Witam
przejrzałem wiele postów o zainfekowanych stronach ale nie znalazłem odpowiedzi na swoje pytania..więc mimo, że może to byc denerwuujące ślę zapytanie:
Firma hostingowa zablokowała strone z podaniem 2 podejrzanych plików ( Win.Trojan.Trojan-1018)
sprawdziłem - były to pliki "nie moje".. skasowaem z serwera
strone odblokowano
po jednym dniu znow zablokowano z powodu rozsyłania spamu z powołaniem sie nataka ściezke :
" Wysyłka miała miejsce ze skryptu:
domena../index.php/component/jcomments/
.."

Jest to strona magazynu internetowego. Pod tekstami pojawialo sie zawsze ilestam komentarzy reklamowych z dziwnych adresów. Kasowalem je sukcesywnie.
Po komunikacie od firmy hostingowej przejrzalem dokładnie cała baze danych i skasowalem w zasadzie wszystkie "obece i dziwne" komentarze z okresu 4 lat.
Problem z zainfekowaniem strony pojawil sie ( został zidentyfikowany przez firme hostingowa ) w lutym..
rozsyłanie spamu zostalo stwierdzone w marcu juz po wykasowaniu podanych wczesniej przez firme hostingowa 2 plików..
Przejrzalem większosc plików php i js pod kątem obecności "obcego " kodu..nie znalazłem nic nadpisanego ( szukałem "eval" , "mailto"..)

Czy z powyżej podanego łańcucha - /index.php/component/jcomments/ _ cos konkretnego wynika?.. ( wszystkie pliki zawierające nazwę jcomments sprawdzone)

Jakies rady?..co dalej ..jakie kroki ?..czy podany wczesniej przez firme hostingowa opis - Win.Trojan.Trojan-1018 - pozwala cos przewidywac ? ..
jak to zabezpieczyc na przyszlosc ? ( wiem, przeprasdzam, to juz klepane wiele razy ) ..

pozdrawiam

1. Informacje o postępowaniu po włamaniu są łątwoi dostępne w Google, także na głównej stronie joomla.pl.
2. W Helionie mozna nabyć książkę poświęconą zabezpieczaniu i ratowaniu stron www.
Usuwanie prostych naruszeń integracji stron leży w zasięgu możliwości przeciętnego administratora. W trudniejszych przypadkach sugerowane jest skorzystanie z pomocy specjalisty. Skoro podjęte przez Ciebie działania nie przynoszą efektu, znaczy że nie jesteś w stanie sam tego problemu rozwiązać.

nie wiem czy nie przynosza efektu , gdyz strona jeszcze pozostaje zablokowana - odblokują wtedy, gdy zgłoszę i dopiero wtedy okaże się , czy problem zniknął czy istnieje dalej.

Zadałem pytanie chcąc sie zorientować, czy owe wykonane czynności wystarczą - skasowanie wszystkich komentarzy, wyczyszczenie bazy danych, sprawdzenie plików pod katem obecności złosliwego kodu..
O ty, że moge ( kazdy może ) udac sie do specjalisty wiem. Jestem na etapie prac naprawczych i własnie udałem sie do specjalisty ( lekarza pierwszego kontaktu ) czyli na forum... Wydawalo mi sie, że forum nie jest od takich porad - udaj sie do specjalisty bądź księgarni i zapłać - a przynajmniej nie na etapie poczatkowym. tak czy inaczej dziękuje za odpowiedź..

Jesteś niewykle sympatyczny w swoich pouczeniach. Więc i ja sobie pozwolę, Drogi Kolego, na równie sympatyczne pouczenie. Wiedzę na temat postępowania po włamaniu masz, bo wykonałeś, co potrafiłeś wykonać i na czym się znasz. Forum nie jest od tego, by Ci tę wiedzę dostarczać po raz kolejny. Skoro napisano prawie 10-stronicowy artykuł na joomla.pl, skoro napisano i opublikowano na ten temat w Polsce dwie obszerne książki (dotyczące Joomla, bo o innych nie piszę), i jeszcze co najmniej kilka podobnych "skoro", to oczekiwanie że forum czy ludzie na forum udzielą Ci jeszcze jakichś wyrafinowanych porad, jest - niestety - wyrazem niezrozumienia, czego się po forum można spodziewać.

