Расшифровка php срипта

[carlozzz]

Всем привет,
ситуация такая: ломают (загружая вредоносные php-шки) мои сайты на Joomla, файлы загружают с приблизительно таким мясом,
----------
$NB0C="\x70".chr(114)."\x65\x67_".c hr(114)."ep".chr(108)."\x61\x63e";
----------
всё приводить не буду ~3500 символов в файле, поскольку файлы называются аля "post.php" гуглить не представляется возможным!

По логам видно, что ломают из америкосии, как конкретно не понимаю, эти файлы рассылают спам!

Помогите какой-нить инфой/ссылкой как это расшифровать, если это вообще возможно.

[pompiduskus]

Дак тут и не зашифрованно ничего!

Просто каждый символ записан по разному,

на пример 97 это маленькая буква а. и так далее.

Код:

\x70, chr(114), \x65, \x67_, chr(114), ep, chr(108), \x61, \x63, e
=
112,       114,  101,  103,  114,      ep,      108,   97,   99, e
=
112, 114, 101, 103, 114, ep, 108, 97, 99, e
p,     r    e    g    r  ep, l,   a    c  e 

preg_replace();

[predefined]

Содержимое файла вам особо ничего не даст. Смотрите по логам где именно у вас дыра(скрипт), через которую заливают эти скрипты. В какую папку их загружают.

Возможно, загружают вместо картинок куда-нибудь в папку /upload/, а в этой папке у вас не закрыто исполнение php-скриптов. Закройте его через .htaccess

Если шаред-хостинг, могут ломать не вас, а "соседей" и лезть через них.

Возможно, есть смысл обновить Джумлу до последней версии (только бэкапы сначала сделайте, БД и самих файлов), там дыры могут быть пофиксены.

[carlozzz]

pompiduskus,
спс, я примерно так и думал т.е. можно типа дешифратора написать

predefined,
"Смотрите по логам" - я б с удовольствием, но я только в "access.log" вижу обращения к плохим php-шкам (а там кроме ip и клиента смотреть не на что), пойду гуглить!

"в папку /upload/" - заливают в корень

VPS (centos) - так что, лезут не через соседей

"обновить Джумлу" - она пока предпоследняя, модули специально не ставлю, чтоб дыры не плодить, но как видно не очень помогает

[predefined]

Цитата:

Сообщение от carlozzz

"Смотрите по логам" - я б с удовольствием, но я только в "access.log" вижу обращения к плохим php-шкам (а там кроме ip и клиента смотреть не на что), пойду гуглить!

Если через дыры в скриптах Джумлы - должны быть POST/GET запросы к конкретному скрипту с отправкой файла.

Могли и ftp сбрутфорсить, и ssh. Пароли меняйте в любом случае.

[carlozzz]

predefined,
ftp - вырублен, ssh - тоже (включаю только вручную, когда мне надо).
Покопался тут немного, они гады сначала походу 1 файл в tmp закидывают, а через 10 дней, когда старые логи уже удалены, начинают через этот файл другую дрянь закидывать!

У меня контроль файлов прикручен, а он как раз папку tmp не просматривает, чтобы не орал постоянно об изменении файлов, и получается, что я вижу только финальный этап. Короче буду думать дальше!

[predefined]

Профессионально работают. Отслеживайте как они его закидывают. С какого IP и потом смотрите к каким скриптам Джумлы обращался этот IP. Но не спугните их.

Кто имеет право писать в папку tmp? Если только Веб-сервер - скорее всего ломятся через скрипты.

Можно через .htaccess закрыть доступ из Интернета к папке, написав там:

Цитата:

Deny from All

Тогда только PHP сможет читать из неё и писать в неё, а через Веб-сервер папка будет недоступна.


Можно через .htaccess запретить в этой папке исполнение скриптов, написав там:

Цитата:

# switch off PHP:
php_flag engine 0
# all scripts interprete as text/html:
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .ph

RewriteEngine on
# Prevent execute .php and other scripts
RewriteRule \.(php[0-9]*|cgi|pl|fpl|phtml|shtml|asp)$ - [F]

Но надо знать для чего у вас используется эта папка, чтобы не отрубить нужный вам функционал.