Пропоную вашій увазі переклад матеріалу Why you should not use Joomla! warez - Backdoors for free! - історію про те, чому не варто використовувати варез у себе на веб-сайті.
Після скачування, перше, на що я звернув увагу - ім'я файлу відрізнялося від нашої схеми іменування файлів. Тому наступним кроком стала перевірка md5 / sha суми файлу. Це суми хеш роблять файли впізнаваними, захищаючи від атак типу "man in the middle" або маніпуляцій над викачуваними пакетами. Саме тому ми показуємо суми на наших сторінках для скачування - завжди звіряйте ці суми.
Результат перевірки - суми не співпали. Значить, хтось точно щось поміняв в пакеті. Я також перевірив на віруси - але жодна з 54 антивірусних програм нічого не виявила.
Я розпакував пакет і почав шукати змінені файли - я знав, що дата запакування оригінальних файлів була більш 350 днів тому. Звичайно, ви не можете повністю покладатися на дату модифікації, тому що її легко підробити, але в цьому випадку їм мабуть було лінь це робити. Виявилося, що 4 файлу було змінено і 2 додані.
У списку змінених файлів виявився скрипт установки розширення script.php і файл hotspots.php в папці administrator. Доданими файлами були невинні зображення, обидва називалися як social.png і розташовувалися в різних папках. Але давайте спочатку подивимося на зміни в файлі script.php - вони просто додали один рядок в кінець файлу:
Ось воно, PHP підключення файлу зображення. Найсмішніше, що вони також закрили PHP тег до цього рядка, тобто схоже на те, що вони не дуже сильні в PHP. Файл hotspots.php мав таке ж включення в кінці файлу. Давайте подивимося на цей містичний файл (трохи відформатований):
Отже, ви встановили цей пакет - вітаємо, ваш сайт був зламаний. Фейковий файл зображення досить великий (52 KB) і є веб-шеллом. Цікаво, що він підтримує не тільки Joomla, але і Wordpress.
Власник скрипта може закачувати і змінювати файли, створювати / оновлювати записи в базі даних і робити майже все з вашої установкою. Скрипт навіть зашифровує з'єднання з серверів контролю за допомогою openssl.
Просте видалення розширення не допоможе, так як скрипт записав себе глибоко в установку Joomla, надав непоганий шелл завантажувач (хто знає, що ще було змінено з його допомогою) і навіть змінив деякі частини бази даних! Вообщем, ви можете викинути свій веб-сайт і починати все спочатку (або відкотитися на безпечний бекап).
Веб-сайт має непоганий рейтинг Alexa (16 629) - я не хочу знати, скільки веб-сайтів зламано завдяки цьому веб-сайту. Домен зареєстрований сервісом, який розташований в Hong Kong, а сам веб-сайт хоститься на CloudFlare в США!
Висновок - ви не повинні повністю покладатися на скани Virus Total і ви повинні бути дуже обережні, встановлюючи розширення з неперевірених джерел. Ніщо не безкоштовно в інтернеті!
Це цікаво:
З тих пір всі, що може бути скомпрометовано (збірки, файли локалізації, та інше) прибрали. Тепер якщо ви подивитеся на посилання з розділу "Завантажити" ведуть, або на joomlacode, або на github joomla.
Joomla! ® CMS - мабуть, найкраща система управління контентом з відкритим вихідним кодом
Joomla! - це більше, ніж просто програмне забезпечення, це люди, які включають розробників, дизайнерів, системних адміністраторів, перекладачів, копірайтерів, і, що найголовніше - простих користувачів.
Ми раді запросити вас до лав нашої спільноти!