Nadpisywane pliki php - wirusy ? - Strona 2
Strona 2 z 2 PierwszyPierwszy 12
Wyniki 11 do 20 z 20

Temat: Nadpisywane pliki php - wirusy ?

  1. #11
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    64
    Punkty
    10

    Domyślny

    Miałeś rację w katalogu images były pliki option.php i start.php. W ten sposób mogę wyselekcjonować porównując w stosunku do kopii lokalnej. Gorzej jak jest właśnie dopisek w samym pliku, wtedy już tego nie wychwycę. Spróbuję poleconego przez Ciebie narzędzia.

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #12
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    64
    Punkty
    10

    Domyślny

    Nie wiem co teraz robić. Przez cały dzień po usunięciu plików jest niby czysto. Nawet wysyłałem e-maila aby przeskanowali konto. Po nocy dostaję informacje od hostingodawcy, że znów mi zablokował mi stronę. Podejrzewam, że to cały czas siedzi.

    kawałek kodu z pliku option.php

    <?php
    $tqv3 ="_ueporst"; $emc70=$tqv3[6].$tqv3[7].$tqv3[5].


    Dzisiaj kolejne dwa pliki np. inc59.php i test.php

    <?php
    function nuwvctdgo($ad, $ijbe){$vptcl = ''; for($i=0; $i < strlen($ad); $i++){$vptcl .= isset($ijbe[$ad[$i]]) ? $ijbe[$ad[$i]] : $ad[$i];}
    $jfadypl="base64_decode";return $jfadypl

    ....

    $gnhf = '4VDKraORhU49pTaACJOAUTlohAC6tw1ai

    (tu kilkadziesiąt linii)

    $inq = Array('1'=>'5', '0'=>'L', '3'=>'q', '2'=>'1', '5'=>'B', '4'=>'Q', '7'=>'h', '6'=>'s', '9'=>'o',


    Dla mnie wygląda to na atak brute force.

    Nie wiem czy odinstalować wszystkie moduły, komponenty itd. Czy przywrócić kopię z przed miesiąca. Wówczas ponownie zaktualizuję Joomla, ale nadal nie będę wiedział, czy jakimś dodatkiem nie wchodzi....

  4. #13
    Senior Bazyl awatar
    Dołączył
    02-08-2008
    Skąd
    Skierniewice
    Wpisy
    7 426
    Punkty
    550

    Domyślny

    Możesz jeszcze przez rok tak działać ;-)


    Cytat Wysłane przez Bazyl Zobacz wiadomość
    Po prostu trzeba należycie wykonać robotę :-)

    http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu

  5. #14
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    64
    Punkty
    10

    Domyślny

    Wiem, że to grzebanie nie napiszę w czym. Tylko chcę wybrać najlepsze rozwiązanie. Mam kopię z przed miesiąca. Jeżeli na nią podmienię cały serwis to i tak nie da mi to odpowiedzi co było przyczyną. Jeżeli to kwestia dodatku to i tak ponownie to wejdzie. Skanuję różnymi zabawkami i wychodzi, że czysto. Pewnie korzysta z jakieś luki i wysyła porcję o danej godzinie. Hostingowy antywirus wykrywa zarażone pliki jako: php.base64.v23au.185

  6. #15
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 943
    Punkty
    447

    Domyślny

    Jak masz zasoby finansowe to:
    na wzorce kodu złośliwego skanuje między innymi RS Firewall - obecnie mają rabat świąteczny = jak dla mnie dobra inwestycja - wskaże pliki ze znanym kodem złośliwym i nadpisane rdzenne z wszczepionym. Rdzenne możesz nadpisać oryginalnymi plikami konkretnej wersji instalacyjnej, wskazane po za rdzeniem należy sprawdzić i albo usunąć jeżeli to "przybłędy" albo podmienić na oryginalne z instalacji rozszerzeń lub o ile potrafisz - wypreparować kod złośliwy i usunąć.
    Jest jeszcze kilka innych działań sprawdzających ale akurat te przy ostatnich atakach powinny wystarczyć.
    Pzdr
    P.S. Niestety w przypadku ostatnich ataków część z nich aktywowała się z dużym opóźnieniem i kopia z przed miesiąca nie gwarantuje czystości - ją również musisz sprawdzić.
    P.S.II To nie jest atak typu brute force :-) Brut force to miałem wtedy kiedy mi walnęło ponad 80 tysięcy zapytań w dwie godziny :-)

