Старый 16.01.2013, 13:40   #1
jiggoo
 
Регистрация: 16.01.2013
Сообщений: 6
Репутация: 0
По умолчанию Пропатчили Joomla

У меня на сайте ломанули и пропатчили Joomla 1.5.26.
Теперь в коде страниц и кэше временами заменяется имя домена на имя другого порнушного домена.
Пытался найти, где происходит подмена, что-то так и не смог найти. Сравнивал с оригиналом 1.5.26, отключал модули, менял шаблоны - все одно.

Вопрос к спецам: кто знает, в какую сторону копать?
jiggoo вне форума   Ответить с цитированием
Старый 16.01.2013, 13:50   #2
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 353
Репутация: 105
По умолчанию

В сторону логов
b3 вне форума   Ответить с цитированием
Старый 16.01.2013, 14:19   #3
jiggoo
 
Регистрация: 16.01.2013
Сообщений: 6
Репутация: 0
По умолчанию

Спасибо за отклик.
Вы имеете ввиду логи веб-сервера или компонент логгирования джумлы? Можете пояснить?

Если логи веб-сервера, то уже перетерлись ротацией, так что они тут не помогут.
jiggoo вне форума   Ответить с цитированием
Старый 16.01.2013, 14:26   #4
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

http://forum.antichat.ru/showthread.php?t=153966
Pashkela вне форума   Ответить с цитированием
Старый 16.01.2013, 15:04   #5
jiggoo
 
Регистрация: 16.01.2013
Сообщений: 6
Репутация: 0
По умолчанию

Я сам хочу найти. Но нужна наводка какая-то.
jiggoo вне форума   Ответить с цитированием
Старый 16.01.2013, 18:22   #6
FIXER
 
Аватар для FIXER
 
Регистрация: 06.07.2010
Сообщений: 220
Репутация: 51
По умолчанию

в чем проблема заного поставить джумлу и шаблон готовый свой танянуть ?

Последний раз редактировалось FIXER; 16.01.2013 в 19:37..
FIXER вне форума   Ответить с цитированием
Старый 16.01.2013, 18:46   #7
netcat
 
Регистрация: 22.12.2012
Сообщений: 25
Репутация: -1
По умолчанию

Цитата:
Сообщение от b3 Посмотреть сообщение
В сторону логов
А в логах у нас показывается какой файл пропатчен через шелл? Очевидно, что бекдоры\код в скрипты сайта вставляются через шелл.
Поэтому логи тут не помогут.
netcat вне форума   Ответить с цитированием
Старый 16.01.2013, 19:46   #8
vp$
 
Аватар для vp$
 
Регистрация: 13.07.2010
Сообщений: 70
Репутация: 8
По умолчанию

поискать в скриптах и в базе, что то типа gzinflate assert eval и т.д.
если скрипты ничем не отличаются от дистрибутива то возможно злой код в базе и вызывается где нить в шаблоне
еще как вариант, воткнут специальный модуль в вебсервер, для апача такой точно существует, для нжинкс хз
vp$ вне форума   Ответить с цитированием
Старый 16.01.2013, 20:07   #9
jiggoo
 
Регистрация: 16.01.2013
Сообщений: 6
Репутация: 0
По умолчанию

Да не, все эти eval, assert, gzinflate, base64_decode - это я в первую очередь все проверил. Нет там их. В базе тоже все чисто. Только контент. Скорее всего написан нормальный кусок объектно-ориентированного кода, который замену делает одного на другое и встроен либо в один из файлов джумлы, либо подключается инклудом.

Я видел у другого человека похожую проблему, у него строка Register менялась на Register<script ...>. Он тоже не смог найти, каким образом ее выковырить. Такое ощущение, что как-то подменяется класс JText или JResponse или кэширующий класс. Но если сравнить эти классы с дистрибутивом, то там нет изменений. Значит изменения живут где-то в другом месте.

Узнать где может только человек, который знает архитектуру Джумлы, то есть последовательность вызовов и куда можно внедриться. Ну или кто-то знаком с методикой. Вот и спрашиваю опытных людей.

Переустанавливать шаблоны пробовал - дело не в них. А переустанавливать Джумлу, конечно, можно, но там два десятка модулей. Да и хочется все-таки найти механизм, а не просто залить все бензином и сжечь.
jiggoo вне форума   Ответить с цитированием
Старый 17.01.2013, 05:28   #10
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

.htaccess?
рекурсивный греп по файлам делал?
по базе тоже поиск попробуй сделать.
12309 вне форума   Ответить с цитированием
Ответ

Метки
взлом, joomla

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot