Trojan
Wyniki 1 do 7 z 7

Temat: Trojan

Hybrid View

Poprzednia wiadomość Poprzednia wiadomość   Następna wiadomość Następna wiadomość
  1. #1
    Przeglądacz vienio52 awatar
    Dołączył
    14-07-2010
    Skąd
    Wroclaw, PL
    Wpisy
    76
    Punkty
    10

    Domyślny Trojan

    Dzień dobry,
    Mam na hoście providera 9 serwisów www. Są to środowiska: autorskie, joomla 3.10, joomla 4.xx, Joomla 5.0, WordPress, Drupal. Najważniejszy serwis ma zainstalowany RSFirewall w wersji 3.04. Ostatnio wszystkie zostały zarażone trojanem Kryptik.CE

    Kryptik.CE.png

    Pojawiły się zainfekowane pliki index.php oraz .htaccess i pliki about.php
    Wykluczony jest nieuprawniony dostęp przez protokoł FTP. Mam silny system haseł. Nigdzie ich nie zapisuję, nikomu nie udostępniam.
    Provider (serwer linuksowy) nie ma skanera online. Na życzenie włącza jakiegoś darmowego antywira i przysyła log z listą zainfekowanych plików. Nie jest w stanie ani ich wyleczyć, ani usunąć.
    Twierdzi, że to wszystko nie wina zabezpieczeń serwera a luki bezpieczeństwa w kodzie. Czy na prawdę nic nie można zbudować bezpiecznego w oparciu o darmowy cms typu joomla?
    Napracowałem się - pobrałem wszystkie serwisy www na lokalny komputer i wyczyściłem środowisko. Niestety skaner nie był w stanie oczyścić plików index.php - leczenie polegało na usunięciu niesamowitej ilości replikowanych plików index.php
    Ponaprawiałem wszystko korzystając z kopii i wgrałem z powrotem na serwer. Jak długo będzie czysto??
    Poradźcie proszę gdzie widzicie luki, jak mogę zabezpieczyć się lepiej?
    Pozdrawiam
    wieslaw
    --
    pozdrawiam, vienio
    don't give up, to be happy!

  2. #2
    Wyjadacz
    Dołączył
    03-12-2007
    Skąd
    Lublin
    Wpisy
    682
    Punkty
    48

    Domyślny

    Po pierwsze przestań używać Joomla 3 https://magazine.joomla.org/all-issu...pport-handling
    Po drugie w jaki sposób i czy w ogóle poszczególne witryny są od siebie odseparowane. Znam wiele przypadków w których na serwerze jest większa ilość witryn internetowych ale nie są od siebie odseparowane.
    Kolejną sprawą musisz namierzyć co spowodowało włamanie i to wyłączyć (usunąć). Jeżeli tego nie wykonasz jest duża szansa że po przywróceniu stron z backupu luka dalej istnieje i jest kwestią czasu kiedy problem się pojawi.

    Pamiętaj że oprogramowanie takie jak RSFirewall ale nie tylko to konkretne nie daje zabezpieczenia w 100%. Ono jedynie ogranicza szansę włamania.

    W twoim przypadku ktoś znalazł lukę w zabezpieczeniach i stało się to co się stało. Zacznij monitorować swoje strony czy coś się dzieje.
    Jeżeli miałbyś ustawione mechanizmy które monitorują zmiany w kluczowych plikach takich jak index.php dostał byś odrazu sygnał, że plik został zmodyfikowany..

  3. #3
    Przeglądacz vienio52 awatar
    Dołączył
    14-07-2010
    Skąd
    Wroclaw, PL
    Wpisy
    76
    Punkty
    10

    Domyślny

    Ad.1 - zajmuję się tym
    Ad.2 - Pewnie nie są odseparowane, gdyż replikowanie nastąpiło na wszystkie moje serwisy. Mam:
    Public_html
    katalog 1. witryny
    katalog 2. witryny
    ...
    katalog 9. witryny
    Jak powinienem odseparować katalogi powiązane z różnymi domenami?

    Ad3. Piszesz o monitorowaniu stron - masz na myśli jakiś automatyczny mechanizm?
    W jaki sposób (ogólnie) mam monitorować np. pliki index.php

    Pozdrawiam
    Wieslaw
    --
    pozdrawiam, vienio
    don't give up, to be happy!

