16 окт. 2013 г.

Шелл, генерирующий скрипт на сайте джумла

То, что меня не убивает, делает меня сильнее. Эта фраза уже всем приелась, но именно она удивительным образом помогла мне не сойти с ума в решающий момент, предшествующий великому переселению. Я твердила её, как неофит - молитву, и нехорошо щёлкала зубами. А всё почему? Когда я разнесла свои сайты по разным аккам, я ещё не предполагала, что удеру и с этих одиночных аккаунтов. Полная и окончательная миграция с насиженного места меня пугала. Но за те считанные дни, которые мои разнесчастные сайты находились в "одиночках", они снова подверглись заражению. Картиночка, предусмотрительно оставленная в корне "урашки", об этом красноречиво свидетельствовала.

Интересно другое: как я поняла после "гугления"... или "гуглования"?! - что-то в планах хакеров пошло не совсем так, потому как эта картиночка должна была встречать меня при попытке зайти в админку, а пользователей - при попытке зайти на сайт. Я вообще не понимаю реально, чего эти господа от меня хотят - бредовая ситуация.

Гугл и Яндекс ничего не успели чухнуть - чухнул Ротапост, который объявил мне о недоступности страниц на Ароматах. Мама миа! Если прежние взломы ставили редирект, то этот взлом тупо уложил сайт, потому что код (уж не знаю зачем) влепили в файл version.php, и этот манёвр напоминал не попытку на мне нажиться, а обыкновенное вредительство.

С Доктором обошлось. Молоток я уже так и так собиралась переносить; как только начала его файзиллой скачивать на комп, мой антивирусник запищал и прибил троянца. Сами понимаете, что я принялась вопить: "Карету мне, карету!" и освобождать место на другом хосте для остальных сайтов. Затем принялась чистить Урашку... И вдруг в архивах своей переписки с техподдержкой нашла от них письмо аж за 9 сентября с таким текстом:

"Ваш сайт vsemura.ru заражен, в исходном коде видны ссылки: После последних слов перед чертой "Подробнее" стояло div id="336"... Далее - реклама виагры с тремя ссылками! И код: < script type="text/javascript" >// и ещё одна скрытая ссылка с текстом argaiv1450."

Упустила я это письмо случайно, но особо не испугалась - так как чистила сайт позже (меня заражали каждые две недели, как по расписанию). Но, поглядев в исходный код, обнаружила вирусные ссылки!

Конечно, в постах этих ссылок видно не было. Я не опозорилась в том смысле, что люди не видели это безобразие. Но его видели поисковики. Самого скрипта в шаблоне не было. И ссылки на каждую страницу сайта генерировались самые разные: и про виагру, и ещё про какую-то хрень, и про продажу дисков. Ссылки вели на ужасные гс-ы, просто ад. А это означало, что сидит где-то далеко и глубоко, в какой-нибудь подпапке третьего уровня шелл, рнр файл, и он генерирует этот подлый скрипт.

При помощи ai-bolit я выскребла закодированные файлы, но это не помогло. Ссылки как торчали в исходном коде, так и продолжали торчать. Если раньше все "левые" файлы были одного названия, и шли парами: один файл рнр и один редиректный хтаксесс-файл, то теперь я имела дело с кучей, немыслимым количеством рнр файлов с самыми разными - и абсолютно замаскированными под системные - названиями.

Я скачала урашку на комп, в надежде, что антивирусник снова запищит и укажет мне, где засела зараза - но нет, он смолчал.

Просидев несколько часов, вычисляя чужаков по одному, я шибко расстроилась. Но - что меня не убивает, делает меня сильнее. Чисто интуитивно, по списку помеченных ай-болитом подозрительных файлов, я поняла, что зараза сидит либо в папке Администратор, либо в папке Библиотеки (Libraries). И я зло и тупо перезалила прямо поверх существующих файлов файлы из дистрибутива.

Да, скрипт исчез. Исчез навсегда - я надеюсь. Одна из этих тварей сидела в папке мой сайт\libraries\joomla\cache\handler, и звали её index. Выкапывала я её уже из архива, скачанного на комп - из чистого принципа. Я скопировала содержимое этих файликов в отдельную папочку и поклялась страшной клятвой изучить рнр и понять, что оно от меня хотело. Интересно, что внедрённые длинные закодированные последовательности мне раскодировать при помощи он-лайн декодера не удалось. Очень странно. Он выдавал всё те же кракозябры.

Однако на новом хостинге приключения продолжились. По моей просьбе, они запустили ай-болит сами - так он лучше ищет. И тут выяснилась прелюбопытнейшая деталь... Но об этом - в продолжении волнующего детектива.

8 коммент.:

Отправить комментарий

 
Rambler's Top100