  7. #16
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    64
    Punkty
    10

    Domyślny

    To szczerze pisząc to chyba w tym momencie nie ma znaczenia czy ma się kopię zapasową czy nie, bo jest ten sam punkt wyjścia. Nie wiem czy w bazie danych też coś nie siedzi. Jeżeli baza jest zarażona to postawienie nawet czystej Joomla też nić nie da. Jeżeli RSFirewall wykonałby to co napisałeś to byłoby jakieś rozwiązanie.

    Jeszcze poniżej zamieszczam informację systemową z serwera:

    The nazwamojegokonta account has just finished sending 4000 emails.
    There could be a spammer, the account could be compromised, or just sending more emails than usual.

    After some processing of the /etc/virtual/usage/nazwamojegokonta.bytes file, it was found that the highest sender was flora_garza@tunazwamojejdomeny.pl, at 310 emails.



    The most common path that the messages were sent from is /root, at 12924 emails (323%).
    The path value may only be of use if it's pointing to that of a User's home directory.
    If the path is a system path, it likely means the email was sent through smtp rather than using a script.

    This warning was generated because the 4000 email threshold was hit.


    Z tego wynika, że pod moją domeną stworzył jakieś konto e-mail, tylko go nie widać. Chyba, że tylko jakiś zakodowany alias. Ale widać, że "porządnie" spamuje.

  8. #17
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    64
    Punkty
    10

    Domyślny

    Sytuacja na dzisiaj została uspokojona, ale nie wiem czy wyleczona.

    1. Usunąłem obce pliki, które zostały dodane do katalogów Joomla. (Bardzo dużo pomogło oprogramowanie Awstats. Dzięki jego logom mogłem dotrzeć do plików, które zostały dodane).
    2. Jak wspominał @Gall Anonim, kod był również dopisany do plików rdzeni. Taki plik znalazłem jeden. Obcy kod był dodany na początku kodu pliku.
    3. Zainstalowałem kilka dodatków:
    - dodatek Spadaj,
    - Securitycheck
    - Wypier.php, który również pomógł szukać dodanych plików.

    4. Zmieniłem wszystkie hasła
    - do katalogu administrator
    - do panelu administratora
    - panelu admina i FTP na hostingu
    - do bazy danych




    Bazując na artykule: http://www.slawop.net/blog/wazne-pop...a-joomla-3-4-5 , obstawiam, że wirus wszedł przez niezaktualizowaną na czas Joomla.

    Mimo, że w początkowej fazie walki szybko zaktualizowałem Joomla, to siłą rzeczy nic to nie dało, bo wirus już był.


    Według mnie zagnieździł się początkowo w com_content a później to już rozsiewał się.


    Aktualnie program Securitycheck w logach pokazuje, że nadal coś chce się wbić.

    Securitycheck | Logi Web Firewall

    Ip Czas Opis URL Komponent Rodzaj

    207.234.209.65 2015-12-26 11:16:31 Backslashes added to characters :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

    207.234.209.65 2015-12-26 11:16:31 Komentarze :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

    50.63.194.31 2015-12-26 08:48:53 Backslashes added to characters :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

    50.63.194.31 2015-12-26 08:48:53 Liczby (0x format) :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

    23.234.37.3 2015-12-26 05:17:11 Backslashes added to characters :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

    50.23.210.133 2015-12-25 13:03:45 Usunięto tagi z ciągu (możliwy atak XSS) :[POST:data] /libraries/joomla/event/error.php com_content XSS (Cross-site scripting)

    50.23.210.133 2015-12-25 13:03:42 Usunięto tagi z ciągu (możliwy atak XSS) :[POST:data] /libraries/legacy/web/lib.php com_content XSS (Cross-site scripting)


    Od wczoraj otrzymuję informację od hostingodawcy, że ich antywirus nie wykrywa już zagrożenia.