  4. #4
    Wyjadacz terra awatar
    Dołączył
    26-05-2017
    Skąd
    Wrocław
    Wpisy
    920
    Punkty
    87

    Domyślny

    Cytat Wysłane przez vienio52 Zobacz wiadomość
    .. Czy na prawdę nic nie można zbudować bezpiecznego w oparciu o darmowy cms typu joomla?..
    To jakieś pretensje, które niewłaściwie adresujesz, bo sam sobie jesteś winny. Premiera Joomla 4 była w sierpniu 2021, z zapowiedzią, że Joomla 3.x przestanie być wspierana. Miałeś 2 lata na migrację. Jednym z powodów wydania nowej wersji jest zapewnienie bezpieczeństwa właśnie (dzisiaj, żaden z użytkowników win7 nie będzie miał pretensji o wirusy ).
    Polecam ten raport https://sucuri.net/reports/2022-hacked-website-report/ to może zrozumiesz dlaczego masz problem ze stroną . Na pocieszenie mogę powiedzieć, że masz szczęście, że to nie WP.

  5. #5
    Przeglądacz vienio52 awatar
    Dołączył
    14-07-2010
    Skąd
    Wroclaw, PL
    Wpisy
    76
    Punkty
    10

    Domyślny

    Cytat Wysłane przez terra Zobacz wiadomość
    To jakieś pretensje, ......
    To żadne pretensje. Pytanie/stwierdzenie było w zasadzie retoryczne, a spowodowane tym, że na każdym etapie rozwoju wersji np joomla bardzo często występują problemy z bezpieczeństwem, choćby na dany moment były zainstalowane aktualne poprawki. Moja opinia ogólnie dotyczyła tego, że używanie środowisk typu joomla wymaga wielu dodatkowych czynności poza aktualizacją kontentu i jest to uciążliwe, wymagające ciągłego sprawdzania i nadzoru.
    Tak, przeemigruję serwis, pracuję nad tym. Zauważ, że np. poprzez kupno i instalację RSFirewall, wykonywanie backupów staram się zabezpieczać swoje zasoby.
    Pozdrawiam
    --
    pozdrawiam, vienio
    don't give up, to be happy!

  6. #6
    Wyjadacz terra awatar
    Dołączył
    26-05-2017
    Skąd
    Wrocław
    Wpisy
    920
    Punkty
    87

    Domyślny

    pytanie było w kontekście joomla i rozwiązań open source, skoro retoryczne, to powinno być inaczej formułowane np. "dlaczego jest tylu ludzi, którzy piszą wirusy ?" albo "dlaczego ignorując poprawki mam problemy ?" "dlaczego instalowane są na stronie **** rozszerzenia ?", nieprawdaż ?.
    Pracuję z Joomla wiele lat i jeśli system jest na bieżąco aktualizowany, używane są aktualne rozszerzenia, do tego sprawdzone, to strona nie sprawia żadnych problemów bezpieczeństwa, ba nawet nie wymaga specjalnych rozszerzeń bezpieczeństwa.

    W praktyce mamy 2 typy ataków na strony:
    1. ok 99% ataków to, automatyczne skanery, które wyszukują cms'a', sprawdzają znane luki i poprzez nie, automatycznie instalują skrypty (większoć stron internetowych)
    2. pozostałe 1% , to dedykowane ataki na określone strony, z określonym zasobem. (duże i popularne serwisy, najczęściej z danymi kart do płatności)

    obrona przed pierwszym, jest oczywiście banalna, to stosowanie podstawowych zasad, co do np. używanych haseł oraz aktualizacji systemu, w przypadku drugiego typu, jest trudniej.
    Obrona przed dedykowanym atakiem nie jest łatwa i wymaga sporej wiedzy oraz zasobów do obrony. Tutaj przydają się DMZ'y, sondy, firewall'e , antivir'y itp.

    Podsumowując : Jeśli spojrzysz na raport, to zobaczysz, że większość infekcji, jest wynikiem braku aktualizacji [wina właściciela ?] (ponad 50% stron nie jest aktualizowana, mimo że ma zaimplementowany system, na to pozwalający), a większość problemów to stosowanie wadliwych rozszerzeń (Joomla, dla bezpieczeństwa, przynajmniej narzuca programowanie zgodne z framework'iem). Jak myślisz, gdzie powinny zostać zlokalizowane Twoje problemy ? Czy uzasadnione jest Twoje "narzekanie" ?

