Złośliwy kod Joomla 2.5.3 -Atak na Joomla!

**neo_fox** · 22-03-2012, 14:18

Wysłane przez cherokee

rozważać tutaj tego na co on podatny a na co nie, bo to chyba nie ten temat,

W gruncie rzeczy jak najbardziej na temat ponieważ dokładnie z tego względu że ludzie sobie nie zdają sprawy jak bardzo FTP jest podatne na przechwycenie danych wynika bardzo wiele problemów.
Ludzie łączą się przez FTP z kawiarni internetowych, uczelni, w hotelach czy przy korzystaniu z hotspotów i w tym momencie każdy kto znajduje się w tej samej sieci może te dane bezproblemowo uzyskać. A potem jest płacz i zgrzytanie zębami jaka to Joomla! niedobra.

I tu w niczym nie zmienia faktu że TC słabo koduje zapisane hasła a FileZilla nawet przechowuje je w otwartym tekście bo większość haseł jest przechwytywanych zupełnie innym sposobem.

**PeFik** · 22-03-2012, 22:43

... na koniec sugeruje kupić, a dokładniej zainwestować w komponent do ochrony strony, skoro jesteś fanem J! od tylu lat, to powinnaś to wiedzieć.

wtedy on sam ci napisze e-maila, ktos ci się włamał, a jeśli nie napiszę , a ty znajdziesz zmiany = ktoś ma dostęp z poziomu FTP

**cherokee** · 23-03-2012, 09:35

Jeszcze mi się przypomniało...

Sprawdź na swoim koncie czy nie masz tam gdzieś wgranych plików (nie przez Ciebie):

counter.php,
include_footer.php,
footer_include.php,
ping.php

w trzech pierwszych znajdziesz kod wirusa, oczywiście zakładając że włam nastąpił właśnie w ten sposób (przez FTP).

**PeFik** · 23-03-2012, 12:41

a także plik footer.php oraz index.php - w szablonach wszystkich!

**zwiastun** · 23-03-2012, 15:16

Ja tam dyskutować nie będę. Odnalezienie wszystkich zmienionych plików trudne nie jest. Tylko czy to jest metoda? Wystarczy, że jeden zostanie pominięty, aby kontrola nad witryną nadal była w rękach napastnika.
Ja tam wolę sprawdzone przeinstalowanie wszystkiego od 0!

**cherokee** · 27-03-2012, 08:47

Wysłane przez zwiastun

[...ciach...] Wystarczy, że jeden zostanie pominięty, aby kontrola nad witryną nadal była w rękach napastnika.
Ja tam wolę sprawdzone przeinstalowanie wszystkiego od 0!

Wystarczy znaleźć te które są zakażone, później wyszukać pliki na zawartość danego kodu, który w nich znajdziemy - znajdzie wszystkie. Oczywiście nadpisanie wszystkich plików z całej instalacji jest najlepszym wyjściem, choć... jeżeli są dograne pliki które nie należą do instalacji, to po nadpisaniu i tak zostaną... dlatego uważam że skanowanie plików na zawartość danej np. frazy - jest najlepszym rozwiązaniem.

Już miałem nie pisać w tym temacie mimo, że chwilę po moim ostatnim poście przypomniało mi się aby prócz sprawdzenia czy nie zostały wgrane w system pliki które do niego nie należą, sprawdzić przede wszystkim:

wszystkie pliki: index.html, index.php, default.php, footer.php, wszystkie pliki ze stronami błędów 404, 403 itp.

**netsoft_sg** · 04-12-2012, 13:07

a co powiecie, na fakt , że ja od lat mam wyłaczony serwer ftp i dostep jest tylko po ssh do serwerka
a plis js ciągel są infekowane ?

i jak w logach sprawdzic ze dane ip infekuje pliki ?

**netsoft_sg** · 04-12-2012, 17:48

przepraszam bład w pisowni w poprzedniej wiadomości: oczywiście infekwoane sa pliki *.js

w logach mam np:
78.10.59.34 - - [08/Nov/2012:21:44:13 +0100] "GET /szkolenia3/lib/dropdown.js HTTP/1.1" 200 2551
ale nie ma nigdzie "PUT"
czyli przegladaja sobie strony ale nie wgrywaja ?

Temat: Złośliwy kod Joomla 2.5.3 -Atak na Joomla!

Przybornik

Widok

Podobne tematy

Złośliwy kod w każdym pliku

złośliwy kod

Inny złośliwy kod dopisany do stony

Reguły pisania