    Czy te logi oznaczają, że wirus chce się wbić nadal do com_content?
    Czy te komunikaty oznaczają, że dodatek sobie radzi z zagrożeniem?
    Ostanio edytowane przez pawciok1989 : 26-12-2015 14:02

  9. #18
    Debiutant
    Dołączył
    21-04-2016
    Wpisy
    2
    Punkty
    2

    Domyślny

    U mnie sprawa wyglądała podobnie, to co zrobiłem to:
    1. zmiany haseł do zaplecza i ftp'a
    2. wgranie .htaccess do folderu administrator ograniczające logowanie do zaplecza tylko z jednego IP (mogę sobie na to pozwolić)
    3. usunięcie PHP/PhpShell.NBD koń trojański wykrytego przez eset online scaner, 4 pliki:
    \administrator\components\com_banners\views\banner \tmpl\backup-8b8.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    \administrator\components\com_newsfeeds\models\fie lds\modal\cache-78c.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    \attachments\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    \pliki\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    4. Wyszukanie plików ze słowem "eval" , "payload" i skasowanie ich lub usunięcię złośliwego kodu - w moim przypadku wpisany na początku, łatwy do odróżnienia od "joomlowego" kodu
    5. Usunięcie pliku index.php z folderu templatek ze znajomym kodem: <script>var a='';setTimeout(10)....

    Pewnie łatwiej i pewniej odtworzyć stronę z kopii zapasowej, lecz powyższe wskazówki są dla tych którzy takowej nie posiadają. Jeśli ktoś zna jeszcze miejsca które zostały zainfekowane niech dopisuje pod tym postem, skala zjawiska sądząc po ilości stron w internecie jest spora, a nie każdy może odtworzyć stronę z backupu

  10. #19
    Przeglądacz dumes awatar
    Dołączył
    07-02-2012
    Skąd
    Polska
    Wpisy
    64
    Punkty
    13

    Domyślny

    Cytat Wysłane przez paocek Zobacz wiadomość
    U mnie sprawa wyglądała podobnie, to co zrobiłem to:
    1. zmiany haseł do zaplecza i ftp'a
    2. wgranie .htaccess do folderu administrator ograniczające logowanie do zaplecza tylko z jednego IP (mogę sobie na to pozwolić)
    3. usunięcie PHP/PhpShell.NBD koń trojański wykrytego przez eset online scaner, 4 pliki:
    \administrator\components\com_banners\views\banner \tmpl\backup-8b8.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    \administrator\components\com_newsfeeds\models\fie lds\modal\cache-78c.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    \attachments\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    \pliki\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
    4. Wyszukanie plików ze słowem "eval" , "payload" i skasowanie ich lub usunięcię złośliwego kodu - w moim przypadku wpisany na początku, łatwy do odróżnienia od "joomlowego" kodu
    5. Usunięcie pliku index.php z folderu templatek ze znajomym kodem: <script>var a='';setTimeout(10)....

    Pewnie łatwiej i pewniej odtworzyć stronę z kopii zapasowej, lecz powyższe wskazówki są dla tych którzy takowej nie posiadają. Jeśli ktoś zna jeszcze miejsca które zostały zainfekowane niech dopisuje pod tym postem, skala zjawiska sądząc po ilości stron w internecie jest spora, a nie każdy może odtworzyć stronę z backupu
    Nie ma konkretnego schematu, w których plikach większości jest zapisywany szkodliwy kod.
    Tutaj jest niezbędna analiza każdego pliku. Nadpisanie czystymi plikami z joomli a reszta do analizy.
    Następnie wg. wskazówek zabezpieczeń które są umieszczone na stronie joomla.
    Większość osób na forum (szczególnie nowych) denerwuje się że nikt nie pomaga tylko odsyła do http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu
    Ktoś oczekuje gotowca a tak się nie da. Każda strona jest inna, inna infekcja, w różnych miejscach może być syf, to nie 2-3 lata temu gdzie były opisywane infekcje i tylko w konkretnych miejscach dopisywany był złośliwy kod, nie raz idzie teraz losowo aby trudniej było na odnalezienie syfu i jego usunięcie.
    Jeśli ktoś nie ma funduszy na zlecenie analizy, naprawę i wprowadzeniu odpowiednich zabezpieczeń to musi najpierw poczytać dokładnie całą procedurę http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu
    Jeśli jest to dla niego niezrozumiałe (a nie raz to się zdarza i później pretensja że czytałem czytałem i dalej to samo) najwidoczniej czytałeś i nie jest to dla ciebie, nie kumasz tego to nie powinienes się tym zajmować.
    Na forum nie da się wszystkiego wytłumaczyć a jeśłi nie rozumiesz na tyle aby to naprawić samemu to zleć to komuś kto się na tym zna, zęby zjadł.

