Szanowni,

proszę o pomoc.

Na jednej z moich stron (Joomla w wersji 1.7.0.) zauważyłem dodany kod na stronie. O to przykład:


<div id=ln259><a href="http://www.nkpc.gr" target="_blank">συναγερμοι</a></div><script type='text/javascript'>document.getElementById('ln259').style.display='no ne';</script>

Kod pojawia się na samym dole strony, tuż przed znacznikiem </body>. Przeszukałem katalogi na serwerze, nic nie znalazłem. Jedyny katalog, na którym było ostatnio coś robione to katalog "modules", ale w nim też nic nie znalazłem. Przeskanowałem wszystkie pliki Avastem i nic.
Czy ktoś spotkał się z tego typu włamaniem na stronę? i wie jak do niego doszło? i jak pozbyć się problemu?

Pozdrawiam.

Niewykluczone, że to włamanie, ale bardziej prawdopodobne, że jest to element kodu szablonu.
Twój Joomla! wymaga natychmiastowej aktualizacji i przeglądu, czy rzeczywiście nie masz zhakowanej strony.

Witaj,

Z jakiego program korzystasz do połączenia z FTP ? TotalCommander z zapisanym hasłem ?

Zrób backup pliku i usuń ten wpis zanim się rozptrzestrzeni na inne pliki.

Ja kiedyś czyściłem ponad 1000 plików zainfekowanych w podobny sposób.

Pozdrawiam,
mikelimb

że jest to element kodu szablonu.
Usunąłem prawie wszystko w pliku index.php w szablonie, zostawiając zaledwie to:
plik index.php


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="<?php echo $this->language; ?>" lang="<?php echo $this->language; ?>" dir="<?php echo $this->direction; ?>" >
<body>
</body>
</html>

pomimo tego kod wciąż jest dodawany na stronie.
Źródło strony wygląda tak:


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl-pl" lang="pl-pl" dir="ltr" >
<body>
<div id=ln259><a href="http://www.nkpc.gr" target="_blank">συναγερμοι</a></div><script type='text/javascript'>document.getElementById('ln259').style.display='no ne';</script>
</body>
</html>

Co innego mogłoby generować dodawanie kodu w szablonie?

Zauważyłem, że kod jest dodawany tuż przed znacznikiem </body> i tylko tam. Jak usunąłem znacznik </body> z pliku index.php w szablonie to kod przestał być dodawany.

- - - Updated - - -


Z jakiego program korzystasz do połączenia z FTP ? TotalCommander z zapisanym hasłem ?
Nie. Filezilla. Hasła mam zapisane w pamięci.


Zrób backup pliku i usuń ten wpis zanim się rozptrzestrzeni na inne pliki.
Szukam ale wciąż nie znalazłem pliku, który mógłby dodawać wpis. Nie potrafię zlokalizować. FileZilla pokazuje mi, że katalog "modules" był modyfikowany 2013-03-13, czyli dzisiaj. Jak wejdę do katalogu "modules" to już nie widać, żeby jakikolwiek plik lub katalog był modyfikowany dzisiaj. Wszystko ma starszą datę.
Czy jest narzędzie do sprawdzania, które pliki lub katalogi były modyfikowane? Link "Tutaj jest skrypt który wygeneruje listę zmienianych plików" na stronie Wiki/Witryna po włamaniu niestety nie działa.

Pozdrawiam
Łukasz

Jak jak miałem taki problem to zrobiłem tak :

- ściągnąłem na dysk całą zawartość FTP (była tylko Joomla zainstalowana)
- jako, że plików było dużo napisałem swój skypt PHP który przeszukiwał zadaną lokalizację i usuwał określony wpis
- możesz również użyć Notepad ++ on ma funkcję przeszukiwania i zamiany zadanego ciągu znaków

* A może faktycznie to coś z szablonu jest ? nie było tego wcześniej ? Jak wchodzisz na stronę to antywirus krzyczy, że strona może być zainfekowana ? Google zablokował stronę ?

Pytam bo ja miałem wszystkie te objawy pozytywne - tzn. Google zablokowało stronę, antywirus krzyczał.

