Эстевао Авиллез (Estevao Avillez) из компании Sucuri описал необычный бэкдор, который удалось обнаружить на одном из сайтов под Joomla CMS.

В этой CMS есть файлы LICENSE.php, LICENSES.php и LICENSE.txt с текстом лицензионного соглашения и кодом для проверки лицензии. Так вот, на зараженном сайте был обнаружен файл LICESNE.php. Хотя на первый взгляд он ничем не отличается от обычного LICENSE.php, содержит стандартные условия GPLv3 и подпись GNUPG (GPG), но в реальности представляет собой полноценный бэкдор.

Если злоумышленник набирал адрес www.site.com/LICESNE.php, то появлялась форма для ввода пароля, а после успешной аутентификации — панель управления. Это типичная функциональность бэкдора Filesman.

Интересно то, каким образом код бэкдора спрятан в файле LICESNE.php. Файл содержит код якобы для проверки лицензии, даже с текстом “License not valid!” в пятой строчке.

Но после декодирования открывается истинное предназначение кода.

Как видим, там есть функция eval ( gzinflate ( base64_decode, которая запускает на исполнение содержимое секции PGP Public Key Block.

Естественно, секция PGP Public Key Block не содержит валидного ключа PGP/GPG, а содержит совсем иное. Что ж, автору бэкдора Filesman не откажешь в креативности.



Оставить мнение