Joomla под SEO-спамом: скрытый PHP-бэкдор управлял сайтом

Недавнее расследование показало, что один из Joomla-сайтов был скомпрометирован и использовался для показа нерелевантных ссылок на продукты. По оценке аналитиков, речь идёт о SEO-spam-атаке, в которой злоумышленники применили скрытый PHP-backdoor для динамического управления содержимым сайта.

При этом вредоносный код был встроен не в сам контент страницы, а в index.php. Этот файл напрямую не содержал спам-ссылок, однако устанавливал связь с внешними C2-серверами, откуда злоумышленники могли отдавать команды вредоносному ПО и менять поведение веб-ресурса в режиме реального времени.

Как работала вредоносная схема

По данным расследования, вредоносное ПО было построено вокруг четырёх PHP-функций. Основная из них, обозначенная как wffn(), была специально разработана так, чтобы затруднить обнаружение. В коде не использовались характерные и легко отслеживаемые функции, такие как explode или base64_decode.

Ключевым элементом механизма атаки стала функция управления трафиком fotr(). Именно она:

• получала инструкции с сервера C2;
• формировала URL-адреса;
• определяла, какой контент показывать разным типам посетителей.

Использовалась трёхрежимная схема поведения, благодаря которой сайт мог показывать поисковым системам поддельный SEO-контент, а реальных пользователей перенаправлять на другие ресурсы. Такой подход позволял маскировать атаку и поддерживать её незаметность на протяжении длительного времени.

Инфраструктура атаки

Заражение затронуло три домена. Два из них функционировали как активные C2-серверы, тогда как один оказался недоступен. Кроме того, был задействован резервный сервер C2, обозначенный как cdn.saholerp.com, который включался в случае, если основной сервер не отвечал.

Такая схема усиливает угрозу: злоумышленники получают возможность менять спам-контент, который загружается на сайт, без необходимости напрямую вмешиваться в файлы ресурса после первоначального внедрения.

Что сделали аналитики

Чтобы устранить инфекцию, специалисты службы безопасности удалили вредоносный код и провели тщательную проверку системы на наличие дополнительных backdoor’ов. По итогам анализа владельцу сайта рекомендовали немедленно выполнить ряд мер защиты.

Сначала необходимо исключить активное присутствие вредоносного кода, а затем — считать компрометацию полностью устранённой только после проверки целостности всей инфраструктуры.

В числе рекомендованных действий были:

• сброс всех admin credentials;
• всесторонний аудит целостности файлов и конфигураций;
• обновление Joomla и всех её extensions;
• использование WAF для блокирования exploit attempts;
• применение строгой password policy;
• ограничение прав доступа к файлам.

Почему этот случай важен

Инцидент наглядно показывает, что SEO-spam может долго оставаться незамеченным, особенно если злоумышленники используют сложную инфраструктуру управления и скрытые механизмы подмены контента. В результате скомпрометированный сайт начинает работать не на владельца, а на интересы атакующих — искажая репутацию в интернете и перенаправляя трафик в их пользу.

Этот случай ещё раз подчёркивает необходимость постоянного мониторинга, своевременного обновления CMS и внимательного отношения к любым признакам несанкционированных изменений на веб-сайте.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.