Pozdrawiam,
mikelimb

* A może faktycznie to coś z szablonu jest ? nie było tego wcześniej ? Jak wchodzisz na stronę to antywirus krzyczy, że strona może być zainfekowana ? Google zablokował stronę ?

Pytam bo ja miałem wszystkie te objawy pozytywne - tzn. Google zablokowało stronę, antywirus krzyczał.

To nie jest w szablonie. Sprawdziłem. I nie było tego wcześniej. Jak wchodze na stronę antywirus nic nie zgłasza. Google nie zablokowało strony.
Stronę mam dysk lokalny, przeskanowałem antywirusem i nic.
W Dreamweaverze przeszukałem ciągi znaków - nic nie znalazł. Przeszukałem również bazę danych na odpowiednie ciągi znaków - również nic.

Pozdrawiam
Łukasz

po pierwsze adres strony z problemem, po drugie na jakim serwerze stoi strona, po trzecie dlaczego Joomla 1.7 skoro aktualna wersja to 2.5.9. Na dobrą sprawę to w pierwszym poście powinieneś dostać informację że najpierw aktualizacja, później pomoc.

po pierwsze adres strony z problemem, po drugie na jakim serwerze stoi strona, po trzecie dlaczego Joomla 1.7 skoro aktualna wersja to 2.5.9. Na dobrą sprawę to w pierwszym poście powinieneś dostać informację że najpierw aktualizacja, później pomoc.
Nie mogę podać publicznie adresu strony, ze względu na klienta. To nie jest moja prywatna strona. Namawiałem klienta od dawna do przeprowadenia aktualizacji systemu, niestety nie posłuchał. Teraz są tego konsekwencje. Muszę zaczekać na decyzję klienta co dalej ze stroną.
Strona jest na serwerze nazwa.pl.

Rozumiem, że bez podglądu strony trudno będzie cokolwiek zrobić. Miałem nadzieję, że ktoś z Was miał podobny przypadek a nie został opisany na forum.

Pozdrawiam
Łukasz

A nie jest to zakodowane? Może być gdzieś zawarty dekoder i encoder i jak oglądasz źródło to masz link a wyrażenia w php nie znajdziesz.

Wysyłane z mojego Transformer TF101G za pomocą Tapatalk 2

To na pewno jest zakodowany wpis.

No więc skoro szef nie pozwala, to szef ma pecha... i powinien Ci płacić ekstra, skoro masz się zajmować przestarzałą wersją Joomla.

Poszukaj wyrażenia base64 w kodzie. Tyle, że całość nie musi być wcale obok siebie, może być w różnych plikach nawet.

Znam jeden skuteczny argument na klientów: oszczędność pozorna
Aktualizacja z J1.7 do 2.5 kosztowałaby pana 70zł, a naprawa powłamaniowa kosztuje pana min. 140zł + utracone zaufanie klientów w międzyczasie

Poszukaj wyrażenia base64 w kodzie. Tyle, że całość nie musi być wcale obok siebie, może być w różnych plikach nawet.
Wyrażenie base64 wystemuje ok. 200 razy w kodzie, w różnych miejscach, głównie w komponentach: breezingform, gcalendar, kunena, phocagallery i jce editor.

No to masz problem. bo chłopaki ci podpowiedzieli szukaj base64, i dobrze od czegoś trzeba zacząć. z tym , że większość tych wpisów z base64 jest potrzebna i bądź tutaj mądry. Jak do mnie zgłaszają się ludzie z tym problemem to w 99% korzystali z pirackich rozszerzeń, które mają furtki, nie pisze że to ty, pisze że 99%. Dla ułatwienia ci powiem, jak temat jest aktualny. jak w linii gdzie jest base64 jest png to ta częśc jest ok, ułatwieni dwa kod często jest wpisywany w określonym miejscu pliku.

A ja też się zdenerwowałem puśiły mi nerwy i zrobiłem pkazowy filmik jak piraci oszczędnośc nas zabija, elimu ma racię. tanie mięso psy jedzą.