[Web] Продолжаю бороться с зараженными сайтами

Не так давно я делился опытом лечения зараженных сайтов (ссылка)  и думал я, что все уже позади, но не тут то было.

Вредноносный код вернулся! Правда он не успел заразить файлы, а лишь успел прописать загрузчик в одну папку. Естественно пришлось анализоровать лог-файлы и вот там я наткнулся на следующие занятные строчки:

POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.0 200 79180 "-" "BOT/0.1 (BOT for JCE)"

POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0 200 79110 "-" "Mua"

Из логов видно, что вызываются компонент com_jce и плагин imgmanager для CMS Joomla  и с помощью них злоумышленники видимо и загружают файлы на сервер.

Так что, если у вас установлена старая версия компоненты com_jce, настоятельно рекомендую либо обновить ее до актуальной, либо отказаться от использования данного редактора.