Witam,

Otrzymaliśmy zgłoszenie wysyłki spamu z konta daron210. Wysłano ponad 4000 wiadomości. W pierwszej kolejności proszę przeskanować komputer programem antywirusowym, wykonać aktualizację systemu oraz wszystkich programów (Adobe Flash, Reader czy też Total Commander i inne). Następnie proszę pozmieniać wszystkie hasła dostępowe (także do kont pocztowych) i nigdzie ich nie zapisywać. Możliwe że trojan/robak wykradł hasło z komputera i przez FTP pozmieniał pliki na koncie. Inna opcja to dziurawe (stare, od dawna nieaktualizowane) skrypty stron. Sprawdzenie tego trzeba zlecić osobie, która wykonywała strony lub programiście. Proszę także zapoznać się ze stroną: http://wir.vdl.pl .

Lista podejrzanych plików i katalogów z plikami:
{HEX}php.base64.v23au.185 : /home/daron210/domains/daron210.idl.pl/public_html/administrator/manifests/files/menu98.php
{HEX}base64.inject.unclassed.7 : /home/daron210/domains/daron210.idl.pl/public_html/administrator/modules/mod_latest/tmpl/567427be55b39.php
{HEX}base64.inject.unclassed.7 : /home/daron210/domains/daron210.idl.pl/public_html/components/com_vitabook/assets/editor_plugins/vitabookvideo/567427be55a88.php
{HEX}base64.inject.unclassed.7 : /home/daron210/domains/daron210.idl.pl/public_html/modules/mod_djimageslider/assets/slimbox/js/567427be55bc4.php

Nie przypominam sobie takich plików na serwerze jak menu98, 567427be55a88.php oraz 567427be55bc4.php

Przeskanowałem te pliki Defenderem nie znalazł nic antywirusem na stronie stwierdził że jest to Trojan (menu98)
http://forum.joomla.pl/attachment.php?attachmentid=8542&stc=1

Jest to potrzebny plik muszę go naprawić czy porostu usunąć ?
Jeśli ktoś jest w stanie mi podpowiedzieć i pomóc to z góry dziękuje bardzo społeczności :)

Sprawdź daty modyfikacji plików podanych przez administracje linuxpl.com, dodatkowo możesz poprosićadminów o listę ostatnio zmodyfikowanych plików. Podaj też dokładną wersję Joomla.

Data modyfikacji 20 styczne 2015 wersja joomla to 3.4.7 przed teraz 3.4.8

@dar_on - witryna zawirusowana - temat standardowy od trzech tygodni
Sporo informacji tak na forum jak i FB

- - - Updated - - -

aaa - pliki zmodyfikowane i wirusa nie koniecznie muszą mieć datę z ostatnich trzech tygodni

Pliki o których pisałem najpierw skopiowałem na dysk twardy a następnie usunąłem z serwera na chwilę obecną nie widzę błędów na stronie
Podczas pobierania plików na dysk musiałem wyłączyć antywirusa bo usuwał natychmiast te pliki

Zacznij lekturę od tego wątku: http://forum.joomla.pl/showthread.php?81739-Nadpisywane-pliki-php-wirusy

Miałem tego samego wirusa na tym samym serwerze.

Usuwałem to ręcznie i od kilku dni czysto.

W linku masz zapisane kroki co wykonywałem.

Wszystko ręcznie usunąłem zrobiłem aktualizację i wszystko gra Czas pokaże jak długo będzie ok

"Chcę oglądać twoje logi, logi, logi, logi" tralalala :)
Przejrzyj logi zobacz czy w okolicach pierwszego wywołania danego pliku .php nie znajduje się POST z wywołaniem innego pliku. Zerknij tam dla pewności.

Poza naprawą www zgłoś na policję. Pomijanie tej kwestii pomaga im i utwierdza w bezkarności.

Wysłane z mojego QUANTUM_2_400 przy użyciu Tapatalka

Cześć!
@palyga007
Mam ten sam problem. Hosting wskazał mi plik title13.php, który wysyłał spam. W logach wielokrotnie pojawia się ten plik, ale same logi niewiele mi mówią. Widzisz tu coś?
http://imgur.com/PL0SaWs

@wojti99 w logach masz wielokrotne żądania typu POST do tego pliku. To wygląda już na etap wysyłki spamu. Najważniejsze byłoby ustalenie jak doszło do włamania, wyczyszczenie strony i dodanie ochrony.