    Jak samochodu ktoś nie potrafi naprawić to dalej próbuje??? w końcu zleca to innej osobie i na tym się kończy sprawa.
    Pewnych rzeczy się można nauczyć z różnych samouczków ale nie jest to dla każdego bo nie każdy to łapie.

  11. #20
    Debiutant
    Dołączył
    21-04-2016
    Wpisy
    2
    Punkty
    2

    Domyślny

    Cytat Wysłane przez dumes Zobacz wiadomość
    Nie ma konkretnego schematu, w których plikach większości jest zapisywany szkodliwy kod.
    Tutaj jest niezbędna analiza każdego pliku. Nadpisanie czystymi plikami z joomli a reszta do analizy.
    Następnie wg. wskazówek zabezpieczeń które są umieszczone na stronie joomla.
    Większość osób na forum (szczególnie nowych) denerwuje się że nikt nie pomaga tylko odsyła do http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu
    Ktoś oczekuje gotowca a tak się nie da. Każda strona jest inna, inna infekcja, w różnych miejscach może być syf, to nie 2-3 lata temu gdzie były opisywane infekcje i tylko w konkretnych miejscach dopisywany był złośliwy kod, nie raz idzie teraz losowo aby trudniej było na odnalezienie syfu i jego usunięcie.
    Jeśli ktoś nie ma funduszy na zlecenie analizy, naprawę i wprowadzeniu odpowiednich zabezpieczeń to musi najpierw poczytać dokładnie całą procedurę http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu
    Jeśli jest to dla niego niezrozumiałe (a nie raz to się zdarza i później pretensja że czytałem czytałem i dalej to samo) najwidoczniej czytałeś i nie jest to dla ciebie, nie kumasz tego to nie powinienes się tym zajmować.
    Na forum nie da się wszystkiego wytłumaczyć a jeśłi nie rozumiesz na tyle aby to naprawić samemu to zleć to komuś kto się na tym zna, zęby zjadł.

    Jak samochodu ktoś nie potrafi naprawić to dalej próbuje??? w końcu zleca to innej osobie i na tym się kończy sprawa.
    Pewnych rzeczy się można nauczyć z różnych samouczków ale nie jest to dla każdego bo nie każdy to łapie.

    Nie ma konkretnego schematu i zgadzam się z przedmówcą, naprawić samemu jak się potrafi, a jak nie to zlecić firmie. I nie chce tu polemizować
    Ale jeśli moje wskazówki się komuś przydadzą to cieszę się że komuś pomogłem - zastrzegam, że nie podaję gotowca który w 100% rozwiązuje problem, bo jest zbyt wiele kombinacji tej infekcji.

Strona 2 z 2 PierwszyPierwszy 12

Podobne tematy

  1. Pliki PHP w treści artykułu - jak dodać?
    przez letnil na forum Administracja - ogólnie
    Odpowiedzi: 6
    Ostatni post/autor: 25-06-2015, 19:46
  2. Import bazy danych z PHP Version 5.5.12 do PHP 5.4
    przez Kwiot na forum Serwery lokalnie - JAMP, movAMP i inne
    Odpowiedzi: 4
    Ostatni post/autor: 28-03-2015, 20:17
  3. Uaktualnienie jwsig.php w Joomla 1.5 do wersji PHP 5.3
    przez redemers na forum Rozszerzenia - problemy z obsługą, zarządzaniem
    Odpowiedzi: 18
    Ostatni post/autor: 19-01-2013, 02:02
  4. błąd The requested URL /php-fcgi/php-fcgi-5.default/index.php was not found on this s
    przez majkigru na forum Instalacja, aktualizacja, migracje
    Odpowiedzi: 4
    Ostatni post/autor: 23-12-2011, 10:44
  5. Błąd includes/joomla.php on line 71 / version.php
    przez MemfiS na forum Instalacje (Joomla!, składników)
    Odpowiedzi: 10
    Ostatni post/autor: 29-07-2007, 15:18

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •