PDA

Zobacz pełną wersję : Infekcja: JS:Injection-A [Trj]



w.magdziak
15-12-2015, 11:44
Czy jest jakiś inny sposób na wyczyszczenie witryny bez komiczności przywracania kopii zapasowych serwisu?
Komunikat AVAST:
URL: https://www.######.pl/|{gzip} - nazwa strony w raporcie
Infekcja: JS:Injection-A [Trj]

Raport ze skanowania:
https://www.siteguarding.com/antivirus/viewreport?report_id=8cd9be43fe0c9fab0a3ca98bdbc94 26b

Gall Anonim
15-12-2015, 12:21
Jest ale wymaga znajomości tematu - to raz.
Pliki wskazane przez skan najprawdopodobniej nie są jedynymi zainfekowanymi - akurat to chodzi w zstawie z innymi - to dwa.
Pytanie należy zadać raczej o przyczynę udanego ataku a nie o efekt - to co pokazuje skan to efekt - naprawisz - dość proste działanie - wystarczy nadpisać orginalnymi - ale za dzień, dwa będzie to samo - i tutaj należy znaleźć przyczynę - to trzy.

w.magdziak
15-12-2015, 13:12
Zdecydowanie przyczyna jest najistotniejsza. Zaatakowano Joomla w kilku wersjach 2.5 i 3.X. Sugestie jak szukać "dziury"? Jak zabezpieczyć przed powtórką poza wymianą haseł wszędzie gdzie to możliwe.

grześko
15-12-2015, 13:45
Wymiana haseł nie pomoże.
Jak wcześniej napisał Gall Anonim - szukaj przyczyny.
Mnie w podobnej sytuacji pomógł kiedys support mojego hostingu - wskazali które rozszerzenie do J! wpuściło atak.
Sam możesz sprawdzić logi (jeśli masz/masz do nich dostęp) - zwłaszcza serwera WWW.
Może pomocą będzie ten topic: link (http://forum.joomla.org/viewtopic.php?f=714&t=893593)

Sprawdź co się zmieniło w tych plikach (kod wirusa) i ... próbuj googlać ;)

Gall Anonim
15-12-2015, 19:22
Zaatakowano Joomla w kilku wersjach 2.5 i 3.X.
Gratulacje - oznacza to tylko tyle że masz gościa na serwerze a nie jednej witrynie.
Klasycznie.
Zamiana wszystkich haseł dostępu do serwera.
Nie używać jako klienta ftp TotalCommandera
Nie zapisywać haseł ftp w żadnym kliencie ftp
Przeskanować kompy mające dostęp do witryn lub ftp - zabezpieczyć.
Włączyć separację katalogów - jeżeli hostingodawca nie oferuje takiej możliwści - zmienić hostingodawcę.
Dezaktywować wszystkie witryny.
Wyczyścić każdą witrynę po kolei jednocześnie wszystko aktualizując, łatając i zakładając na witryny zabezpieczenia, sprawdzając strukturę haseł, nazw użytkowników itd, itp
Sorki - ale masz dział postępowanie po włamaniu - tam jest reszta - to co należy zrobić dodatkowo - opisałem powyżej.

grześko
15-12-2015, 23:18
Zamiana wszystkich haseł dostępu do serwera.
Nie używać jako klienta ftp TotalCommandera
Nie zapisywać haseł ftp w żadnym kliencie ftp
Przeskanować kompy mające dostęp do witryn lub ftp - zabezpieczyć.

Bezpieczeństwo bezpieczeństwem ale może nie ogłaszajmy stanu klęski żywiołowej nie znając więcej szczegółów.
Może nie używa TC, może używa SFTP, może nie jest w stanie fizycznie zabezpieczyć kompów mających dostęp po FTP.
Spokojnie, bo nerwowymi ruchami można zatrzeć ślady a okaże się, że porywamy się z armatą na wróbla.

Przede wszystkim faktycznie wyłączyć strony zainfekowane, bo wydaje mi się, że wciąż działają.
Po drugie - poprosić o pomoc support hostingu i sprawdzić logi. Jeśli support się wypnie - faktycznie myśleć o zmianie hostingu.
Moim zdaniem przypadek analogiczny do mojej historii - hosting współdzielony, kilka domen/serwisów na jednym koncie hostingowym - faktycznie z brakiem separacji katalogów, ale wydaje mi się, że dziura w jednym z nieaktualnych/trefnych rozszerzeń.

Dajmy człowiekowi szansę zablokować strony i sprawdzić co się stało.

Gall Anonim
16-12-2015, 01:36
@grześko - powodzenia na nowej dordze życia :-) Skoro wydaje ci się :-)

w.magdziak
16-12-2015, 07:36
Jestem w trakcie oględzin, szkód itd. ale zastanawia mnie tylko dlaczego Avast blokuje wszystkie serwisy nawet te w których sprawdziłem, że w ostatnich tygodniach nie było żadnych modyfikacji plików w katalogach?

Gall Anonim
16-12-2015, 11:09
Ponieważ tak się składa że:
niektóre kody reagują jak bomba z opóźnionym zapłonem i aktywuje je konkretna data lub wydarzenie na witrynie (niekiedy naturalne, niekiedy wywolane zewnętrznie) - wspominałem na forum o takich przypadkach. Są też takie "gapy" że serwer nie widzi faktycznej daty tylko zadaną przez skrypt.
Tak że nie widzę w tym nic szczególnego po za tym że akurat AVAST czasami się po prostu bezsensownie czepia bo niektóre z kodów nie będących złośiliwymi skryptami interpretuje jako takowe.
Pzdr

grześko
16-12-2015, 11:48
@Gall Anonim - dziękuję, powodzenie zawsze się przyda, na każdej drodze :)

A że moja obecna droga życia nie jest krótka, a co za tym idzie doświadczenie też jakieś jest - więc staram się trzymać zasady, że jeśli daję rady - to na poziomie szczegółowości adekwatnym do poziomu szczegółowości opisu sytuacji i jej kontekstu.
Jeśli ktoś inny opisze sytuację i jej otoczenie tylko tak, jak do tej pory @w.magdziak - to też napiszę "wydaje mi się", a nie będę autorytatywnie rzucał porady może i dobre, ale w tym momencie na wyrost.

Gall Anonim
16-12-2015, 11:59
Właśnie pozwoliłeś sobie na autrytatywną ocenę w temacie którym coś ci wię wydaje o o kimś o kim coś ci się wydaje - nigdy nie wiesz kogo masz po drugiej stronie i jaka jest jego (moja) droga - spraw mi proszę przyjemność i przstań oceniać a skup się na problemie samym w sobie.
Tę część dyskusji zasadniczo uważa za zbędną i przy próbie kontynuacji wywalę do kosza - jak masz konkretną radę to pisz - jak bawisz się w ocenianie - to isz na innym forum.