Анализ взлома Joomla через инъекцию кода banner.php


Выложу код, который подпихивают на исполнения уже для целевого заражения конкретных файлов сайта, на котором был внедрён скрипт banner.php, который выполняет переданный ему закодированный код (у меня это был /components/com_contact/banner.php)
К сожалению по логам не отследил самое главное — каким образом этот banner.php вообще попадает на сайт 🙁
Обновление движка до актуальной версии вроде как закрыло дыру (больше на сайте они не появляются)

В общем отследив бэкдорчик мне стало интересно, какой же именно код ему передают на выполнение — соответственно я чуток поправил код скрипта, заменив выполнение кода, на его сохранение в файлик для дальнейшего разбора …. и буквально сегодня ночью рыбка клюнула.

Не буду тянуть, вот код:

Что же делает данный скрипт?
Ответ прост — пытается везде где только сможет сделать инъекцию следующего кода (предварительно его закодировав)

Какая же функция данной инъекции?
А функция довольно интересна — это перенаправление поискового трафика на систему управления трафиком http://1letojdj.sellClassics.com/ которая уже в свою очередь будет кидать туда, куда хозяин направит.
Если зайти на зараженный сайт не с поисковика — никаких вредоносных действий не будет предприниматься, соответственно владелец заражение своего сайта заметит не сразу.

Так же я ещё имел опыт с заражением .htaccess аналогичным функционалом — только перенаправлял он мобильный трафик с помощью mod_rewrite директив.
Тут подробнее.

P.S.
Ещё одна модификация этого же скрипта


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *