Złośliwy kod Joomla 2.5.3 -Atak na Joomla!

[neo_fox]

Także "Nasza Joomla 2.5.3 "Jest podatna na ataki

To raczej nie ma wiele wspólnego z Joomla!.
Poszukaj trochę na Google to zobaczysz że tym kodem zainfekowane są wszelkiego rodzaju skrypty, SMF, Drupal, Wordpress a nawet zwykłe statyczne strony HTML.
Co raczej wskazuje na to że kod jest dodawany przez FTP.

[bosopopiasq]

Oznacza to ze kod atakuje wszystko co jest podatne na ataki, skoro zaatakował Joomla w tej wersji to oznacza ze ma ona słabą kłódkę... to logiczne
Szukałam w Google, jak już wspomniałam, jak i to kiedy cokolwiek wysyłałam przez ftp (mam Fillezilla), chyba ze dostało sie podczas instalacji forum kunena wczoraj i tylko ona była instalowana
Komputer mam czyściutki jak łza, przeskanowałam go sobie z nudów 2 niezależnymi Antywirusami.

Czas pokaże...jak na razie admin z hostingu nic nie odpisuje, a ja na logach sie nie znam
(NIGDY nie mialam potrzeby wnikać w nie i stąd nie wiem jak to sie je)
Kunena nie skanowałam a szkoda bo jak załapałam co instalowałam ostatnio zrobiłam Jej DELETE Steganosem
czyżby w jej pliku coś siedziało?

[neo_fox]

Oznacza to ze kod atakuje wszystko co jest podatne na ataki

No to mi proszę wyjaśnij w jaki konkretnie sposób statyczna strona napisana w czystym kodzie HTML jest podatna na ataki umożliwiające nadpisanie plików na serwerze?
Pomijając fakt że praktycznie nie zdarza się aby ten sam exploit był stosowany w wielu niezależnych od siebie skryptów

[bosopopiasq]

No to moze Ty mi wyjaśnij w jaki sposób to coś wlazło na Joomla,skoro tylko instalowałam kunena.
a Galeria Coopermine jako subdomena jest od lat czyściutka
dopóki miałam J.1.6 wszystko było okay. Mam Wordpressa z forum SMF z ponad 700 set użytkownikami i też jest czyściutkie
Zaktualizowałam sobie Joomla, bo mi nie potrzebne komercyjnme dodatki i jakiekolwiek inne świecidełka, zainstalowałam forum kunena i rankiem dziś gość w kodach. Fakt zarejestrował sie wczoraj jakiś user z adresem email należacym do SPAMU, ale nigdy konta nie aktywował, bo maila nie odebrał ..hm..

[neo_fox]

wyjaśnij w jaki sposób to coś wlazło na Joomla

Przecież pisałem i pisali Ci też inni. Najprawdopodobniej ktoś się włamał przez FTP.
Albo ponieważ ktoś złamał hasło, sama częsta zmiana hasła nic nie daje jeśli hasło jest proste do wykrycia (np: rzeczywiste słowa czy nawet zdania) albo przez trojana na Twoim komputerze.

dopuki miałam J.1.6 wszystko było okay.Mam Wordpressa z forum SMF z ponad 700 set użytkownikami i też jest czyściutkie

Twoje argumenty są, wybacz mi ale śmieszne: tak samo mógłbym Ci napisać że korzystam z Joomla! od czasów Mambo 4 i mamy około piętnastu różnych stron opartych na różnych wersjach Joomla!. Na dodatek SMF z około 25 tysiącami użytkowników i nigdy takich problemów nie miałem.
Poza tym dziury które zostały załatane w Joomla! 2.5.3 nadal są w Joomla! 1.6 także na sto procent Joomla! 2.5.3 jest znacznie bezpieczniejsza niż Joomla! 1.6 czy 1.7

Nie twierdzę że Joomla! jest perfekcyjna ale skoro widać wyraźnie że ten sam exploit jest na wielu stronach internetowych niezależnie od wykorzystywanego oprogramowania to wniosek jest w miarę oczywisty.

