Dzień dobry,

Kilkanaście stron na serwerze nazwy zostało zainfekowanych MW:JS:GEN2?web.js.malware.fake_jquery.002 - w pliku index.php szablonu pojawił się link jquery.

przeglądając zainfekowane pliki zauważyłem pewną prawidłowość, otóż:

- strony bez dostępu do bazy danych i swojej własnej domeny również zostały zainfekowane,
- zainfekowało wszystkie pliki szablonów (te standardowe i używany customowy)
- zainfekowało wszystkie joomle od 2.5 po 3.5

- po przeniesieniu na inny testowy serwer nazwy ( założona na 2 tygodnie testowa wersja ) kilku zainfekowanych stron one pozostały czyste. Na innym serwerze innego dostawcy również.
- niestety na tym serwerze nie dało się ich trzymać tam cały czas bo w każdej chwili mogliby je usunąć.
- jedna z głównych stron została wiec przeniesiona na drugi serwer klienta (również serwer nazwy), tam strona nie wytrzymała nawet 24h.
- dostawca nie współpracuje, wysyła listę 100 000 plików "do sprawdzenia" i zadowolony, przy okazji określając iż "to mogą być nie wszystkie" - na serwerze jest około 450 000 plików.


i teraz pytania:

1. czy wiecie może które pliki/dodatki mogą być wrażliwe na ten wirus?
2. dlaczego na serwerze testowym działały (ten sam dostawca) a na 2-gim serwerze klienta padła po 24h?
3. macie jakieś pomysły jak się pozbyć tego ustrojstwa i co sprawdzić przed ew przeniesieniem na inne serwery?

Pozdrawiam,
Szymon.

ps. dodam iż porównałem zainfekowaną stronkę z backupami sprzed miesiaca za pomocą winmerge i różnice zobaczył tylko w plikach:

\administrator\includes\defines.php
\includes\defines.php
oraz
\templates\nazwaskorki\index.php

czy wiecie może które pliki/dodatki mogą być wrażliwe na ten wirus?

Wszystkie nieaktualne dodatki.

kolego mam to samo. strona na nazwie kilkakrotnie zainfekowana tez fake_jquery. jakieś 2 tygodnie temu przeniosłem ją do linuxpl. Oczywiście nowa czysta wersja, zabezpieczona rsfirewall i jak na razie cisza. powodzenia ! daj znać do czegoś dojdziesz.

Witajcie,

Wczoraj zakończyłem przenoszenie stron z nazwa.pl na inny serwer - smarthost. Zrobiłem to za radą użytkowników joomli na fb, gdyż w swoich elementach serwer ma ciekawe rozwiązanie, a mianowicie antywirus rozpoznający co za szkarada siedzi i gdzie siedzi. Antywirus w momencie rozpakowywani backupu pokazał mi dość sporo plików:


/administrator/includes/defines.php
/includes/defines.php
/index.php




/images/sampledata/parks/db15.php
/images/sampledata/fruitshop/cgi-15f.php
/images/partnerzy/search.php
/images/partnerzy/functions.php
/images/phocagallery/biurowiec_c_sale/thumbs/system.php


/layouts/joomla/html/formbehavior/chosen.php


/media/system/file.php




/libraries/phputf8/utils/position.php
/libraries/fof/form/field/url.php
/libraries/fof/form/form.php
/libraries/import.php
/libraries/simplepie/Jpie.php
/libraries/joomla/connect.php
/libraries/fof/utils/cache/ini.php
/libraries/sql.php




/plugins/system/news.php
/plugins/editors-xtd/index.php


Co najważniejsze, backupy stron z początku MAJA miały infekcję w sobie (błędnie założyłem że backupy z maja były czyste i porównywałem zawartość najnowszej z coraz starszą wersją - a że backupy ni były robione przez firmę z ochotą skutek był jaki był ), a sam wirus uaktywnił się dopiero pod koniec maja.

Kilka stron wróciło tymczasowo na nazwę żeby można było zgrać pocztę a potem wszystko przeniosę na nowego hosta.

Póki co polecam serwer smarthost. W razie czego napiszę tu jeszcze za parę dni czy infekcja wróciła czy już jest spokój.

Pozdrawiam,
Szymon.