kamilmaszczyk
14-10-2016, 00:12
Od początku sierpnia mam problem ze stroną która została zainfekowana i rozsyła spam z fikcyjnych kont pocztowych.
Zainfekowane pliki posiadają trojana PHP/Kryptik.BC.
Co jakiś czas tworzone są nowe pliki i tak np zainfekowane były pliki:
administrator\manifests\files\AkeebaStrapper\sessi on.php
modules\mod_articles_archive123\tmpl\javascript.ph p
modules\mod_cssmap_poland\menu.php
modules\mod_jdownloads_most_recently_downloaded\tm pl\dir.php
modules\mod_jdownloads_latest\archive.php
components\com_config\category.php
components\com_storelocator\stats.php
components\com_hwdmediashare\viewme.php
\components\com_finder\archive.php
\administrator\components\com_languages\dxprocess. php
administrator\components\com_contenthistory\helper s\help6312.php
administrator\components\com_finder\models\error42 .php
Strona stoi na home.pl
Jak się home zorientowało wysłało nam takiego maila
Pragnę poinformować, iż analiza działania Państwa usługi świadczy o obecności na serwerze FTP
skryptów realizujących nieautoryzowaną wysyłkę wiadomości spamowych.
Przyczyną zaistniałej sytuacji jest najprawdopodobniej nieaktualna wersja oprogramowania CMS (np. Joomla, Wordpress) na Państwa serwerze.
Ze względu na globalną dostępność kodu, aplikacje te są szczególnie podatne na włamania. Częstym przypadkiem infekcji serwisu szkodliwym
oprogramowaniem, są błędy w tych skryptach lub komponentach, najczęściej nieautoryzowanych. Dlatego też ich autorzy publikują poprawki do tego typu
gotowych rozwiązań eliminujące możliwość powstania ponownie takich sytuacji. Warto zatem pamiętać o cyklicznych uaktualnieniach oprogramowania w
przyszłości. Sugerujemy również zapoznać się z informacjami dostępnymi na forach internetowych dla wykorzystywanych aplikacji.
Aby zmniejszyć ryzyko wystąpienia opisywanej sytuacji oraz zmniejszyć obciążenie serwera pocztowego, zmuszeni byliśmy administracyjnie zablokować
wykonywanie skryptów wskazanych poniżej:
/stronawww/templates/kflex/layouts/stats.php
Jak również zablokowana została możliwość wysyłania wiadomości email ze skryptów.
Prosimy zatem o wykonanie audytu bezpieczeństwa Państwa skryptów (usunięcie luk w ich bezpieczeństwie i aktualizację do najnowszych wersji).
Po tym mailu, przywróciliśmy czystą instalacje strony zaktualizowaliśmy joomle, php i wszystkie rozszerzenia, zmieniliśmy hasła dostępowe, jednakże problem co jakiś czas się pojawia.
Po ok 4 dniach spokoju problem wraca.
Proszę o sugestę co jeszcze mozna zrobić.
Zainfekowane pliki posiadają trojana PHP/Kryptik.BC.
Co jakiś czas tworzone są nowe pliki i tak np zainfekowane były pliki:
administrator\manifests\files\AkeebaStrapper\sessi on.php
modules\mod_articles_archive123\tmpl\javascript.ph p
modules\mod_cssmap_poland\menu.php
modules\mod_jdownloads_most_recently_downloaded\tm pl\dir.php
modules\mod_jdownloads_latest\archive.php
components\com_config\category.php
components\com_storelocator\stats.php
components\com_hwdmediashare\viewme.php
\components\com_finder\archive.php
\administrator\components\com_languages\dxprocess. php
administrator\components\com_contenthistory\helper s\help6312.php
administrator\components\com_finder\models\error42 .php
Strona stoi na home.pl
Jak się home zorientowało wysłało nam takiego maila
Pragnę poinformować, iż analiza działania Państwa usługi świadczy o obecności na serwerze FTP
skryptów realizujących nieautoryzowaną wysyłkę wiadomości spamowych.
Przyczyną zaistniałej sytuacji jest najprawdopodobniej nieaktualna wersja oprogramowania CMS (np. Joomla, Wordpress) na Państwa serwerze.
Ze względu na globalną dostępność kodu, aplikacje te są szczególnie podatne na włamania. Częstym przypadkiem infekcji serwisu szkodliwym
oprogramowaniem, są błędy w tych skryptach lub komponentach, najczęściej nieautoryzowanych. Dlatego też ich autorzy publikują poprawki do tego typu
gotowych rozwiązań eliminujące możliwość powstania ponownie takich sytuacji. Warto zatem pamiętać o cyklicznych uaktualnieniach oprogramowania w
przyszłości. Sugerujemy również zapoznać się z informacjami dostępnymi na forach internetowych dla wykorzystywanych aplikacji.
Aby zmniejszyć ryzyko wystąpienia opisywanej sytuacji oraz zmniejszyć obciążenie serwera pocztowego, zmuszeni byliśmy administracyjnie zablokować
wykonywanie skryptów wskazanych poniżej:
/stronawww/templates/kflex/layouts/stats.php
Jak również zablokowana została możliwość wysyłania wiadomości email ze skryptów.
Prosimy zatem o wykonanie audytu bezpieczeństwa Państwa skryptów (usunięcie luk w ich bezpieczeństwie i aktualizację do najnowszych wersji).
Po tym mailu, przywróciliśmy czystą instalacje strony zaktualizowaliśmy joomle, php i wszystkie rozszerzenia, zmieniliśmy hasła dostępowe, jednakże problem co jakiś czas się pojawia.
Po ok 4 dniach spokoju problem wraca.
Proszę o sugestę co jeszcze mozna zrobić.