PS

" Wysyłka miała miejsce ze skryptu:
domena../index.php/component/jcomments/
.."
Wynika tylko tyle, że skrypt prawdopodobnie został wykorzystany do rozsyłania spamu. Co jest napisane wprost. Czy na pewno i w jaki sposób - analiza logów serwera, analiza skryptu.

Działania, które podjąłeś, nie dają gwarancji, że problem się nie powtórzy, bo nie wykryłeś źródła problemu i nie usunąłeś przyczyny. Chyba, że udało Ci się to przypadkowo.

panowie..o co chodzi?..:)..do najbliższej polskiej biblioteki mam 2000 kilometrów.... iles tekstów opisujacych temat przeczytałem....i szerszych i węższych... nikogo nie obraziłem..nikogo nie pouczam..natomiast sam czuję sie pouczony o niewłasciwości adresu, pod który wysłałem zapytanie bądź niewłasciwości samego zapytania..

Oczywiście moge poświęcic kolejne godziny na czytanie kolejnych artykułów czy książek ale tutaj szukałem rady na szybko i w konkretnym przypadku - bo to jest dokładnie forum Joommli a nie forum, na którym reklamuje sie kolejne wydania książek ...

Fraza "domena../index.php/component/jcomments/" dla fachowca "siedzącego" w temacie może byc jasna w 100% dla mnie byc może nie jest - ot chocby z powodu takiego, że nie mam w zbiorze katalogów katalogu "component" tylko "components" ... a specjalistą od php nie jestem..i tylko tyle. Czy to dziwne, że tu własnie szukam wskazówek czy pomocy ?
tak czy inaczej - dziękuje za okazanie zainteresowania

Nie ma nic dziwnego, że szukasz tu porady. Niestosowne jest formułowanie uwag pod adresem forum, na jakie sobie pozwoliłeś. A że zrobiłeś to delikatnie, to i delikatna była moja reakcja. Nikt Ci nie zarzuca, że kogos obraziłeś. Bądź konsekwentny. Informację, że na temat napisano... itd. odbierasz jako "pouczenie" (przykro, ale to częste przewrażliwienie), za to nie widzisz nic niewłaściwego, że jestes na forum od 2 dni i już pozwalasz sobie na nieeleganckie uwagi.

To, że masz w podanym adresie component, a nie ma takiego katalogu, nie ma znaczenia. Adres nie wskazuje ścieżki do katalogów, wskazuje na komponent.
Nie słyszałem, nie czytałem, żeby jcomments był uszkodzony, więc nie odnosiłem się do tej kwestii. Co nie znaczy, że nie jest uszkodzony albo że nie zawiera jakiejś luki. ALe to trzeba zbadać.

wszystko co zawiera sformułowanie "jcomments" zostało przejrzane i nie znaleziono tam zadnych podejrzanych wpisów

dodatkowo : z ostatniej chwili wiadomośc od firmy hostingowej - stwierdzono logowanie z dwóch stron ( Ukraina i USA ) z wywołaniami get i post

jako prawdopodobne zrodlo okreslono formularze. Ale nie uzywamy formularzy kontaktowych na stronie choc byc moze są jako joomlowska opcja ale nieaktywowane przez nas... Byc może nie do końca rozumiem tez sformułowanie "formularze" bo równie dobrze może to byc formularz do wysylania komentarzy na strone..Jak to sprawdzic ?..
pozdrawiam

Tak, równie dobrze to może być formularz do wysyłania komentarzy. Masz je chronione np. CAPTCHA?

tak..jest captcha..( przepisz tekst z obrazka ) ..
Mozliwosc wysyłania komentarzy do tekstow na stronie zamierzam czasowo zablokowac..,

jeszcze pytanie dotyczące htaccess:
moge zablowac konkretne IP ( te z ktorych wyslano żadania, czy wpisanie " Order deny,allowDeny from 91.200.12.66
Deny from 54.210.50.216 "
czy ten zapis jest poprawny i wystarczy ? )
w przypadku dzialania robotów nie musi to byc skuteczne zabezpieczenie gdyz za moment zostanie cokolwiek wyslane z innego IP

Czy zapis "deny all" zablokuje równiez mój dostep do panelu administrowania zawartościa strony tworzenie tekstów, edycja artykułów.. ) ?