@wojsmol Jak doszło? Wielu ludzi ma problem na forum, pewnie ta sama przyczyna. Jak wyczyścić? Ten plik usunąłem, ale wiadomo czy nie ma ich więcej?

@wojti99 zapoznaj się z tym artykułem (http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu) Przyczyn włamania może być wiele, kilka najpopularniejszych:
stare od dawna nieaktualizowane wersje Joomla,
stare, nieaktualizowane wersje rozszerzeń,
wycieki haseł do FTP,
wycieki lub złamanie słabych haseł do zaplecza Joomla.

Przy czyszczeniu strony po włamaniu możesz pomocniczo wykorzystać https://myjoomla.com/ (1 audyt za darmo)
Natomiast po wyczyszczeniu warto zainteresować się jakimś komponentem do zabezpieczeń np Admin Tools (https://www.akeebabackup.com/products/860-admin-tools-core-vs-professional.html)

@wojsmol Czy reinstalacja Joomli jest konieczna? Czy może samo wyczyszczenie plików, które wskazał mi hosting + aktualizacja wszystkiego do najnowszej wersji i istalacja dodatkowej ochrony?

@wojti99 - czy byłeś łaskaw zapoznać się ze wskazanym Ci artykułem: http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu?

Pytanie wskazuje, że nie byłeś. Zatem przeczytaj.
A jeśli się zapoznałeś, to zastosuj się do zawartych w nim instrukcji.
Jeśli są to zadania dla Ciebie za trudne bądź czasochłonne, możesz je powierzyć specjalistom. Za kilkaset złotych wykonają niezbędną pracę.

Słuchajcie, zrobiłem tak jak kazano:
- wywaliłem starą Joomlę
- wgrałem najnowszą+zaktualizowałem templatkę
i nadal wgrywają się pliki php. które wykrywam dzięki codziennym sprawdzaniu pliku wypier.php

Sprawdziłem logi z nocnego wgrania plików - logi znajdują się tutaj:
http://pastebin.pl/view/79d7c3c5

Ktoś ma pomysł, jakie kroki mam dalej poczynić ?

Father23

Nie wykonałeś zapewne całej procedury.
możliwości
- niepełne czyszczenie (wypier.php - może pomóc ale wykrywa tylko modyfikacje z oznaczonym czasem - nie wykrywa złośliwego kodu, a zmiany mogą być dokonane bez zmiany identyfikatora czasu /da się zrobić/)
- niezmienione hasła /klient/hosting/ftp/BD (stawiam na to że w tym konkretnym przypadku BD albo masz ftp w konfiguracji witryny - ale to tylko gdybanie)
- inna - zawirusowana strona na hostingu
- kod ataku jest standardowy z ukierunkowaniem na Joomla 3.1.x do 3.4.4 - tak więc ewidentnie - widzisz efekt nie usuwając faktycznej przyczyny
Co możesz zrobić?
Próbować dalej i szukać błędów w swoim działaniu lub zlecić aby ktoś znający temat wykonał to za ciebie - czyli - dział zleceń.

Ponowne włamanie na serwer
Wyczyszczone i poprawiono co dałem radę
W Panelu Administracyjnym mam mały bałagan i na samym dole błąd

Warning: require(/home/daron210/domains/daron210.idl.pl/public_html/administrator/modules/mod_latest/tmpl/default.php) [function.require (http://revelca.eu/administrator/function.require)]: failed to open stream: No such file or directory in /home/daron210/domains/daron210.idl.pl/public_html/administrator/modules/mod_latest/mod_latest.php on line 16

Fatal error: require() [function.require (http://revelca.eu/administrator/function.require)]: Failed opening required '/home/daron210/domains/daron210.idl.pl/public_html/administrator/modules/mod_latest/tmpl/default.php' (include_path='.:/usr/local/php/p53/lib/php') in /home/daron210/domains/daron210.idl.pl/public_html/administrator/modules/mod_latest/mod_latest.php on line 16
http://forum.joomla.pl/attachment.php?attachmentid=8564&stc=1

Nie wykonałeś zapewne całej procedury.

:-)

Możesz się z tym dalej barować, albo zlecić :-)

dar_on Brakuje Ci pliku /domains/daron210.idl.pl/public_html/administrator/modules/mod_latest/tmpl/default.php - dorzuć z pakietu instalacyjnego Joomla! w odpowiedniej wersji.

Dziękuje bardzo - Dodaj punkt poleciało :)