Problem z którym się tu zwracam powstał w czasie korzystania z joomli w wersji 1.08, a dotyczy nieuprawnionego transeru pliików z zasobów serwera. Najpierw były znikające konta użytkowników, później 150 usuniętych plików a następnie wszystkie plki okazały się niemożliwe do otworzenia, lub jak w przypadku plików Worda, zawierały same "krzaczki". Na dodatek w ciągu 1 nocy transfer przy zamkniętej stronie dla użytkowników, wyniósł 10 GB danych. Pomoc techniczna dostawcy hostingu znalazła pewien plik, który ich zdaniem był odpowiedzialny za te rzeczy. Plik usunięto. W tej sytuacji zrobiłem uaktualnienie Joomla do wersji 1.011, zaktualizowałem komponenty, moduły itd. uruchomiłem stronę i pojawił sie ponownie problem. Nowo wstawiane pliki (najczęściej pdf) po jakimś czasie stają się niemożliwe do otworzenia, po ich usunięciu i ponownym wstawieniu są jakiś czas w porządku a potem problem sie powtarza. Czy ktoś spotkał się z tego rodzaju przypadkiem, czy jest to atak osoby, czy robota? Jak sobie z tym poradzić?

1.Po pierwsze aktualizacja Joomli, upewnienie się czy register globals jest na off.
2.potem jezeli masz cpanel skan konta czy nie ma virusów
3.zmiana wszystkich haseł (zarówno dotyczących konta na serwrze baz danych, maili i kont administarota Joomli)
4.ustawienie chmod na katalogi 755 i na pliki 644

1.Po pierwsze aktualizacja Joomli, upewnienie się czy register globals jest na off.
Joomla wczoraj zaktualizowana z wersji 1.08 do wersji 1.011(obie wersje pobierane tutaj), dostawca hostingu wcześniej informował, że register globals jest na off.

2.potem jezeli masz cpanel skan konta czy nie ma virusów
Mam cpanel, ale nie potrafię znaleźć w nim opcji skanowania konta.

3.zmiana wszystkich haseł (zarówno dotyczących konta na serwrze baz danych, maili i kont administarota Joomli
Zmianę haseł zrobiłem jeszcze przed aktualizacją joomla, też wczoraj.

4.ustawienie chmod na katalogi 755 i na pliki 644
Przez ftp sprawdziłem jeszcze raz, więc główny katalog Public_html mam ustawiony na 750, katalogi wchodzące w jego skład są ustawione na 755, a katalog z plikami (Pobieralnia) ma chmod 744. Wszyskie pliki (luźne) mają chmod 644.

Chciałem jeszcze wcześniej, jak miałem Joomla 1.08 porobić zabezpieczenia z wykorzystaniem htpasswd, ale było to niemożliwe z powodu stale pojawiającego się komunikatu błędu, nie pamiętam jego treści. Na zwrócenie uwagi u providera powiedziano mi abym skorzystał z opcji w CPanelu - "Ochrona folderów". Zrobiłem więc hasła dla siebie i moich 2 adminów
na katalog Administrator. Nie wiem czy na inne katalogi też robić, bo jak spróbowałem np. na katalog modules, to użytkownicy zaczęli zgłaszać, że nie mogą zalogować się na stronie ponieważ pojawia się im dodatkowe okno na wpisanie loginu i hasła do katalogu "modules".
Eksperymentowałem też z plikiem htacess, wpisując do niego fragment kodu, znalezionego na tym Forum:

# -FrontPage-
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# zone h
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122

# cyber-warrior.org
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8
Deny from 201.244.38
Deny from 83.130.9.178
Deny from 212.138.113.25
Deny from 212.138.113.23
Deny from cache4-1.ruh.isu.net.sa
Deny from 212.138.113.24
Deny from cache3-2.ruh.isu.net.sa
Deny from cache11-4.ruh.isu.net.sa
Deny from 202.8.85.11
Deny from 222.124.11.98
Deny from 62.148.177.26
Deny from 85.88.1.99
Deny from 85.97.67.181
Deny from 62.139.173.167
Deny from 212.138.113.23
Deny from 62.139.173.167
Deny from 82.129.189.97
Deny from 222.124.11.98
Deny from cache5-1.ruh.isu.net.sa
Deny from 82.145.205.194
Deny from pool-71-247-228-228.nycmny.east.verizon.net
Deny from 71.247.228.228
Deny from 202.65.236.122
Deny from 81.215.171.81
Deny from 85.101.138.179
Deny from 196.1.176.50
Deny from 136.red-83-45-120.dynamicip.rima-tde.net
Deny from 213.63.133.117
Deny from 63.94.224.93
Deny from h19.plesklogin.net
Deny from s2.server4user.de
Deny from seki.lunarpages.com
Deny from 82.165.151.41
Deny from fin01.rackglobal.com
Deny from s21.domenomania.pl
Deny from u15181562.onlinehome-server.com
Deny from dirgencom.drac.net
Deny from esc79.midphase.com

