PHP/Kryptik.BC - strona rozsyła spam
Wyniki 1 do 10 z 10

Temat: PHP/Kryptik.BC - strona rozsyła spam

  1. #1
    Nowicjusz
    Dołączył
    28-03-2015
    Wpisy
    19
    Punkty
    2

    Domyślny PHP/Kryptik.BC - strona rozsyła spam

    Od początku sierpnia mam problem ze stroną która została zainfekowana i rozsyła spam z fikcyjnych kont pocztowych.
    Zainfekowane pliki posiadają trojana PHP/Kryptik.BC.
    Co jakiś czas tworzone są nowe pliki i tak np zainfekowane były pliki:
    administrator\manifests\files\AkeebaStrapper\sessi on.php
    modules\mod_articles_archive123\tmpl\javascript.ph p
    modules\mod_cssmap_poland\menu.php
    modules\mod_jdownloads_most_recently_downloaded\tm pl\dir.php
    modules\mod_jdownloads_latest\archive.php
    components\com_config\category.php
    components\com_storelocator\stats.php
    components\com_hwdmediashare\viewme.php
    \components\com_finder\archive.php
    \administrator\components\com_languages\dxprocess. php
    administrator\components\com_contenthistory\helper s\help6312.php
    administrator\components\com_finder\models\error42 .php

    Strona stoi na home.pl
    Jak się home zorientowało wysłało nam takiego maila
    Pragnę poinformować, iż analiza działania Państwa usługi świadczy o obecności na serwerze FTP
    skryptów realizujących nieautoryzowaną wysyłkę wiadomości spamowych.
    Przyczyną zaistniałej sytuacji jest najprawdopodobniej nieaktualna wersja oprogramowania CMS (np. Joomla, Wordpress) na Państwa serwerze.
    Ze względu na globalną dostępność kodu, aplikacje te są szczególnie podatne na włamania. Częstym przypadkiem infekcji serwisu szkodliwym
    oprogramowaniem, są błędy w tych skryptach lub komponentach, najczęściej nieautoryzowanych. Dlatego też ich autorzy publikują poprawki do tego typu
    gotowych rozwiązań eliminujące możliwość powstania ponownie takich sytuacji. Warto zatem pamiętać o cyklicznych uaktualnieniach oprogramowania w
    przyszłości. Sugerujemy również zapoznać się z informacjami dostępnymi na forach internetowych dla wykorzystywanych aplikacji.
    Aby zmniejszyć ryzyko wystąpienia opisywanej sytuacji oraz zmniejszyć obciążenie serwera pocztowego, zmuszeni byliśmy administracyjnie zablokować
    wykonywanie skryptów wskazanych poniżej:
    /stronawww/templates/kflex/layouts/stats.php
    Jak również zablokowana została możliwość wysyłania wiadomości email ze skryptów.
    Prosimy zatem o wykonanie audytu bezpieczeństwa Państwa skryptów (usunięcie luk w ich bezpieczeństwie i aktualizację do najnowszych wersji).

    Po tym mailu, przywróciliśmy czystą instalacje strony zaktualizowaliśmy joomle, php i wszystkie rozszerzenia, zmieniliśmy hasła dostępowe, jednakże problem co jakiś czas się pojawia.
    Po ok 4 dniach spokoju problem wraca.
    Proszę o sugestę co jeszcze mozna zrobić.

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Senior Bazyl awatar
    Dołączył
    02-08-2008
    Skąd
    Skierniewice
    Wpisy
    7 693
    Punkty
    574

    Domyślny

    Cześć,

    Pozostaje zlecić komuś, kto zrobi to dobrze :-)

  4. #3
    Wyjadacz GOGOKOM awatar
    Dołączył
    08-08-2007
    Skąd
    Bydgoszcz
    Wpisy
    715
    Punkty
    32

    Domyślny

    Skoro stawiasz czystą joomla i zmieniasz hasła to może brudy sam dostarczasz z kompa administratora albo dajesz hasła na tacy. Zacznij od siebie, poza tym jak masz kilka stron na serwerze to przyczyna tkwi na innej stronie.
    GOGOKOM http://mazwal.pl http://kadp.edu.pl - konferencja, Komornik Bydgoszcz http://komornikbydgoszcz.eu
    http://ciasteczka.org.pl - wszystko o i dookoła nich. http://alfa.bydgoszcz.eu - księgowość Bydgoszcz - mój księgowy a dobry księgowy to skarb
    http://twojremont.bydgoszcz.pl - Bydgoszcz firma remontowa, remontowo wykończeniowa.

