włamania z uploadem wirusa PHP/Agent.NDP

[Borgan]

Mam serwer z Joomla 2.5.27 na windowsie 2003, apache, php 5.4.28, mysql 5.5.28.
Co jakiś czas pojawiają mi się pliki php*.tmp w katalogu uploadu które są blokowane przez antywirus.
Zdarza sie to prawie co dziennie i nie wiem co jest przyczyna. Czy jest to wina zlych ustawien czy bledow w ktoryms pluguinie. Nie chcial bym rezygnowac z phoca.

Kod:

95.141.32.46 - - [03/Nov/2014:01:56:14 +0100] "GET / HTTP/1.1" 403 202
188.165.196.58 - - [03/Nov/2014:01:56:15 +0100] "GET /index.php/38-strona-glowna-ike/gl-aktualnosci/504-absolutorium-2014 HTTP/1.1" 200 22889
76.72.172.208 - - [03/Nov/2014:01:56:18 +0100] "GET / HTTP/1.1" 200 59062
173.213.112.3 - - [03/Nov/2014:01:56:36 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 404 1497
173.213.112.3 - - [03/Nov/2014:01:56:36 +0100] "334--" 200 59000
173.213.112.3 - - [03/Nov/2014:01:56:52 +0100] "GET //images/stories/jalang.pHP HTTP/1.1" 404 223
173.213.112.3 - - [03/Nov/2014:01:56:53 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 404 1497
173.213.112.3 - - [03/Nov/2014:01:56:53 +0100] "334--" 200 59000


2014-11-03 1:56:53 AM    Ochrona systemu plików w czasie rzeczywistym    plik    N:\upload\php1877.tmp    PHP/Agent.NDP koń trojański    wyleczony przez usunięcie    NT AUTHORITY\SYSTEM    Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: M:\apache\bin\httpd.exe.


173.213.112.3 - - [03/Nov/2014:01:57:09 +0100] "GET /index.php/en/component/xmap//images/stories/jalang.pHP HTTP/1.1" 500 1591
173.213.112.3 - - [03/Nov/2014:01:57:09 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 404 1497
173.213.112.3 - - [03/Nov/2014:01:57:10 +0100] "334--" 200 59000


2014-11-03 1:57:10 AM    Ochrona systemu plików w czasie rzeczywistym    plik    N:\upload\php1878.tmp    PHP/Agent.NDP koń trojański    wyleczony przez usunięcie    NT AUTHORITY\SYSTEM    Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: M:\apache\bin\httpd.exe.


[03-Nov-2014 01:57:15 UTC] PHP Notice:  Undefined variable: iCss in M:\www\plugins\content\phocagallery\phocagallery.php on line 396


[03-Nov-2014 01:57:15 UTC] PHP Notice:  Undefined variable: iCss in M:\www\plugins\content\phocagallery\phocagallery.php on line 397 
[03-Nov-2014 01:57:15 UTC] PHP Notice:  Undefined variable: iCss in M:\www\plugins\content\phocagallery\phocagallery.php on line 1349

[mjmartino]

Joomle masz najnowszą a resztę komponentów ?
JCE np ?
Jakie masz uprawnienia ustawione do tmp ?

[Borgan]

Phoca najnowsza dla tej joomli - 3.2.8
Edytor JCE nie uzywam, mam tylko wbudowany TinyMCE
Z logów wynika że problemem jest wbudowany imgmanager albo PhocaGallery :/
Wykonywalne sa tylko pliki PHP, i to tam gdzie pozwala na to .httaccess
Wszystkie katalogi sa zapisywalne, z wyjatkiem pliku configuration.php

[mjmartino]

Jak nie używasz to odinstaluj JCE poco go trzymasz ?

Kod:

index.php?option=com_jce&task=plugin&plugin=imgmanager

Tu jest twój problem na pewno

[Borgan]

Myslę że już go nie mam. Nie mam ani jednego katalogu na serwerze ktory by mial w nazwie "jce".

[mjmartino]

Sprawdź w takim razie czy w katalogu images/stories/ masz jakiś pliki *.php
Jeśli nie a problem się powtarza wówczas potrzeba głębszej analizy.
Na wiki jest instrukcja zachować się po włamaniu.

[Borgan]

Kiedys juz skasowalem ten folder. Ogolnie wszedzie w images mam pliki .htaccess zabraniajace wykonywania php.
A nie jest przypadkiem tak że dane z POST zawsze sa przyjmowane w tym katalogu uploadu, a potem skrypt decyduje czy zostana przyjete czy nie?
W takim przypadku antywir zachowuje sie poprawnie, wykrywa zlosliwy kod i go kasuje, zanim to zrobi apache. W koncu odpowiedzia apache jest 404 - zly link w zwiazku z brakiem com_jce.

[mjmartino]

Nie to nie tak jak myślisz
Tutaj doczytaj sobie drugi akapit.
Atak na stronę następuje w automatyczny sposób... Bot sprawca czy może coś wstrzykać pod określane specjalnie spreparowane linki. Które starają się wywołać określone zadania. Jeśli się uda wówczas poprzez dziurę uploadowywuje się plik który się później rozprzestrzenia lub wykonuje kolejny zdalny skrypt.
Na dobrą sprawę powtarzające się IP powinieneś zablokować choćby przez htaccess, zabezpieczyć stronę chodźby "spadaj" lub np zainwestować trochę $ i zakupić RS!Firewall do prawie kompleksowej ochrony.

Tak czy inaczej przeskanuj sobie stronę https://myjoomla.com

[Borgan]

Zbadałem to i chyba jednak to ja mam racje.
Stworzyłem sobie lokalnie plik html z formularzem post do przesyłania plików, i jako cel obrałem ten sam skrypt co w próbach włamania.
Zainstalowałem też monitor plików i widać że apache stworzył sobie plik tymczasowy po czym go skasował.

Kod:

12-22.8244744    httpd.exe    1552    CreateFile    N:\upload\php1A6A.tmp    SUCCESS    Desired Access: Read Attributes, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Complete If Oplocked, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened
12-22.8244956    httpd.exe    1552    QueryFileInternalInformationFile    N:\upload\php1A6A.tmp    SUCCESS    IndexNumber: 0x3000000045b62
12-22.8245040    httpd.exe    1552    CloseFile    N:\upload\php1A6A.tmp    SUCCESS    
12-22.8245367    httpd.exe    1552    QueryAttributeTagFile    N:\upload\php1A6A.tmp    SUCCESS    Attributes: AC, ReparseTag: 0x0
12-22.8245456    httpd.exe    1552    SetDispositionInformationFile    N:\upload\php1A6A.tmp    SUCCESS    Delete: True
12-22.8245576    httpd.exe    1552    CloseFile    N:\upload\php1A6A.tmp    SUCCESS

Jak by to był plik z wirusem, pewnie też by mi wyskoczyło ostrzeżenie. Już wszystko rozumiem, ostrzeżenia mogę zignorować.