kosmopolit

Уязвимость в нескольких популярных CMS.

6 posts in this topic

Уязвимость в нескольких популярных CMS.

Пришло письмо от хостера ======

Исследователи обнаружили группу злоумышленников, которые с сентября 2013 года распространяли nulled-версии плагинов, тем и расширений для CMS WordPress, Joomla и Drupal.

В коды компонентов они внедрили свой код, который давал им полный доступ к сайту.

 

Данный инцидент вышел в свет благодаря расследованиям компании Fox-IT в Нидерландах, которые обнаружили его, увидев угрозу в плагине Joomla на сайте своего заказчика.

После небольшого расследования они обнаружили, что вредоносные коды плагина присутствуют в большинстве взломанных плагинов, тем и расширений под CMS Joomla, WordPress и Drupal.

 

Вредоносные файлы такого типа назвали CryptoPHP. А роль CryptoPHP на сайте жертвы назвали backdoor(потайная дверь).

 

Данные скрипты обращались к определенным серверам по заложенным в них ip. Вся информация в скриптах и при коммуникации с серверами злоумышленников зашифрована по RSA.

Некоторые версии скриптов умели даже отправлять письма по электронной почте, если они не могли установить связь с сервером злоумышленников.

 

Главной целью этих вредоносных программ является черная оптимизация(BLACK HAT SEO).

Таким образом злоумышленники получали пользу от всей этой работы. Они раскручивали чужие сайты за деньги через свои скрипты на сайтах ничего не подозревающих жертв.

 

Таким образом, если раньше ваш сайт с вредоносным кодом мог получить ответ от сервера конечного, то теперь ему это не удается(ip заблокировали уже).

Мы нашли и удалили файлы с вредоносным кодом по пути:===

 

Далее идет список из полусотни страниц :angry: :angry: :angry:

И так по всем сайтам на аккаунте.  Стоит Wordpress Основной зараженнный файл   Заражены практически все плагины, которые брались не офиц.сайта wordpress. Хороший урок :rolleyes:  Если ваш хостер не делает вам такой помощи -- проверьте сами свои файлы плагинов на наличие файла social.png. Именно в нем зараза. Плагины (некоторые) перестают работать после его удаления. Для решения проблемы заходите в редактор плагинов и там находите строку в которой он упоминатся  <?php include('images/social.png'); ?> Просто удаляете ее и плаг работает.

baguvix614, exces, jeanx and 2 others like this

Share this post


Link to post
Share on other sites

include('images/social.png') я еще в начале 2014 года сталкивался.

И недавно вот. Куча сайтов не могла запустится у клиента, как раз по описанной причине.

serjin likes this

Share this post


Link to post
Share on other sites

include('images/social.png') я еще в начале 2014 года сталкивался.

И недавно вот. Куча сайтов не могла запустится у клиента, как раз по описанной причине.

Удаление <?php include('images/social.png'); ?> решает проблему. Проверено))

Share this post


Link to post
Share on other sites

Это же азы, любую халяву проверить в графическом редакторе, или в винде включить отображение эскизов. В скриптах дряни как правило на порядок больше чем в псевдо-изображениях, надо проверять все и быть параноиком, иначе поимеют.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.