PDA

Zobacz pełną wersję : podmienianie pliku includes/defines.php



rado85
16-05-2016, 11:36
Witam,

ostatnio dosyć intensywnie walczę z malware na moich stronach. Postanowiłem zakupić program rs firewall (p.s. jak ktoś potrzebuje pomocy to możemy razem powalczyć).

W każdym razi ejetsem troszkę zawiedizony bo mysłałem że bedzi emnie chroniło przed podmianą plików - no chyba ze ja jeszcze bardzo mało wiem o joomla co jest pradopodobne :)

w każdym razie co chwilę mam ingerencję w pliku includes/defines.php oraz w administrator/includes/defines.php

teraz w pliku includes/defines.php mam oto taką równicę co do orginału:

w linii 9 defined('_JEXEC') or die;@require_once 'components/com_content/models/forms/form.php';

a powinno być w orginalnym pliku:
defined('_JEXEC') or die;

Czy jest się czym martwić? Czy są sposoby na tą modyfikację?

znalazłem taki artykuł (http://www.mapkcode.com/news/joomla/108-how-to-prevent-and-secure-joomla-3-from-being-hacked). Może być tutaj pomocne?

zwiastun
16-05-2016, 14:25
Dopóki nie usuniesz luki w systemie, a tę masz niewątpliwie, nic Ci nie da ani usuwanie podmienionych plików ani oprogramowanie ochronne.
Przytoczony artykuł, owszem, zawiera parę elementarnych informacji i warto go przeczytać. Ale po polsku napisano na ten temat o wiele więcej i o wiele lepiej.
Sugeruję na początek wrzucić w Google "Witryna po włamaniu"

rado85
16-05-2016, 15:37
A myślałem, że już może nie ma się czym przejmować,
dzięki!

etitek
17-05-2016, 11:14
Przede wszystkim odinstaluj wszystko co ci jest niepotrzebne. Nie trzymaj komponentów, pluginów, modułów z których nie korzystasz. Sprawdź gdzie może być luka i albo ja załataj albo odinstaluj ten dodatek co ma lukę. Jak znajdziesz jakieś pliki lub kody przeszukaj wszystkie pliki przez ftp i posprzątaj.

robak142
17-05-2016, 14:47
a jak już sobie z tym poradzisz to napisz dla potomnych co było przyczyną i jak sobie z tym poradziłeś. Przyda się innym.

rado85
19-05-2016, 08:12
Witajcie.

dzięki że się interesujecie.

Niestety nie wiem jak sobie z tym poradzić. to o czym pisze elitek robi mi rs firewall. Poskanował nieorginalne pliki joomla, zasyfionione skrypty i wszystko poczyściłem. Mimo to wrzuca mi się ten nieszczęsny defines.php i z tą linijką defined('_JEXEC') or die;@require_once 'components/com_content/models/forms/form.php';

Dokupiłem admin tools, ale w sumie nic nie pomogło. Niby lepiej chroni witrynę, dostaję alerty jak ktoś próbuje na admina wejść i zaraz blokuje (mnie zablokowało kilka razy :) )

U hostingodawcy home.pl dowiedziałem się że nie ma żadnych logów napisali jedynie:
"jedyna możliwość, która pozostaje to modyfikacja przez ssh/sftp, lub wykonanie operacji przez skrypt php na serwerze, dla ssh operacji nie logujemy w żaden sposób, również dla procesów przeprowadzanych przez skrypty".

