theudulf
19-06-2016, 12:44
Dzień dobry,
Kilkanaście stron na serwerze nazwy zostało zainfekowanych MW:JS:GEN2?web.js.malware.fake_jquery.002 - w pliku index.php szablonu pojawił się link jquery.
przeglądając zainfekowane pliki zauważyłem pewną prawidłowość, otóż:
- strony bez dostępu do bazy danych i swojej własnej domeny również zostały zainfekowane,
- zainfekowało wszystkie pliki szablonów (te standardowe i używany customowy)
- zainfekowało wszystkie joomle od 2.5 po 3.5
- po przeniesieniu na inny testowy serwer nazwy ( założona na 2 tygodnie testowa wersja ) kilku zainfekowanych stron one pozostały czyste. Na innym serwerze innego dostawcy również.
- niestety na tym serwerze nie dało się ich trzymać tam cały czas bo w każdej chwili mogliby je usunąć.
- jedna z głównych stron została wiec przeniesiona na drugi serwer klienta (również serwer nazwy), tam strona nie wytrzymała nawet 24h.
- dostawca nie współpracuje, wysyła listę 100 000 plików "do sprawdzenia" i zadowolony, przy okazji określając iż "to mogą być nie wszystkie" - na serwerze jest około 450 000 plików.
i teraz pytania:
1. czy wiecie może które pliki/dodatki mogą być wrażliwe na ten wirus?
2. dlaczego na serwerze testowym działały (ten sam dostawca) a na 2-gim serwerze klienta padła po 24h?
3. macie jakieś pomysły jak się pozbyć tego ustrojstwa i co sprawdzić przed ew przeniesieniem na inne serwery?
Pozdrawiam,
Szymon.
ps. dodam iż porównałem zainfekowaną stronkę z backupami sprzed miesiaca za pomocą winmerge i różnice zobaczył tylko w plikach:
\administrator\includes\defines.php
\includes\defines.php
oraz
\templates\nazwaskorki\index.php
Kilkanaście stron na serwerze nazwy zostało zainfekowanych MW:JS:GEN2?web.js.malware.fake_jquery.002 - w pliku index.php szablonu pojawił się link jquery.
przeglądając zainfekowane pliki zauważyłem pewną prawidłowość, otóż:
- strony bez dostępu do bazy danych i swojej własnej domeny również zostały zainfekowane,
- zainfekowało wszystkie pliki szablonów (te standardowe i używany customowy)
- zainfekowało wszystkie joomle od 2.5 po 3.5
- po przeniesieniu na inny testowy serwer nazwy ( założona na 2 tygodnie testowa wersja ) kilku zainfekowanych stron one pozostały czyste. Na innym serwerze innego dostawcy również.
- niestety na tym serwerze nie dało się ich trzymać tam cały czas bo w każdej chwili mogliby je usunąć.
- jedna z głównych stron została wiec przeniesiona na drugi serwer klienta (również serwer nazwy), tam strona nie wytrzymała nawet 24h.
- dostawca nie współpracuje, wysyła listę 100 000 plików "do sprawdzenia" i zadowolony, przy okazji określając iż "to mogą być nie wszystkie" - na serwerze jest około 450 000 plików.
i teraz pytania:
1. czy wiecie może które pliki/dodatki mogą być wrażliwe na ten wirus?
2. dlaczego na serwerze testowym działały (ten sam dostawca) a na 2-gim serwerze klienta padła po 24h?
3. macie jakieś pomysły jak się pozbyć tego ustrojstwa i co sprawdzić przed ew przeniesieniem na inne serwery?
Pozdrawiam,
Szymon.
ps. dodam iż porównałem zainfekowaną stronkę z backupami sprzed miesiaca za pomocą winmerge i różnice zobaczył tylko w plikach:
\administrator\includes\defines.php
\includes\defines.php
oraz
\templates\nazwaskorki\index.php