Рассылка спама с вашего сайта - реальность?!

Arhitektorius пишет: Кстати собрал нехилую коллекцию троянов и спамрассыльщиков.

Это была минутка рекламы и предложение комплекса услуг, насколько я понял. :laugh:
Ну-ну. Что до заказчиков, то имеют полное право сдуваться и сливаться, разумеется... при условии, что оставляют в твоем активе некоторый аванс, без которого немыслимо вообще что-либо начинать делать, am I right?

Комплекс услуг конечно поставляется! Рекламировать его особо не нужно, ибо разумные люди сразу соглашаются, а те кто думает "да нафик это нужно" ну пусть дальше так думают, я переубеждать их не собираюсь - всё равно грабли у всех одинаковые почти, даже у меня )) Ну а что я не человек чтоли!
А насчет аванса да, конечно же ты прав, присутствие его систематизирует заказчиков! Еще пару лет назад я бы сказал "да нафик это нужно" - люди не наступайте на грабли - берите аванс! ))) Ну это уже пройденные грабли...

Блин. Вот не оно ли? причина пользовательских проблем последних дней, да и у нас с тобой не все гладко... вечерком гляну поподробнее.

Security Issues Fixed

Version 3.4.6 is released to address three reported security vulnerabilities.

High Priority - Core - Remote Code Execution (affecting Joomla 1.5 through 3.4.5).
Low Priority - Core - CRSF Hardening (affecting Joomla 3.2.0 through 3.4.5).
Low Priority - Core - Directory Traversal (affecting Joomla 3.4.0 through 3.4.5).

Да, только что тоже заметил, что 3.4.6 вышла, сначала подумал что как-то спешно они выпустились. А потом присмотрелся - не! Не спешно, а наверное вовремя! Хорошо, что хоть быстро реагируют...
Вот похоже на первый пунктик
Высокий приоритет - Core - удаленное выполнение кода
Пошел обновляться.
PS Сегодня на спайсвебе опять схватил трояна (Вернее прописался он вчера). Зачотный такой, аж NOD32 оборался весь пока я его в коллекцию упаковывал. ))

Уязвимость нулевого дня!

Критическая уязвимость позволяет выполнение удаленного кода, и затрагивает практически все рабочие линейки Joomla - от 1.5 до 3.4.

Remote code execution flaw via the user agent string

The reason behind this out-of-the-ordinary security release is a critical zero-day bug that allows attackers to insert code into the Joomla database and later execute it.
The entry point for the malicious code is the user agent string, which is advertised by each site visitor's browser, to let websites know the user's technical makeup and deliver the best or the most appropriate version of the site.
Apparently this string is stored in the Joomla database, but not properly sanitized to detect malicious code.
With the help of special applications and scripts that can broadcast fake user agent strings, attackers can very easily craft a custom string and append malicious code to it.

0day (англ. zero day) — термин, обозначающий неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.

Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от неё).

Обновляться всем срочно!

Нашел на клиентском сайте свеженькую заразу, появившуюся, есть основания так думать, именно в результате описанной уязвимости первого дня (Browser information is not filtered properly while saving the session values into the database which leads to a Remote Code Execution vulnerability.); clamav распознал как HP.Trojan.WSO FOUND.

Aleksej пишет: Нашел на клиентском сайте свеженькую заразу, появившуюся, есть основания так думать, именно в результате описанной уязвимости первого дня (Browser information is not filtered properly while saving the session values into the database which leads to a Remote Code Execution vulnerability.); clamav распознал как HP.Trojan.WSO FOUND.

Нету экземплярчика файла в коллекцию для изучения?

Отправил письмом; надеюсь, зашифрованный архив дойдет и поделишься потом впечатлениями.

Впечатления слёту: Вот вот! Вот в точности такую же хрень я вытащил вчера со спайсвеба от клиента! Содержимое до байта одинаковое, NOD32 определяет как php web shell. У меня название файла только другое было. надо попробовать расшифровать...

Aleksej, сначала про защиту усиленную на твоём форуме... Писал сообщение, приложил картинку с я диска результат Теперь по шеллу... Вигли его расшифровывать! Убрал условие в нём, запустил на хостинге - красивенький! Тёмненький такой!
(т.к. картинку не смог вставить, смотрите так)
На основе опыта последних 2-3 недель скажу: смотри на зараженном хостинге по дате появления этого файла изменения в файлах, а если сможешь, посмотри в логах время обращения к этому файлу... Ну и неплохо бы на хостинге сделать