Infekcja: JS:Injection-A [Trj]

[w.magdziak]

Czy jest jakiś inny sposób na wyczyszczenie witryny bez komiczności przywracania kopii zapasowych serwisu?
Komunikat AVAST:
URL: https://www.######.pl/|{gzip} - nazwa strony w raporcie
Infekcja: JS:Injection-A [Trj]

Raport ze skanowania:
https://www.siteguarding.com/antivir...3ca98bdbc9426b

[Gall Anonim]

Jest ale wymaga znajomości tematu - to raz.
Pliki wskazane przez skan najprawdopodobniej nie są jedynymi zainfekowanymi - akurat to chodzi w zstawie z innymi - to dwa.
Pytanie należy zadać raczej o przyczynę udanego ataku a nie o efekt - to co pokazuje skan to efekt - naprawisz - dość proste działanie - wystarczy nadpisać orginalnymi - ale za dzień, dwa będzie to samo - i tutaj należy znaleźć przyczynę - to trzy.

[w.magdziak]

Zdecydowanie przyczyna jest najistotniejsza. Zaatakowano Joomla w kilku wersjach 2.5 i 3.X. Sugestie jak szukać "dziury"? Jak zabezpieczyć przed powtórką poza wymianą haseł wszędzie gdzie to możliwe.

[grześko]

Wymiana haseł nie pomoże.
Jak wcześniej napisał Gall Anonim - szukaj przyczyny.
Mnie w podobnej sytuacji pomógł kiedys support mojego hostingu - wskazali które rozszerzenie do J! wpuściło atak.
Sam możesz sprawdzić logi (jeśli masz/masz do nich dostęp) - zwłaszcza serwera WWW.
Może pomocą będzie ten topic: link

Sprawdź co się zmieniło w tych plikach (kod wirusa) i ... próbuj googlać ;)

[Gall Anonim]

Zaatakowano Joomla w kilku wersjach 2.5 i 3.X.

Gratulacje - oznacza to tylko tyle że masz gościa na serwerze a nie jednej witrynie.
Klasycznie.
Zamiana wszystkich haseł dostępu do serwera.
Nie używać jako klienta ftp TotalCommandera
Nie zapisywać haseł ftp w żadnym kliencie ftp
Przeskanować kompy mające dostęp do witryn lub ftp - zabezpieczyć.
Włączyć separację katalogów - jeżeli hostingodawca nie oferuje takiej możliwści - zmienić hostingodawcę.
Dezaktywować wszystkie witryny.
Wyczyścić każdą witrynę po kolei jednocześnie wszystko aktualizując, łatając i zakładając na witryny zabezpieczenia, sprawdzając strukturę haseł, nazw użytkowników itd, itp
Sorki - ale masz dział postępowanie po włamaniu - tam jest reszta - to co należy zrobić dodatkowo - opisałem powyżej.

[grześko]

Zamiana wszystkich haseł dostępu do serwera.
Nie używać jako klienta ftp TotalCommandera
Nie zapisywać haseł ftp w żadnym kliencie ftp
Przeskanować kompy mające dostęp do witryn lub ftp - zabezpieczyć.

Bezpieczeństwo bezpieczeństwem ale może nie ogłaszajmy stanu klęski żywiołowej nie znając więcej szczegółów.
Może nie używa TC, może używa SFTP, może nie jest w stanie fizycznie zabezpieczyć kompów mających dostęp po FTP.
Spokojnie, bo nerwowymi ruchami można zatrzeć ślady a okaże się, że porywamy się z armatą na wróbla.

Przede wszystkim faktycznie wyłączyć strony zainfekowane, bo wydaje mi się, że wciąż działają.
Po drugie - poprosić o pomoc support hostingu i sprawdzić logi. Jeśli support się wypnie - faktycznie myśleć o zmianie hostingu.
Moim zdaniem przypadek analogiczny do mojej historii - hosting współdzielony, kilka domen/serwisów na jednym koncie hostingowym - faktycznie z brakiem separacji katalogów, ale wydaje mi się, że dziura w jednym z nieaktualnych/trefnych rozszerzeń.

Dajmy człowiekowi szansę zablokować strony i sprawdzić co się stało.

[Gall Anonim]

@grześko - powodzenia na nowej dordze życia :-) Skoro wydaje ci się :-)

[w.magdziak]

Jestem w trakcie oględzin, szkód itd. ale zastanawia mnie tylko dlaczego Avast blokuje wszystkie serwisy nawet te w których sprawdziłem, że w ostatnich tygodniach nie było żadnych modyfikacji plików w katalogach?

[Gall Anonim]

Ponieważ tak się składa że:
niektóre kody reagują jak bomba z opóźnionym zapłonem i aktywuje je konkretna data lub wydarzenie na witrynie (niekiedy naturalne, niekiedy wywolane zewnętrznie) - wspominałem na forum o takich przypadkach. Są też takie "gapy" że serwer nie widzi faktycznej daty tylko zadaną przez skrypt.
Tak że nie widzę w tym nic szczególnego po za tym że akurat AVAST czasami się po prostu bezsensownie czepia bo niektóre z kodów nie będących złośiliwymi skryptami interpretuje jako takowe.
Pzdr

[grześko]

@Gall Anonim - dziękuję, powodzenie zawsze się przyda, na każdej drodze

A że moja obecna droga życia nie jest krótka, a co za tym idzie doświadczenie też jakieś jest - więc staram się trzymać zasady, że jeśli daję rady - to na poziomie szczegółowości adekwatnym do poziomu szczegółowości opisu sytuacji i jej kontekstu.
Jeśli ktoś inny opisze sytuację i jej otoczenie tylko tak, jak do tej pory @w.magdziak - to też napiszę "wydaje mi się", a nie będę autorytatywnie rzucał porady może i dobre, ale w tym momencie na wyrost.