Także pewnie jakiś skrypt to wykonuje. Czy może być tak że ta modyfikacja to nic poważnego tylko powstaje w wyniku normalnego działania witryny ?

mjmartino
19-05-2016, 08:48
A podstawowe czynności jak zmiana haseł ftp/mysql/user ?

rado85
19-05-2016, 12:22
No tak, tylko tak jak pisałem, tego nie widać w żadnych logach więc to chyba kwestia jakiś skryptów które już tam są na serwerze. Zaznaczam, ze ze stronka nic mi się nie dzieje. Już największy syf wywaliłem, chodzi wszystko dobrze. Tylko nie daje mi spokoju czemu ten jeden plik się wrzuca. I te firewalle, admin tools, rs firewall przed tym nie bronią.

robak142
19-05-2016, 16:48
Tak jak napisał @zwiastun jeżeli masz lukę, to kwestia czasu, jak problemy wrócą. Po tym co napisałeś wnoszę, że może to być luka w którymś z modułów, pluginów lub w jakimś komponencie. Pomyśl co instalowałeś ostatnio i z jakiego źródła. Upewnij się, że wszystkie dodatki są aktualne.

rado85
19-05-2016, 17:09
Admin tools wyrył mi jakies dziwne wejście na



/component/mailto/?tmpl=component&template=gantry&link=eea745aac6a09dcbe96f758cb632dfb90a90b34b




Więc jakby to było gdzieś powiązane, bo ta zmiana w defines.php odwołuje się do jakiegoś formularza kontaktowego.

Więc wychodzi jakby to było gantry.

robak142
19-05-2016, 17:23
Może tak, może nie. Najpierw odpowiedz na pytania innych userów wątku. Czy masz wszystko aktualne? Jakie 3rd party dodatki zainstalowane, czy zmieniłeś hasło ftp, itd... Postaram się pomóc.

rado85
21-05-2016, 05:53
No więc sprawa wygląda dosyć banalnie,

trzeba było usunać plik, który był wywoływany przez ten skrypt w defines.php - czyli: components/com_content/models/forms/form.php
w oryginalnej joomla, nie ma takiego pliku.

A doszedłem do tego dzięki stronie myjoomla.com gdzie można przeprowadizć audyt witryny - pierwszy jest za free. A dowiedziąłem się o tym, dzięki pomocy technicznej admin tools.

Także, polecam tą witrynę osobom które mają jakieś problemy z malware itp. A rs firewall czy admin tools to takie rzeczy, które mają zapobiec wgraniu tych plików na serwer przez nieupoważnione osoby. Szkoda, że te komponenty w skanerze malware nie wykryły mi tego pliku.

Hansolo
30-11-2016, 23:20
witam,

mam pytanko, RS Firewall wykrył mi ze index.php i katalog administrator byb atakowany ale powstrzymal wejscie,
ja to bywa z botami i ok, ale patrzyłem sobie do logów(w panelu RS Firewalla w Joomli) jest pare logów i se dalem "blokuj"
i teraz cala strona nie chodzi:
403: Access Forbidden bo RS Firewal zablokowal mi strone

wiecie jak włączyć spowrotem strone, przez ftp moze?

Bazyl
30-11-2016, 23:34
Cześć,


zablokowałeś siebie ;-)
W bazie danych, w tabeli RS usuń wiersz ze swoim IP

Hansolo
30-11-2016, 23:56
a fakt, dzieki :)
znalazłem sposób taki też:

www.rsjoomla.com/support/... (https://www.rsjoomla.com/support/documentation/rsfirewall-user-guide/frequently-asked-questions/i-cannot-access-my-administration-section.html)

Hansolo
01-12-2016, 23:28
RS Firewall znalazł mi kilkaset pików php z kodem dziwnym (malware)
szkoda ze RS Firewall nie umożliwia edycji, musze cofac sie przez ftp,

pocieszające jest to ze w każdym zarażonym pliku php jest identyczny "virus kod" o takiej samej dlugosci np:

administrator/components/com_weblinks/views/weblink/view.html.php
Possible PHP Injection - Obfuscated code chr((387-267))

administrator/components/com_weblinks/views/weblinks/tmpl/default.php
Possible PHP Injection - Obfuscated code chr((387-267))

administrator/components/com_weblinks/views/weblinks/tmpl/default_batch.php
Possible PHP Injection - Obfuscated code chr((387-267))

i tak razy 500 :)

ma ktos jakis pomysl? moze jakis plugin automatyczny do plikow php w Joomla zeby to wywalic (nie ręczenie) ?