  5. #4
    Nowicjusz
    Dołączył
    12-02-2012
    Wpisy
    15
    Punkty
    13

    Domyślny

    Zależy co rozumiemy przez "przywróciliśmy czystą instalacje strony"

    w wielu przypadkach jest to:
    a) nadpisałem pliki na serwerze czystymi
    - a to oznacza że nadal tkwią na serwerze pliki dodane nie będące częścią systemu CMS
    b) przeinstalowałem /zaktualizowałem kluczowe pliki systemu z poziomu Joomla update
    - a to też oznacza że nadal tkwią na serwerze pliki dodane nie związane z modułami aktualizowanymi bo o ile np. update usuwa simplepie z uwagi na zmianę lokalizacji o tyle plików typu stat czy exporter aktualizacja już nie ruszy.
    c) Przywróciłem kopię zapasową sprzed miesiąca/ tygodnia
    - również nic nie da jak np. backdoor typu exporter leży sobie w plikach od 15 grudnia 2015.r

    Jeżeli jednak z serwera usuwane jest wszystko i stawiana nowa instalacja
    (wgrane nowe pliki, postawiona nowa baza danych z nowymi hasłami) to infekcja jest z serwera albo od użytkownika czyli albo twoja jednostka jest zainfekowana i coś pobiera sobie twoje hasła, albo na serwerze w innych folderach występują inne infekcje a tam php ma zwykle prawa użytkownika więc wędruje sobie gdzie chce i ponownie infekuje twoją czystą www.

  6. #5
    Nowicjusz
    Dołączył
    28-03-2015
    Wpisy
    19
    Punkty
    2

    Domyślny

    Ok, to jeszcze muszę zwerykifować jak informatyk zrobił z tą kopią.
    W międzyczasie pojawiły mi się takie logi na serwerze - średnio 200 dziennie
    162.244.35.232 - - [19/Oct/2016:00:07:17 +0200] "POST /stronawww/administrator/ HTTP/1.1" 301 196 "http://mojadomena.pl/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

    37.1.216.95 - - [19/Oct/2016:20:16:14 +0200] "GET /stronawww/administrator/index.php HTTP/1.1" 200 6464 "http://shop.mojadomena.pl/administrator/index.php" "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14"

    37.1.216.95 - - [19/Oct/2016:20:16:14 +0200] "POST /stronawww/administrator/index.php HTTP/1.1" 301 201 "http://shop.mojadomena.pl/administrator/index.php" "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14"
    IP z których są wywoływania się powtarzają
    najpierw jest get a potem post.
    Co to może oznaczać..

  7. #6
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    jak myślisz? Co to może oznaczać?
    Oddaj sprawę w ręce fachowca. I daruj sobie zadawanie tego typu pytań. Bo, oczywiście, pytać można i warto, ale przee wszystkim czytać trzeba, rozumieć i stosować zalecenia fachowców. A jeśli się nie daje rady (bo to wcale nie jest takie łatwe), trzeba zlecić komuś, kto umie.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  8. #7
    Debiutant
    Dołączył
    07-11-2016
    Wpisy
    4
    Punkty
    2

    Domyślny

    Proponuje przeskanować serwer antywirusem wyspecjalizowany w tego typy problemach. Jest w darmowej wersji i skuteczny. Warto spróbować (ciach - niedozowolona reklama)

  9. #8
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    @himself007 - proszę Cię bardzo - albo rzetelna informacja, albo wcale. Bo w tej chwili to jest tylko reklama. Rzetelnie to swego czasu A. Kasprzyk wrzucił na Facebooku listę bodaj z 10 takich skanerów.
    Przeskanowanie nawet najlepszym antywirusem niczego nie rozwiązuje. Co z tego, że mi wskaże nawet wszystkie zakażone pliki, jeśli nie będę wiedział, w jaki sposób doszło (i będzie dochodziło) do zakażenia?
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  10. #9
    Debiutant
    Dołączył
    07-11-2016
    Wpisy
    4
    Punkty
    2

    Domyślny

    zapraszasz do (ciach - niedozowolona reklama), tam sie zarejestrujesz i system na bierzaco bedzie monitorowal czy NASTĄPILO WLAMANIE I PRZENOSIŁ PLIKI z wirusami DO KWARANTANNY (samemu). jesli chcesz dowiedziec sie jak dochodzi do wlamania to skorzystaj z formularza kontaktowego w Panelu. Nasi specjalisci zrobia odpowiednia analize i postarają się znależć źródło zakażenia.

  11. #10
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    Ja rozumiem, co piszesz. Za chwilę jednak po prostu zablokuję Twoje konto, bo prowadzisz metodyczny marketing, a nie udzielasz pomocy.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

Podobne tematy

  1. Wirus JS/Kryptik.AHD
    przez JemOgórki na forum Rozszerzenia - problemy z obsługą, zarządzaniem
    Odpowiedzi: 12
    Ostatni post/autor: 10-03-2013, 13:45
  2. Atak: spam z m.php i include/see.php
    przez yogi009 na forum Sprawy bezpieczeństwa Joomla!
    Odpowiedzi: 0
    Ostatni post/autor: 16-03-2010, 18:15
  3. 1.0.15 rozsyła spam.
    przez stasio na forum Sprawy bezpieczeństwa Joomla!
    Odpowiedzi: 1
    Ostatni post/autor: 10-04-2009, 23:48
  4. linki pharmacy, spam w index.php
    przez poltergeist na forum Różne
    Odpowiedzi: 3
    Ostatni post/autor: 10-03-2009, 02:47
  5. Joomla rozsyła spam? Blokada domeny
    przez FXweb na forum Sprawy bezpieczeństwa Joomla!
    Odpowiedzi: 4
    Ostatni post/autor: 28-03-2008, 11:30

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •