Предлагаю вашему вниманию перевод материала Why you shouldn't use Joomla! warez - Backdoors for free! – историю о том, почему не стоит использовать варез у себя на веб-сайте.
Недавно я проводил исследование веб-сайтов, которые «бесплатно» предлагают наши платные расширения. Я взял первый попавшийся результат из поиска Google (название расширения + слово download) и попал на огромный варез сайт, предлагающий Joomla и Wordpress расширения совершенно бесплатно. Этот веб-сайт не выглядел как типичный варез сайт. На нем не было непонятной рекламы, и он также предоставлял краткое описание расширения, голосование и прямую ссылку для скачивания без всяких платных посредников. Была также ссылка на сканирование VirusTotal.
После скачивания, первое, на что я обратил внимание – имя файла отличалось от нашей схемы именования файлов. Поэтому следующим шагом стала проверка md5 / sha суммы файла. Это суммы хэшей делают файлы узнаваемыми, защищая от атак типа "man in the middle" или манипуляций над скачиваемыми пакетами. Именно поэтому мы показываем суммы на наших страницах для скачивания – всегда сверяйте эти суммы.
Результат проверки – суммы не совпали. Значит, кто-то точно что-то поменял в пакете. Я также проверил на вирусы – но ни одна из 54 антивирусных программ ничего не обнаружила.
Я распаковал пакет и начал искать измененные файлы – я знал, что дата запаковки оригинальных файлов была более 350 дней назад. Конечно, вы не можете полностью полагаться на дату модификации, потому что её легко подделать, но в этом случае им видимо было лень это делать. Оказалось, что 4 файла были изменены и 2 добавлены.
В списке измененных файлов оказался скрипт установки расширения script.php и файл hotspots.php в папке administrator. Добавленными файлами были невинные изображения, оба назывались как social.png и располагались в разных папках. Но давайте сначала посмотрим на изменения в файле script.php – они просто добавили одну строку в конец файла:
Вот оно, PHP подключение файла изображения. Самое смешное, что они также закрыли PHP тег до этой строки, то есть похоже на то, что они не очень сильны в PHP. Файл hotspots.php имел такое же включение в конце файла. Давайте посмотрим на этот мистический файл (немного отформатированный):
Итак, вы установили этот пакет – поздравляем, ваш сайт был взломан. Фейковый файл изображения довольно большой (52 KB) и является веб-шеллом. Интересно, что он поддерживает не только Joomla, но и Wordpress.
Что же делает этот скрипт? Так как скрипт довольно большой и потребуется много работы для его декодирования, я проведу вас по самым заметным вещам. Первое, что делает этот скрипт, это регистрирует обработчик на событие onAfterRender, который создает новую таблицу под название options (да, скрипт также предоставляет легкое хранилище настроек для владельца скрипта) и устанавливает себя в систему. Далее, похоже на то, что он собирает какую-то информацию о вашем веб-сайте и хосте, и посылает её (по электронной почте) на закодированный адрес с темой "Phone Home".
Владелец скрипта может закачивать и изменять файлы, создавать / обновлять записи в базе данных и делать почти все с вашей установкой. Скрипт даже зашифровывает соединение с серверов контроля с помощью openssl.
Простое удаление расширения не поможет, так как скрипт записал себя глубоко в установку Joomla, предоставил неплохой шелл загрузчик (кто знает, что еще было изменено с его помощью) и даже изменил некоторые части базы данных! Вообщем, вы можете выкинуть свой веб-сайт и начинать все сначала (или откатиться на безопасный бэкап).
После этого я просмотрел другие пакеты, которые предлагал этот варез сайт, такие как K2, EasySocial, Hikashop Business, ChronoForms, AcyMailing Enterprise, Akeeba Admin Tools, MijoShop или шаблоны от RocketTheme, Gavick и Joomlart. Все они содержали этот скрипт.
Веб-сайт имеет неплохой рейтинг Alexa (16 629) – я не хочу знать, сколько веб-сайтов взломано благодаря этому веб-сайту. Домен зарегистрирован сервисом, который расположен в Hong Kong, а сам веб-сайт хостится на CloudFlare в США!
Вывод – вы не должны полностью полагаться на сканы Virus Total и вы должны быть очень осторожны, устанавливая расширения из непроверенных источников. Ничто не бесплатно в интернете!