    Dla przykładu Joomla jak i WP, informuje o istniejącej aktualizacji, którą wykonujesz błyskawicznie. Nie wmówisz mi, że 3 kliknięcia, to skomplikowany proces aktualizcji. ( na marginesie. WP to rozwiązanie komercyjne https://en.wikipedia.org/wiki/Automattic !!!, udzielane na zasadach open source, więc ma zupełnie inne wsparcie, a jednak generuje większość problemów, Joomla jest rozwijana wolontaryjnie !!! )

    PS. Operator hostingu też ma znaczenie

  7. #7
    Wyjadacz
    Dołączył
    03-12-2007
    Skąd
    Lublin
    Wpisy
    682
    Punkty
    48

    Domyślny

    Cytat Wysłane przez vienio52 Zobacz wiadomość
    To żadne pretensje. Pytanie/stwierdzenie było w zasadzie retoryczne, a spowodowane tym, że na każdym etapie rozwoju wersji np joomla bardzo często występują problemy z bezpieczeństwem, choćby na dany moment były zainstalowane aktualne poprawki. Moja opinia ogólnie dotyczyła tego, że używanie środowisk typu joomla wymaga wielu dodatkowych czynności poza aktualizacją kontentu i jest to uciążliwe, wymagające ciągłego sprawdzania i nadzoru.
    Tak, przeemigruję serwis, pracuję nad tym. Zauważ, że np. poprzez kupno i instalację RSFirewall, wykonywanie backupów staram się zabezpieczać swoje zasoby.
    Pozdrawiam
    Ta dyskusja do niczego nie doprowadzi. Jak kupisz auto to jeździsz przez 10 lat nic nie robiąc? Czy może przeciwnie zbliża się zima zmieniasz opony, zbliża się wiosna zmieniasz opony, przejechałeś określony dystans zmieniasz olej, Dziecko na tylnym siedzeniu oddało obiad, musisz posprzątać. Klocki hamulcowe się skończyły to je wymieniasz. Niby nowe auto a ciągle trzeba przy nim robić. Jeżeli to jest dla Ciebie uciążliwe to oddajesz auto do serwisu oni to robią a ty pijesz kawkę i oglądasz telewizję lub czytasz gazetę. Tak samo jest ze stronami internetowymi, bez znaczenia jakiego CMS-a używasz. Strony stały się na tyle skomplikowane od strony kodu, że prościej jest oddać pod opiekę komuś i zapłacić. Będziesz miał więcej czasu dla siebie i obejrzysz jakiś film na netflix-ie To jest dokładnie to samo co auto, więc twoje tłumaczenia do niczego nie doprowadzą.

    Wracając do twoich pytań wcześniej


    Cytat Wysłane przez vienio52 Zobacz wiadomość
    katalog 9. witryny
    Jak powinienem odseparować katalogi powiązane z różnymi domenami?
    Nie wiem jaki masz hosting ale o to powinieneś zapytać swojego dostawcy w jaki sposób odseparuje witryny na twoim planie hostingowym. Przykładowo może to być np PHP open_basedir i wiele problemów odejdzie. Pytaj usługodawcę a on na pewno da Ci konkretną odpowiedź jak to rozwiązał w swojej infrastrukturze.



    Cytat Wysłane przez vienio52 Zobacz wiadomość
    Ad3. Piszesz o monitorowaniu stron - masz na myśli jakiś automatyczny mechanizm?
    W jaki sposób (ogólnie) mam monitorować np. pliki index.php
    Tak musi być to automat. Nie wyobrażam sobie abyś dosłownie parę plików sprawdzał codziennie ręcznie czy nastąpiła zmiana. Mnożąc to razy ilość witryn nagle okaże się, że z kilku plików zrobi się kilkadziesiąt lub kilkaset! Bez automatu fizycznie tego nie dasz rady wykonać. Aby to wykonać możesz napisać własny skrypt który będzie monitorował lub kupić gotowe rozwiązania. Sprawdź czy RSFirewall ma taki mechanizm. Znam to narzędzie sprzed bardzo wielu lat ale zdecydowałem się na rozwiązania konkurencji czyli Akeeby która taki mechanizm posiada.

Podobne tematy

  1. Trojan JS:Cruzer-D
    przez zszalbot na forum Bezpieczeństwo
    Odpowiedzi: 4
    Ostatni post/autor: 01-06-2009, 00:45
  2. Szpiegujący trojan na komputerze, namieszał przez FTP
    przez halohalo.pl na forum Sprawy bezpieczeństwa Joomla!
    Odpowiedzi: 3
    Ostatni post/autor: 20-04-2009, 15:56
  3. Trojan-Downloader.JS.Iframe na serwisie w joomla
    przez akkicaante na forum Off topic
    Odpowiedzi: 7
    Ostatni post/autor: 06-04-2009, 12:24
  4. Doklejany kod do plików index trojan
    przez sylwekb na forum Bezpieczeństwo
    Odpowiedzi: 8
    Ostatni post/autor: 20-02-2009, 16:35
  5. Trojan z Shoutbox-a
    przez Kriskce na forum Różne
    Odpowiedzi: 1
    Ostatni post/autor: 03-02-2007, 00:47

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •