В последнее время участились случаи взлома сайтов на Joomla, использующих компонент Joomla Content Editor (com_jce).

Этот компонент имеет уязвимость вплоть до версии 2.0.10, которая позволяет злоумышленнику загружать на сайт произвольные файлы, в том числе, скрипты php.

Для заражения злоумышленники используют робота, который сканирует сайты на предмет наличия компонента jce и имеющейся в нём уязвимости. Наиболее часто встречающиеся симптомы такого заражения:

• файлы wp-conf.php в корневой директории сайта ./public_html и в корневой директории аккаунта
• файл со случайным названием вида w7792289n.php в ./public_html
• многочисленные файлы index.php, залитые в случайные директории сайта
• файлы с произвольным названием, в т.ч. с вполне осмысленным, залитые в случайные директории сайта.

Модификация файлов сайта в этом случае не производится, и зловредные файлы легко вычислить по дате изменения. Например, если взлом был осуществлён неделю назад, и если за эту неделю на сайте не менялись php-скрипты, то лечение сводится к следующей команде:

cd public_html
find . -type f -mtime -7 -name "*.php" -delete

Для предотвращения повторного взлома через эту уязвимость следует обновить компонент JCE. Скачать его можно здесь.

В качестве альтернативы можно использовать патч, закрывающий данную уязвимость. Для установки патча файл jce_patch.php из архива помещаем рядом с index.php в корне сайта, а в самом index.php ищем строку $mainframe->initialise(); и добавляем за ней строку include ‘jce_patch.php’;

Указанный почтовый ящик явно левый, IP-адрес отправителя — Саудовская Аравия. Тело тикета пустое, а вот в теме оказалось кое-что интересное:

выпилено, т.к. поисковики ругаются на вредоносный код, несмотря на то, что здесь было приведено лишь самое начало зловреда

После раскодировки base64 в моих руках оказался обезвреженный зловредный скрипт. Пройдясь по его коду, я выявил, что он сначала пытается создать в определённой директории файл indexx.php, являющийся бэкдором и позволяющий злоумышленнику заливать любые файлы. Затем скрипт открывает базу данных, ищет свежесозданный тикет и удаляет его, скрывая тем самым свою деятельность.

Спросив у гугла, что всё это значит, стало ясно, что зловредный представитель страны ближнего востока пытался эксплуатировать уязвимость, патч для устранения которой был выпущен ещё 17 октября, и соответственно тогда же и был установлен у нас.

Мораль статьи такова: своевременно устанавливайте на своё ПО обновления и патчи, следите за их выпуском, подписывайтесь на рассылки производителя — и никакие арабские хакеры вас не достанут.