Bazyl
02-12-2016, 12:34
Już ktoś Ci to pisał: tracisz czas na usuwanie skutków, a nie usuwasz przyczyny...

Hansolo
02-12-2016, 17:37
to bym musial wywalic cale np. JCE i duzo komponentów przeinstalować, chyba tak zrobie, albo cala joomle,
:)

Kusy
03-12-2016, 13:25
Jest bardzo prosty, wręcz banalny sposób zmiany nadpisanych plików na poprawne. Wystarczy na nowo wrzucić przez ftp pełną wersję Joomla z opcją zamiany plików.
Ale tak jak już Ci to kilka osób pisało to jest tylko usunięcie skutków (które za chwilę wrócą) a nie przyczyny. Przyczyna nigdy nie będzie leżała w nadpisanych plikach.

Hansolo
03-12-2016, 20:47
akurat o tym to wiem,

niestety sama nowiutka Joomla moze byc juz dziurawa z nowym JCE,
to ze wszystko jest na nowych updatach nie zabezpieczy Joomla, musi byc firewall i pare innych rzeczy :)

zwiastun
03-12-2016, 22:30
niestety sama nowiutka Joomla może być już dziurawa z nowym JCE
Tyle lat pracy z Joomla i takie bzdety wypisujesz!
Owszem, zdarzało się i może się zdarzyć, że gdzieś siedzi jakaś niewykryta luka (jak kiedyś w 1.5.26 czy choćby ostatnio w jądrze Linuksa), ale to żadne uzasadnienie dla wyrażonego w przytoczonym zdaniu twierdzenia.
Masz problem z niewykrytą przyczyną powtarzających się włamań. I to nie jest ani luka w Joomla, ani luka w JCE, skoro masz nowe wersje Joomla i JCE.
I masz dwie możliwości - szukać, aż znajdziesz i naprawisz, albo oddać sprawę w ręce specjalisty.
A póki co nie zrobiłeś wszystkiego, co zrobić można. Gdybyś zrobił, to dotarłbyś do źródła, a nie "fanzolił" od rzeczy.
Dowód, że nie zrobiłeś wszystkiego? Wciąż trzymasz Joomla na tym samym serwerze. Nie twierdzę, że przeniesienie witryny w inne środowisko rozwiążę problem w 100% (bo dziura / backdoor) wciąż będzie, ale przynajmniej napastnik będzie musiał raz jeszcze pokonać zabezpieczenia serwera. Teraz niczego nie musi. Zmiana środowiska jest w przypadku uporczywych ataków jednym ze standardowych kroków metodyki postępowania po włamaniu.

Hansolo
03-12-2016, 22:42
do mnie piszesz? chyba sie mylisz kolego,

zwiastun
03-12-2016, 23:07
niestety sama nowiutka Joomla moze byc juz dziurawa z nowym JCE,
A to ja to napisałem?
Ale skoro nie chcesz przyjąć kolejnej porady, to przecież nie musisz. Ty masz problem, a nie Ci, którzy próbują Cię wesprzeć.

Hansolo
03-12-2016, 23:27
nie o to chodzi bo przyjmuje porady od innych,
lecz samotna Joomla "czysta" i paroma dodatkami i tak nie jest super bezpiecznym środowiskiem sam wiesz, trzeba firewalle, scany, klucze podwójnie itp, malo dodawków, blokowanie IP krajów, duzo kopii,
sorry ale wracam do odwirusowania plików itp,

zwiastun
03-12-2016, 23:40
To, że potrzebne są zabezpieczenia, to oczywiste. Lecz one nie są potrzebne dlatego, że Joomla jest dziurawy lub że JCE jest dziurawy, ale dlatego że nie zostawia się klucza pod wycieraczką na dodatek z kartką na drzwiach, gdzie ten klucz jest :)
Powodzenia.

Gall Anonim
04-12-2016, 01:09
@Hansolo - WP jest tak samo podatny na włamania jak Joomla a zabezpieczyć można dużo lepiej.