PDA

Zobacz pełną wersję : TROJANY na joomli : ajax.js, kquery.js i as09d8as09d8.php PROSZĘ O POMOC!!!



blaiseosw
14-12-2011, 00:47
Witam serdecznie,

W dniu dzisiejszym dostałem wiadomość z hostingu że na moim ftp gdzie są strony mam trojana kquery.js i niezwłocznie mam go usunąć więc tak zrobiłem. jednak po paru godzinach widziałem że znów się pojawił nie wiem co mam z tym faktem zrobić? Zauważyłem również ze dziwny plik o nazwie as09d8as09d8.php dopisuje się do różnych folderów. Proszę o pomoc ponieważ jestem w kropce i nie wiem jak rozwiązać ten problem. Z góry dziękuje za pomoc i wyrozumiałość.

neo_fox
14-12-2011, 00:50
Proszę o pomoc ponieważ jestem w kropce i nie wiem jak rozwiązać ten problem.

Polecam: Pomocy! Zaatakowano moją witrynę! Co teraz? (http://wiki.joomla.pl/index.php/Pomocy!_Zaatakowano_moj%C4%85_witryn%C4%99!_Co_ter az%3F)

nikszal
14-12-2011, 11:33
Jako klienta ftp używasz Total Commandera? Jeśli tak, to w pierwszej kolejności pożegnaj się z nim bez żalu i zainstaluj File Zilla.

palyga007
14-12-2011, 11:40
@nikszal

Nie wszczynajmy po raz kolejny niepotrzebnej dyskusji w tym temacie.:)

nikszal
14-12-2011, 11:42
Nie mam ochoty na jakąkolwiek dyskusję o TC, tylko przejęcie dostępu do strony nie bierze się z powietrza.

trzepiz
14-12-2011, 12:15
Nie mam ochoty na jakąkolwiek dyskusję o TC

to jej nie zaczynaj .. Ja używam TC od dawien dawna .. i nigdy nie miałem żadnego najmniejszego problemu. Wystarczy go dobrze skonfigurować i tyle.. A wina nie leży po stronie TC tylko użytkownika. Ja wiem, że każdy chwali swoje ale nie można jednoznacznie stwierdzić, że TC jest do d.... - to duuuże nadużycie.

nikszal
14-12-2011, 12:20
Wystarczy go dobrze skonfigurować i tyle.
Pod warunkiem, że jest aktualizowany i użytkownik potrafi go poprawnie skonfigurować.


Ja wiem, że każdy chwali swoje ale nie można jednoznacznie stwierdzić, że TC jest do d.... - to duuuże nadużycie.
Nic takiego nie napisałem. Każdy sroka swój ogonek chwali, co nie zmienia faktu, ze za większość problemów z doklejaniem kodu do strony odpowiadał TC.
Koniec dyskusji na temat TC.

neo_fox
14-12-2011, 12:37
Tak się zastanawiam jaki związek ma korzystanie z TC, który jest nota bene doskonałym programem i strasznie mi go brak pod OSX, z powyższym tematem.
Moje kochanie korzysta z TC od jednej z pierwszych wersji tego programu i nigdy nikt się nam nigdzie nie włamał.


co nie zmienia faktu, ze za większość problemów z doklejaniem kodu do strony odpowiadał TC.

Nie sądzę że nawet za 1‰ takich wypadków jest odpowiedzialny ten program.
Ciekaw jestem na jakiej podstawie opiera się Twoja wypowiedź?

nikszal
14-12-2011, 12:42
Zainfekowany komputer i zapisane hasła w pliku tekstowym TC to chyba wystarczający powód, aby internetowi bandyci mogli sobie swobodnie hasać po stronach. Przejrzyj wątki na forum związane z doklejaniem kodu do plików na serwerze właśnie dzięki TC.

Ale miało nie być dyskusji O TC.

neo_fox
14-12-2011, 15:02
Ale miało nie być dyskusji O TC.

Zabawny jesteś, w wątku w którym nie było ani słowa na temat TC ni z gruszki ni z pietruszki zaczynasz (ponownie) wyjeżdzać na ten program.
Jak ktoś Ci napisze że jest innego zdania niż Ty: "Koniec dyskusji na temat TC."


Zainfekowany komputer i zapisane hasła w pliku tekstowym TC to chyba wystarczający powód

Po pierwsze hasła w tym pliku są zakodowane ale to mniejszy szczegół.
Jak jakkolwiek hasło by było zakodowane i gdziekolwiek nie byłoby zapisane aby program mógł z tego hasła skorzystać będzie zawsze musiał być w stanie je odkodować. W takim wypadku zawsze będzie konieczny klucz gdzieś na tej samej maszynie. I jeśli na tej samej maszynie jest też inny program (wirus) mający dostęp do systemu to także ten program będzie w stanie odczytać i zdekodować to hasło. W efekcie końcowym nie ma znaczenia jak i gdzie to hasło jest zapisane.