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

Dodam jeszcze dla poparcia przykładem, że wszystkie pliki z Pobieralni wczoraj zostały przeze mnie zmienione (nadpisane) i po wgraniu były dobre, można je było pobierać i normalnie otwierać. Dzisiaj już tak nie jest. Mimo iż strona z poziomu www jest zamknięta dla użytkowników, z widoku transferu w cpanelu zobaczyłem , że od wczoraj od godziny 18.00 do dzisiaj godz. 6:30 tansfer wzrósł o 45 MB, (cała Pobieralnia zajmuje okło 200 MB). Otwierając pliki pdf otrzymuję komunikat: ...program nie może otworzyć...ponieważ nie jest to obsługiwany typ pliku, lub jest uszkodzony...
Próbując otworzyć dokument Worda otrzymujemy takie przykładowe "krzaczki":

Âi FÁĂđ�*&-f8-¤ �*�*‰
,ŹU€¨BL¬› ƒÖĚ [đt;ďŞ˙/Ý/ö{ yI¬ź"
�*kcĄqr‡@´˜§W
ZGĹ3ş6Fpť$ "...bĂ(r)
"㉉Ň× =t˛]Ť‰müŤť
0ËĄpFÜr˙m
4Ňű˙LŰi €ßqP˝(r)ÎKĐp&i+]ŁÄ"ZŔiFˇżĄiß` ˙
^t$/ŕ'�*5[�*'î ôÖ RÜHÍ"nĚž"3(QcÁ
¦ áô -çG
·<Îx Ĺ ‰Ý"˙ Í›Y ˙˝ěŽ¬Ö˙§§LgyI+ô"p˙ ¸ Ë-µBMI€d@â0F}é2ŢÖ
Ř�*Ę#N›â¸ (ţëp+qČ_,Ŕň?¶p"«ŮÂżc˜yŤˆ¦Ş
ŞÍ; cb ¨Ú«GÔHH6Ü˙ =‹7V°·>{=ˇš« ]•%Lýjš
@ŁjQö�*dŚßą ƒ

ĽPŽ
ďŇG*M9_{˙NÇ˙ŰŽö˙ ÝçţA8"‹Ńäˇű-ŮÔ•ÍáKżJ(tm)`Ó˘C8 #
Miał to być fragment nut i tekstu piosenki Volare.
Wszystko to dzieje się samoistnie pod nieobecność użytkowników i 3 adminów.
Każdy z nas (adminów) przeskanował komputer na obecność wirusów i trojanów i nic nie znaleźliśmy.

w cpanelu powinienś mieć coś takiego jak virus scan. A patrzyłeś do logów czy coś tam jest niepokojącego?

Niestety nie ma opcji Virus skan, a co do logów, to trochę przekracza mój stopień umiejętności, ale provider twierdzi że są ślady wejścia do ftp, podczas gdy tylko ja miałem tam jedynie uprawnienia. Mam nr IP, miasto z którego było wejście, informację, ze jest to stałe łącze TPSA DSL, a co z tym dalej robić nie powiedziano mi.

Kurcze tu by sie przydal jakis mariaz przegladania logow + cos na ksztalt tripwire - z opcja monitoringu plikow . JEsli masz dowody na toze ktos uzyskiwal polaczenie ftp z nieuprawnionego IP to mozesz (powinienes) zlozyc skarge na tego kogos do biura obslugi (odpowiedzialnej komorki) jego provisera (W tym przypadku bedzie to mail: abuse@tpnet.pl) z podaniem wszsytkich danych ktore uzyskasz od twojego providera.

Pozdrawiam

Dzięki za informację, już tam przekazałem dane, jakie dostałem.