Jeśli na przykład nagle różnej marki samochody zaczną się z jakiegoś powodu psuć to najmniej prawdopodobnym powodem usterki jest marka tego samochodu a raczej coś co te samochody ze sobą mają wspólnego. Przykładowo benzyna z tej samej stacji czy wykorzystywany w nich olej.

[cherokee]

[...ciach...]

Przerabiałem to... Być może podsunę Wam jakieś rozwiązanie, ponieważ zauważyłem skuteczną likwidację problemu.

1. Zacznij od przeskanowania swojego komputera dobrym programem antywirusowym (dogłębne skanowanie). Wirusy, które pewnie znajdziesz to:

Sirefef.X (gdzie X to inne odmiany z końcówką nazwy) - umożliwia wykonywanie poleceń wydawanych Twojemu komputerowi przez hackera.

Oraz wirus: Karagany.X (gdzie X to inne odmiany z końcówką nazwy) - umożliwia przechwytywanie haseł które wpisujesz w komputerze.

Prawdopodobne również: Opachki, Ransom - Oba wykonują polecenia osoby atakującej.

2. Po skanowaniu zmień wszystkie hasła we wszystkich programach których używasz do FTP, w tym oczywiście na kontach FTP. Warto używać niepopularnego oprogramowania FTP (Total Commander jest podatny na wykradanie haseł)

3. Nadpisz wszystkie zainfekowane pliki na serwerze (upierdliwe ale da się zrobić)

4. Zablokuj dostęp wykrytych IP (znajdziesz je w logach FTP i nie będzie to twoje IP, zablokuj dostęp IP w .ftpaccess - przeczytaj -> http://www.proftpd.org/localsite/Use...ked/x1021.html). Nie trzeba być ekspertem by znaleźć momenty gdy Twoje pliki są nadpisywane. Zwykle najpierw następuje pobranie pliku, później jego nadpisanie z dodanym kodem.

5. Zablokuj dostęp wykrytych IP .htaccess

Oczywiście blokowanie niewiele może dać bo zmienić IP łatwo.

6. Możesz ponownie zmienić hasła FTP i ponownie przeskanować komputer antywirusem.

7. Nie zapisuj haseł w TC i w plikach o banalnych nazawach: hasla.txt, pass.txt itp. Zapisz (jeżeli już musisz np w ciastoczekoladowe.!to - )

8. Pamiętaj o prawach dostępu do plików i katalogów na serwerze... prawa 777 i 666 to niedobry pomysł... choć łanie wyglądają.

9. Dla pewności zainstaluj sobie program do monitorowania ruchu twojego komputera z siecią... szybko zauważysz że coś z komputera "wycieka". Stosuj też bieżący monitoring plików w twoim kompie.. (sporo dobrego oprogramowania możesz znaleźć za free).


No i tyle.

Pozdrawiam.

[neo_fox]

Total Commander jest podatny na wykradanie haseł

Skąd taki wniosek?

[cherokee]

Skąd taki wniosek?

Z analizy..

[neo_fox]

Z analizy..

Z analizy czego?
Total Commander jest tak samo, albo nawet bardziej, bezpieczny jak większość klientów FTP.

Podatny na wykradanie haseł jest sam protokół FTP ponieważ przesyła hasło i nazwę użytkownika w sposób niezakodowany.
Co oznacza że każdy program na Twoim komputerze i, co najważniejsze, każdy komputer znajdujący się w tej samej sieci, może te dane przchwycić.

Dlatego staram się FTP nie używać.

[cherokee]

Z analizy czego?[...ciach...]

Szanowny neo_fox

Nie mam oczywiście zamiaru dyskutować na temat wyższości tego czy innego oprogramowania na tym albo tamtym. Nie będę się też uzewnętrzniał na tematy związane z TC, każdy używa oprogramowania takiego jakie uzna za stosowne.

Podałem skuteczny, choć pewnie nie we wszystkich przypadkach, sposób na poradzenie sobie z "dziwnymi" podmianami plików na serwerach przy pomocy protokołu FTP.

Oczywiście nie mam też zamiaru analizować samego protokołu FTP i rozważać tutaj tego na co on podatny a na co nie, bo to chyba nie ten temat, nie to forum...

Pozdrawiam i z mojej strony EOT.