Nie wspominając o prostym fakcie że hasło do FTP jest przesyłane do serwera także w niezakodowanej postaci więc nawet nie trzeba się męczyć i szukać pliku. Wystarczy po prostu nasłuchiwać na porcie FTP (21) i bezproblemowo odczytać hasło i dane użytkownika. Dlatego zawsze odradzam korzystania z FTP w ogóle.

Poza tym gdzie byś je chciał zapisać? W Windows Registry który to o ile dobrze pamiętam jest również plikiem tekstowym?

W gruncie rzeczy chodzi mi tylko o jeden fakt; z Twojej wypowiedzi wynika że ogromna większość tego typu włamań na serwer jest winą tego programu co jest kompletną bzdurą

Co prawda ja także nie mam żadnych statystyk ale z doświadczenia wiem że za prawie każde tego typu włamanie odpowiedzialny jest dziurawy skrypt który się na danym serwerze już znajduje oraz/lub niepoprawnie skonfigurowany serwer.

Poza tym jest to jakaś dziwna logika: masz na komputerze wirusa i TC to wina leży po stronie TC. Nie wirusa, nie programu antywirusowego, nie użytkownika który dopuścił do zainfekowania komputera ale właśnie programu Total Commander.

PeFik
14-12-2011, 15:22
@neo_fox - ma racje, ja jakoś używam TC od kilku lat i o dziwno... wszystko jest ok. Nie wspominając już o tym, że TC też się rozwija i jego nowe wersje wnoszą dużo poprawek w tym także bezpieczeństwa. Więc śmiem twierdzić, że prawda leży po środku, a jak ktoś jest deb..em i w torrentach udostępnia folder gdzie ma TC (a w nim wcx_ftp.ini) to jego wina. Bo to jest przyczyną jak już a nie wirus/trojan. Dzieci jednym słowem.

Na YouTube jest kilkanaście filmów jak włamać się do Joomla - z uwagi na "stare" luki / stare wersje , więc tutaj widać jasno, że jak ktoś zaniedbuje drzwi to wreszcie się same otworzą z hukiem!

neo_fox
14-12-2011, 15:26
ROTFL. Sorry ale nie mogłem się powstrzymać:


pożegnaj się z nim bez żalu i zainstaluj File Zilla.

To poszukaj sobie pliku sitemanager.xml i zobacz co w tym pliku jest:



bash-3.2$ cat sitemanager.xml
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<FileZilla3>
<Servers>
<Server>
<Host>192.168.100</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>neo</User>
<Pass>matrix</Pass>
<Logontype>1</Logontype>
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
<Name>Sigsiu</Name>
<Comments></Comments>
<LocalDir></LocalDir>
<RemoteDir></RemoteDir>
<SyncBrowsing>0</SyncBrowsing>Sigsiu
</Server>
</Servers>
</FileZilla3>


Faktycznie, znacznie prościej :P

neo_fox
14-12-2011, 15:28
Na YouTube jest kilkanaście filmów jak włamać się do Joomla - z uwagi na "stare" luki / stare wersje , więc tutaj widać jasno, że jak ktoś zaniedbuje drzwi to wreszcie się same otworzą z hukiem!

Dokładnie. Plus do tego dochodzą warezowe wersje komercyjnych rozszerzeń z dodatkowym kodem dostępne na różnych portalach

nikszal
14-12-2011, 15:56
W gruncie rzeczy chodzi mi tylko o jeden fakt; z Twojej wypowiedzi wynika że ogromna większość tego typu włamań na serwer jest winą tego programu co jest kompletną bzdurą

Tak napisałem? Potrafisz zacytować moje słowa, gdzie jednoznacznie wskazałem za głównego winowajcę TC?
Może to paradoks, ale przy kliencie File Zilla i innych aplikacjach FTP takich numerów nie było.


Co prawda ja także nie mam żadnych statystyk ale z doświadczenia wiem że za prawie każde tego typu włamanie odpowiedzialny jest dziurawy skrypt który się na danym serwerze już znajduje oraz/lub niepoprawnie skonfigurowany serwer.

Pretensje miej do @zwiastuna, bo to może on coś pokręcił, choć nie sądzę, aby się mylił.
http://forum.joomla.pl/showthread.php?26197-Wirus-w-Total-Commander!&highlight=wirus+w+total

neo_fox
14-12-2011, 16:27
Tak napisałem? Potrafisz zacytować moje słowa, gdzie jednoznacznie wskazałem za głównego winowajcę TC?


co nie zmienia faktu, ze za większość problemów z doklejaniem kodu do strony odpowiadał TC.