Chciałbym prosić o sprawdzenie poprawności pliku .htacces:

# -FrontPage-
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
# Block out any script trying to base64_encode crap to send via URL
# Block out any script that includes a <script> tag in URL
# Block out any script trying to set a PHP GLOBALS variable via URL
# Block out any script trying to modify a _REQUEST variable via URL
# Send all blocked request to homepage with 403 Forbidden error!
#
########## End - Rewrite rules to block out some common exploits
#ustalenie 'kolejki waznosci' wyswietlania domyslnego pliku
#index w zaleznosci od rozszerzenia
DirectoryIndex index.php index.html index.htm

########## poczatek - Rewrite rules - blokowanie niektorych
#znanych exploitow
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## koniec
########## Begin - Blokowanie dostepu z adresow IP
#
<Files 403.shtml>
order allow,deny
allow from all
</Files>

# zone h - serwer zliczajacy statystyki wlaman
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122
deny from 62.150.154.23

# cyber-warrior.org - serwer zliczajacy statystyki wlaman
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8

#blokowanie dostepu z adresow IP
deny from 85.102.201.9
deny from 85.103.232.27
deny from 62.150.154.23
deny from 217.16.29.51
#

# cyber-warrior.org
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8
Deny from 201.244.38
Deny from 66.55.151.2
Deny from 72.14.194.29
Deny from 83.17.159.216
Deny from 83.17.159.217
Deny from 83.17.159.218
Deny from 83.17.159.219
Deny from 83.17.159.220
Deny from 83.17.159.221
Deny from 83.17.159.222
Deny from 83.17.159.223
Deny from 83.130.9.178
Deny from 212.138.113.25
Deny from 212.138.113.23
Deny from cache4-1.ruh.isu.net.sa
Deny from 212.138.113.24
Deny from cache3-2.ruh.isu.net.sa
Deny from cache11-4.ruh.isu.net.sa
Deny from 202.8.85.11
Deny from 222.124.11.98
Deny from 62.148.177.26
Deny from 85.88.1.99
Deny from 85.97.67.181
Deny from 62.139.173.167
Deny from 212.138.113.23
Deny from 62.139.173.167
Deny from 82.129.189.97
Deny from 222.124.11.98
Deny from cache5-1.ruh.isu.net.sa
Deny from 82.145.205.194
Deny from pool-71-247-228-228.nycmny.east.verizon.net
Deny from 71.247.228.228
Deny from 202.65.236.122
Deny from 81.215.171.81
Deny from 85.101.138.179
Deny from 196.1.176.50
Deny from 136.red-83-45-120.dynamicip.rima-tde.net
Deny from 213.63.133.117
Deny from 63.94.224.93
Deny from h19.plesklogin.net
Deny from s2.server4user.de
Deny from seki.lunarpages.com
Deny from 82.165.151.41
Deny from fin01.rackglobal.com
Deny from u15181562.onlinehome-server.com
Deny from dirgencom.drac.net
Deny from esc79.midphase.com

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
#The next line modified by DenyIP
order allow,deny
#The next line modified by DenyIP
#deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from 195.114.1.112
deny from 83.21.224.29
deny from 83.17.159.218

Mimo aktualizacji Joomla do 1.0.12, przeniesienia na inny serwer, sprawdzenia pod kątem wirusów wszystkich plików znajdujacych sie na serwerze sutuacja ponownie sie powtórzyła. Wszystki pliki wstawiane na serwer w różnym czasie w różnych dniach w niedzielę 1 lipca raptownie zmieniły swoją datę i godzinę na 01.07.2007 godzina 11:27 do 11:29. Oczywiście są teraz całkowicie zepsute, niemożliwe do otworzenia. Dodam dla przypomnienia, ze Dostęp do katalogu administracyjnego jest zabezpieczony przez htpasswd, plik htaccess ma sugerowane przez Państwa wpisy, hasła są regularnie zmieniane. Chciałbym zapytać co można jeszcze zrobić aby uniemożliwia tego rodzaju ataki, które są jak widać celowymi działaniami mającymi zniszczyć moją stronę;
http://gramsam.pl
Przypuszczam, ze ktoś bardzo złośliwy, prawdopodobnie zarejestrował się u mnie i w jakis, nieznany mi sposób włamuje się na serwer iw jakiś sposób uszkadza wszystkie pliki, czyniąc je nieprzydatnymi. Wszystkie katalogi Joomla są ustawione na 755, pliki na 644, plik configuration.php na 444. Widać nie stanowi to żadnego kłopotu dla włamywacza.
Bardzo proszę o pomoc, jestem prawie załamany, a to co robię na swojej stronie w niczym nikomu nie powinno przeszkadzać, wręcz przeciwnie.

Czy sprawdziłeś listę zainstalowanych komponentów? Usunąłeś dziurawe, wymagające register globals=ON? Na podstawie opisu pozostaje jedynie zgadywanka, co może być przyczyną. Równie dobrze: niewykryty wirus (wszystkie pliki zniszczone).
Poza tym należałoby wymienić dokładnie wszystkie pliki, zarówno Joomla, jak i rozszerzeń - złośliwy kod może siedzieć w którymś z plików, i niekoniecznie to musi być wirus. Przegląd logów serwera powinien dać odpowiedź, w wyniku czego zdarzenie nastąpiło.