zapis deny all oczywiscie, zaplokuje dostęp zewsząd. Jeśli myślisz o blokowaniu komentarzy, to ja zrobiłbym sobie kopię dotyhczasowych komentarzy i odinstalował zupełnie komponent. To pomoże stwierdzić, czy przyczyną jest rzeczywiście ten komponent. I być może rozwiąże problem.

no własnie...na to też wpadłem, że samo wylaczenie opcji komentowania moze nic nie dac. bo pliki zwiazane z komentarzami jako takie beda nadal istniec na serwerze tworzac potencjalna mozliwosc dostepu..
w katalogu (bez deinstalacji ) zmienilem chwilowo nazwe "com_jcomments" oraz "com_mailto" na inne... czy to moze zablokowac dostep ?

dzialam dalej..

wyłączenie mozliwości komentarzy nic nie dało... w kilka sekund po odblokowaniu znów nastapiła akcja wysyłki.. prawdopodobnie zmiana nazw plików była zbyt późna.. teraz wszystko, co nosi nazwy jcomments wylatuje z serwera i popatrze co dalej
( przepraszam za ten opis krok po kroku ale komus moze sie przyda ... ostatecznie nie każdy jest zaawansowanym w specyfice tak joomli jak i dzialania skryptow php czy podobnych ..)

czy taki wpis w pliku : $link->setVar('return', base64_encode($returnURL));

oznacza obca ingerencje ?

nie można tego stwierdzić na podstawie pojedynczego wiersza oderwanego od kontekstu. To oznacza tylko, że masz tutaj zakodowaną za pomocą base64 zmienną $link (dokladniej - polecenie jej rozkodowania)

jasne...samo base64 jeszcze niczego zlego nie wywołuje , jest to faktycznie aplikacja do kodowania i rozkodowania.... powoli sie człek doucza- po przeczytaniu kilku artykułów słowa base64 wywoływały u mnie dreszcze - jeszcze przy okazji tego wpisu: czy w takim razie "eval" jest tym wyróznikiem ? czy to tez nie musi byc jednoznaczne ?

ale o czym innym chcialem ..
nie mając dostępu do strony musialem jakos zablokować ( tak przynajmniej mi sie wydaje, ze zablokowac ) lancuch wywolywany przez "obcy" kod ..( index.php/component/jcomments ) wszystkie nazwy plikow i katalogow zawierajace fraze jcomments zostaly zmienione... to samo zostalo dokonane w bazie danych.
Zostaly telko nazwy w wersji probnej strony w oddzielnym katalogu ale trasc tego katalogo zostala przeniesiona na glębszy poziom ( czyli zeby do niej trafic nalezaloby jeszcze pokonac dwa dodatkowo wgrane katalogi , bo do drugiego zostala przeniesiona cala zawartosc... ( czyli wersja oryginalna : public_html/katalogX... i tu treść... a w chwili obecnej : public_html/ dodatkowy1/dodatkowy2/katalogX .. i tu tresc )


Czy z doswiadczenia wynika wam, ze na razie - jako wstepne dzialania - takie rozwiazanie powinno zablokowac dzialanie zlosliwego skryptu ?...
Licze sie z tym, że "cos jeszcze zostalo w katalogach pierwotnych lecz traktuje to jako test czyli proba eliminacji czegos zeby określic w ktorym obszarze tkwi zło...

Jeszcze jedno mnie zastanowilo. Wczoraj po pewnych naszych dzialaniach firma hostngowa uruchomila strone na krotko ( opis wyzej , w poprzednich postach ) i zostal wylowiony z kolejki zapis , że nastapil atak w postaci komentarza. Info bylo, ze komentarz zostal ulokowany na stronie ( czyli w tabeli jcomments bazy danych ) lecz po wejsciu z panelu klienta i sprawdzeniu bazy nie stwierdzilismy w tej tabeli obecności tajkowego rekordu ..... Firma hostingowa niczego nie kasowała w bazie danych , my też..Czy istnieje taka możliwość w związku z tym, że komentarz sie nie zapisał , gdyz odpowiednio wczesniej nastapila blokada dostepu czy tez mozna sie doszukiwac tutaj drugiego dna czyli zapis w logach jest fejkiem a skrypt i tak robi swoje i to calkiem inaczej niz sugerowalby to ow zapis odwracając celowo naszą uwage ?...