie-tenirovok" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 458 178.172.138.138 - - [05/Oct/2015:15:58:45 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 52146 178.172.138.138 - - [05/Oct/2015:15:58:47 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 36488 178.172.138.138 - - [05/Oct/2015:15:58:47 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 42670 178.172.138.138 - - [05/Oct/2015:15:58:48 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 31282 178.172.138.138 - - [05/Oct/2015:15:58:48 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 34107 130.193.48.26 - - [05/Oct/2015:16:00:01 +0300] "GET /index.php/comand/inf-comand/87-games/images/news/Litwins-vs-Vityaz-small-2.jpg HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; YandexImages/3.0; +http://yandex.com/bots)" 47275 188.165.15.84 - - [05/Oct/2015:16:04:41 +0300] "GET /index.php/106-video-all/video-games/105-2011-03-19-litwins-vs-hogs-2?tmpl=component&print=1&page= HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)" 37001 37.9.62.39 - - [05/Oct/2015:16:05:43 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 75157
И находим подозрительный файл который не свойственен для CMS Joomla testosteron.php
Проверка показала, что данный файл отсутствует в резервной копии за 4 октября.
5) Начинаем искать источник testosteron.php .
37.9.62.39 - - [28/Sep/2015:00:50:39 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 900 37.9.62.39 - - [28/Sep/2015:00:50:39 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 681 37.9.62.39 - - [28/Sep/2015:00:50:39 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 774 37.9.62.39 - - [28/Sep/2015:00:59:49 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 663 37.9.62.39 - - [28/Sep/2015:00:59:49 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 633 37.9.62.39 - - [28/Sep/2015:00:59:50 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 478 37.9.62.39 - - [06/Oct/2015:03:58:54 +0300] "POST /testosteron.php HTTP/1.0" 200 11099 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:23.0) Gecko/20130406 Firefox/23.0" 4933036 37.9.62.39 - - [06/Oct/2015:04:56:31 +0300] "POST /testosteron.php HTTP/1.0" 200 10324 "-" "Mozilla/5.0 (Windows NT 5.1; rv:25.0) Gecko/20100101 Firefox/25.0" 40190 37.9.62.39 - - [06/Oct/2015:04:56:31 +0300] "POST /testosteron.php HTTP/1.0" 200 11070 "-" "Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0" 13424 37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11062 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 32191 37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11062 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 16637 37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11082 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 15163 37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11086 "-" "Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130331 Firefox/21.0" 35764 37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11086 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 11411 37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11070 "-" "Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0" 31095 37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11070 "-" "Mozilla/5.0 (Windows NT 6.0; rv:23.0) Gecko/20130406 Firefox/23.0" 24304 37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11090 "-" "Mozilla/5.0 (Windows NT 6.0; rv:25.0) Gecko/20100101 Firefox/25.0" 8364 37.9.62.39 - - [06/Oct/2015:04:56:34 +0300] "POST /testosteron.php HTTP/1.0" 200 11064 "-" "Mozilla/5.0 (Windows NT 5.1; rv:23.0) Gecko/20130406 Firefox/23.0" 599344 37.9.62.39 - - [06/Oct/2015:04:56:34 +0300] "POST /testosteron.php HTTP/1.0" 200 11074 "-" "Mozilla/5.0 (Windows NT 6.0; rv:24.0) Gecko/20100101 Firefox/24.0" 11788 37.9.62.39 - - [06/Oct/2015:04:56:34 +0300] "POST /testosteron.php HTTP/1.0" 200 11086 "-" "Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130331 Firefox/21.0" 26794 37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11088 "-" "Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0" 28753 37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11074 "-" "Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0" 13788 37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11082 "-" "Mozilla/5.0 (Windows NT 6.0; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 13528 37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11078 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 16070 62.109.10.237 - - [05/Oct/2015:15:21:21 +0300] "POST /testosteron.php HTTP/1.0" 200 79839 "-" "Mozilla/5.0 (Windows NT 6.0; rv:21.0) Gecko/20130331 Firefox/21.0" 23742 62.109.10.237 - - [05/Oct/2015:15:21:22 +0300] "POST /testosteron.php HTTP/1.0" 200 10327 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:22.0) Gecko/20130405 Firefox/22.0" 10666 37.9.62.39 - - [05/Oct/2015:16:05:43 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 75157 37.9.62.39 - - [05/Oct/2015:16:05:45 +0300] "POST /testosteron.php HTTP/1.0" 200 19400 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 20927 37.9.62.39 - - [05/Oct/2015:16:05:46 +0300] "POST /testosteron.php HTTP/1.0" 200 7732 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 6833 37.9.62.39 - - [05/Oct/2015:16:05:46 +0300] "POST /testosteron.php HTTP/1.0" 200 10604 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 402725 37.9.62.39 - - [05/Oct/2015:16:05:47 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 16849 37.9.62.39 - - [05/Oct/2015:16:05:47 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 16679 37.9.62.39 - - [05/Oct/2015:16:12:16 +0300] "POST /testosteron.php HTTP/1.0" 200 79841 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0" 123171 37.9.62.39 - - [05/Oct/2015:16:12:18 +0300] "POST /testosteron.php HTTP/1.0" 200 10324 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 46334
Видим что к указанному файлу пытались обращаться еще 28/Sep/2015:00:50:39 однако файл этот отсутствовал и веб-сервер отдавал код 404 Первый успешное обращение, получение кода 200 от вебсервера:
т.е. 05/Oct/2015:15:21:21 с ip 62.109.10.237
6) Проверяем все обращения с IP 62.109.10.237
62.109.10.237 - - [04/Oct/2015:14:40:32 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 9189 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 60349 62.109.10.237 - - [02/Oct/2015:11:07:10 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 80711 "-" "Mozilla/5.0 (Windows NT 5.1; rv:25.0) Gecko/20100101 Firefox/25.0" 35808 62.109.10.237 - - [02/Oct/2015:11:07:11 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 10930 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:22.0) Gecko/20130405 Firefox/22.0" 8941 62.109.10.237 - - [02/Oct/2015:13:59:55 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 9148 "-" "Mozilla/5.0 (Windows NT 6.2; rv:22.0) Gecko/20130405 Firefox/22.0" 91322
И видим, что с этого IP обращались к модулю com_mailto CMS Joomla
7) Проверяем на подозрительные файлы модуль com_mailto который присутствует в резервной копии сайта за 4 октября
т.е. файл ./www/domain.com/components/com_mailto/views/mailto/plugin.php содержит источник заражения сайта.
8) Ищем откуда указанный файл взялся.
-rw-r--r-- 3 user user 25655 Авг 27 15:06 /www/domain.com/components/com_mailto/views/mailto/plugin.php
Файл на хостинге появился 27 августа.
Проверяем когда был установлен компонент com_mailto
Компонент mailto был установлен в CMS Joomla 27 августа и совпадает по дате с вредоносным файлом.
Подведя итог, можно сказать, что заражение сайтов произошло от установленного модуля com_mailto который при установке уже содержал вредоносный файл plugin.php | |
Если решение вопроса найти не удалось, Вы можете отправить нам заявку: |