Dodatkowe komponenty to:
com_akocomment 2.0 pl
com_docman 1.3.0 RC 2
com_comprofiler 1.0.2 (Community Builder)
com_shoutit 1.4 (shoutbox)
com_top50docman
Oraz dodatkowo 4 komponenty do statystyk, kupione licencje od autora komponentów - są to komponenty wyświetlające zawartość plików Pobieralni, komponent pokazujący pliki dodane przez użytkownika, komponent umożliwiający akceptacje wstawionego pliku przez użytkownika. Czy mozliwe jest, by autor skryptu wstawił w nich jakiś kod umożliwiający mu wejście do Pobieralni, czy na sam serwer?
Jak sprawdzić, czy te zrobione przez kogoś komponenty nie są przyczyną wtargnięć?

Od dostawcy hostingu otrzymałem analizę logów i do nie j wyjaśnienie:

Ktoś łącząc się poprzez serwer proxy - w3cache.icm.edu.pl wgrał Panu plik: /modules/docmann2.php.
> > Następnie uruchomił ten skrypt z odpowiednimi parametrami co spowodowało losowy zapis danych do wszystkich plików w podanym katalogu.
oraz na pytanie o mechanizm tego wgrania:

Wykorzystano lukę w Joomli, uruchomiono skrypt php w katalogu 'modules'.
Proszę poszukać informacji w Internecie na temat tego typu działań.

Wprawdzie podano mi szczegółowe logi i zasugerowano zwrócenie się do Policji o ściganie tego jako przestępstwa, ale znając realia, przynajmniej w moim mieście, podejrzewam, ze prokurator nie zechce podjąć dochodzenia w tej sprawie. Swoje przekonanie opieram na rozmowie z innym prokuratorem.
O katalogu modules były wstawione 4 obce pliki:
mod_docman2.php
mod_docman2.xml
mod_docmann2.php
mod_konie.php
Pliki te skasowałem.
Jeśli byłaby taka potrzeba, to mogę w tym miejscu przytoczyć ich zawartość.

da czy nie da, zglos to, w sumie nic poza czasem nie tracisz, a moze uda sie zlapac odpowiedzialna za to osobe...

Poinformowano mnie, ze przeciętny czas oczekiwania na podjecie czynnosci śledczych ( o ile zdecydują sie je podjąć) wynosi 6 miesięcy. W tym czasie zdążą mnie załatwić zupełnie.
Ostatnia dziwna sprawa jest związana z tym co wcześniej wspominałem, z pojawiającym się niewiadomo ską w katalogo Modules plikiem o nazwie: mod_konie.php. Pierwszy taki plik wyglądał na skrypt php. Oto ego zawartość:


<?php
/**
* @package Joomla
* @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.
* @license <a href=\"http://www.gnu.org/copyleft/gpl.html\" target=\"_blank\">http://www.gnu.org/copyleft/gpl.html</a> GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

if ($_GET['p'] != "jOOml4")
{
header("HTTP/1.0 404 Not Found");
exit;
}
?>

aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
emlvbWFsMTY6OTAwOTI1
TGVzemVrOmxlc2l1bGVr
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
QmFzc2lhMjAwMDpzaWFiYTE0
QmFzc2lhMjAwMDpzaWFiYTE0
Og==
QmFzc2lhMjAwMDpzaWFiYTE0
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
aWN5Ok1hbEMuMzQ5
aWN5Ok1hbEMuMzQ5
aWN5Ok1hTEMuMzQ5
aWN5Ok1hbEMuMzQ5
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
bWFub2xvOldpZHpldw==
amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
a2FyYXAzMDpuZW9kYXI=
ZG1wOlBvbGFjazE5ODg=
a2FyYXAzMDpuZW9kYXI=
ZGFyMzIzMzp0ZW9kb3I=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
QW5keUI6cGllc2VrYWJp
QW5keUI6YW5kYnJh
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cmVzOmt1cnR5bmE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
Ym9tYmFzdGlrOnFxcXFxcTE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
d29qdGVrczk6cnViaWtvbjE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cm9iZXJ0MTAwMTpwZW50aXVtMg==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YW51bGthOmp1bmlvcjU=
ZGF3aWRmNzc6NzcwNzAx
ZGF3aWRfZjc3Ojc3MDcwMQ==
emlvbWFsMTY6OTAwOTI1
TGVzemVrOmxlc2l1bGVr
QmFzc2lhMjAwMDpzaWFiYTE0
a2xpbWF0eTo1NTU1NTU=
a2FyYXAzMDpiZW9zYXI=
a2FyYXAzMDpuZW9kYXI=
aWN5OmMzNDljMzQ5
bW9uaWFza2E6b3NuYXB1cw==
bWFub2xvOldpZHpldw==
a2FyYXAzMDpuZW9kYXI=
emlvbWFsMTY6OTAwOTI1
a2xpbWF0eTo1NTU1NTU=
cm9iZXJ0MTAwMTpwZW50aXVtMg==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YXJ0dXJtdXp5a2FudDphcnR1cmVrNzk=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
bW9uaWFza2E6b3NuYXB1cw==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
cm9iZXJ0MTAwMTpwZW50b2l1bTI=
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cm9iZXJ0MTAwMTpwZW50aXVtMg==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
Ym9tYmFzdGlrOnFxcXFxcTE=
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWE=
c2trMTE6Y2ljaWExMQ==
TGVzemVrOmxlc2l1bGVr
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
ZXdjaWFhbW9yZWs6bXV6eWN6a2E=
ZXdjaWFhbW9yZWs6bXV6eWN6a2Ex
amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
a2FyYXAzMDpuZW9kYXI=
a2FyYXAzMDpuZW9kYXI=
YmFydGluaWVtOmJhcnRvc3o=