Cokolwiek miałeś w tym momencie na myśli, praktycznie każdy będzie tą wypowiedź dokładnie w ten sposób interpretować jak ja.


Pretensje miej do @zwiastuna, bo to może on coś pokręcił, choć nie sądzę, aby się mylił.
http://forum.joomla.pl/showthread.ph...=wirus+w+total

Jakoś nie widzę aby Stefan twierdził że to za większość włamań na serwery jest odpowiedzialny ten wirus. O TC nawet nie wspominająć.
Jedynie poinformował o takim wirusie.

Wirus jest, jak już pisałem amatorski bo jeśli jestem w przechwycić komunikacje pomiędzy twoim komputerem a serwerem, a jeśli uda mi się zainstalować wirusa na Twoim komputerze to zawsze będę w stanie, to mogę się dobrać do twoich danych FTP niezależnie od tego jakiego klienta FTP używasz.
Dlatego sposób zapisywania hasła jest zupełnie nieistotny. Nie widzę niczego złego w fakcie że FileZella zapisuje to otwartym tekstem, chociaż było by lepiej gdyby on był przynajmniej zapisany nieczytelnie.

Co do faktu że, jak piszesz w Twoim przypadku, częściej był problem z TC niże FilZilla może wynikać z prostego faktu że TC jest bardziej popularny.
To tak jakby pisać statystki że w Niemczech większa ilość wypadków jest z uczestnictwem niemieckich samochodów niż załóżmy francuskich i na tej podstawie wyciągać wniosek że niemieckie samochody są mniej bezpiecznie niż francuskie.

trzepiz
14-12-2011, 16:31
Pretensje miej do @zwiastuna, bo to może on coś pokręcił, choć nie sądzę, aby się mylił.
http://forum.joomla.pl/showthread.ph...=wirus+w+total

Nic nie pokręcił - faktem jest, że powstał robak, który używał wpisów TC ale w każdy soft ma luki (ostatnio walczy Adobe). Problem był, problem jest znany i tylko od użytkownika zależy jak się zabezpiecza.

Panowie .. skończmy temat TC. Każdy może mieć swoje zdanie i jak najbardziej ma prawo do jego przedstawienia ale wolałbym aby było to jego "stanowisko" w sprawie a nie odgórne stwierdzenie, że TC jest luką samą w sobie lub winę za zainfekowane witryny ponosi TC.

Skupmy się w wątku tego tematu a nie TC ..

zwiastun
14-12-2011, 16:53
Po raz kolejny powraca w gruncie rzeczy nikomu do niczego niepotrzebna dyskusja, bo wszystkie istotne argumenty już padły w niej wcześnie.
Szanując wolność wypowiedzi i poglądów, proszę @Marku, byś nie formułował więcej na forum tego typu opinii, ponieważ mogą one stawiać pod znakiem zapytania Twój profesjonalizm.
1. Nie ma doskonałych bezpiecznych programów.
2. Protokół FTP ze swej natury nie gwarantuje bezpieczeństwa, tym bardziej nie są w stanie zagwarantować go żadne programy służące do transmisji danych przez FTP.
3. Fakt, że w jakimkolwiek programie wykryto lukę, która powodowała podatność na uszkodzenia, nie dyskredytuje żadnego programu. Luka została naprawiona przez autora TC już dawno, hasła można przechowywać w postaci zaszyfrowanej, co zmniejsza ryzyko ich przechwycenia, ale go nie eliminuje.
4. Bez statystyk, z nieistotnym błędem rzędu 1% można stwierdzić, że w 99% włamań przez FTP wina leży po stronie użytkowników. Abstrach ując od argumentów ad personam: zmieniasz loginy i hasła do wszystkich kont FTP co najmniej raz w miesiącu? Ilu użytkowników tak czyni? O innych działaniach preferencyjnych nawet nie ma co mówić.
TC - póki co - był, jest i długo jeszcze będzie jednym z najlepszych menedżerów plików także do użytku w Sieci.

Na marginesie: w ogóle zbyt często na forum pozwalamy sobie na kategoryczne oceny w sytuacjach, w których nie ma ku temu żadnych podstaw. W efekcie, przepraszam za kolokwialność sformułowania, ale w oczach użytkowników robimy "idiotów" np. z autorów książek, opracowań, z wykładowców na uczelniach, nauczycieli w szkołach, itd. Tyle, że rozsądny użytkownik często potrafi właściwie zlokalizować głupotę.

@Trzepiz, to prawda? To wszystkiego najlepszego! 100 lat administrowania forum joomla.pl :)

edit: @trzepiz:// Prawda, prawda ... 100 lat to może nie .. ale jak zdrowie pozwoli to trochę jeszcze mnie tu będziecie musieli znosić... :):) - dzięki za życzenia.