Jest to fragment początkowy tego skryptu. Po skasowaniu pojawia sie regularnie ponownie w tym samym katalogu. Następne jego wersje są krótsze, np:


YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==

Skąd sie to bierze i jak z tym walczyć?

wydaje mi sie ze to sa te losowe ciagi znakow o ktorych pisze admin. ciezko Ci cos poradzić tak w ciemno Jeszcze tak myśle czy nie poprosić admina aby włączył safe_mode i zobaczyć czy to nie pomoże. Joomla 1.0.12 ma w chwili obecnej dwie luki bezpieczeństwa stwierdzone, ale wydaje mi sie iz aby je wykorzystac to trzeba sie jednak troche nakombinowac. A jeszcze jak masz ustawione register globals na serwerze?

Z moich informacji wynika, że register globals jest OFF, safe mode też OFF. Wiem to z wstawionego skryptu infophp.php o treści:

<?php
phpinfo()
?>
Z niego mam dostęp do ustawień serwera.
Próbowałem usuwać ten plik mod_konie.php, ale stale powraca, wiec zmieniłem jego treść na inny, niestosowany przeze mnie moduł i zmieniłem chmod do pliku na 644. Nie pomogło, dopisano dodatkową ścieżkę z podobnym ciągiem znaków. Zmieniłem ponownie zawartość pliku i chmod na 444, dalej tak samo. Teraz ustawiłem chmod na 400 i czekam co będzie dalej. Przypomina to zabawę w kotka i myszke, ale nie mam innego pomysłu. Gdybym znał jakiś sposób aby powodować automatyczne kasowanie zawartości tego pliku, to może byłoby to jakieś doraźne załatwienie problemu, ale tu chodzi o przyczyny.
Podejrzewałem,że może mam jakiegoś trojana w komputerze, ale przeskanowałem wszystkimi dostępnymi programami i nic nie znalazłem. Użyłem programu wwdc do zablokowania portów, stosuję Kaspersky Internet Securitu (legalnie zakupiony). Do Panelu Administracyjnego mają oprócz mnie dostęp jeszcze dwie osoby, moi administratorzy. Czy istnieje prawdopodobieństwo, że na komputerze któregoś z nich jest jakiś trojan, generujący ten wpis w katalogu modules?

A czy prosiłeś adminów o zmianę hasła? Możliwe że po przez ich konto ktoś ma dostęp do ustawień Joomli

Swoje hasła do www, do CPanelu zmieniam sam regularnie. Moi dwaj admini mają dostęp do Panelu Administracyjnego na hasło to samo co do strony głównej, ale dodatkowo muszą wpisywać hasła jakie mają w zwiaąku z zastosowaniem htpaswd i htaccess jako zabezpieczenie katalogu administrator. Nie mają dostępu do serwera przez ftp, bo nie zrobiłem im kont ftp.

Witam

Odnośnie bezpieczeństwa - zainteresowani mogą rozpakować sobie pliki z załącznika który dodałem, - wrzucamy oba pliki do głównego katalogu swojego serwisu (tam gdzie masz np. configuration.php) i odpal diagnostics.php dla przykładu u mnie - roztocze.info/diagnostics.php (http://www.roztocze.info/diagnostics.php) ... Plik ten znaleziony na forum joomla.org da ogólny obraz "plików" w joomla pokaże, któremu brakuje np. VALID MOS ...

pozdrawiam
Krzysiek