Włam do joomla, loader trojanów

[inkos]

aha. czyli tak naprawde sam powod problemu nie byl w joomli tylko w wirusie ladowanym dzieki joomli ?? tak to rozumiem ??

W tym przypadku po dokładnej analizie logów wyszło że to nie Joomla była winowajcą ale zainfekowany trojanem lokalny komputer z którego administrowano stroną. Zresztą te infekcje to problem nie tylko dotyczący Joomlowych stron. Sam już znalazłem wiele stron opartych na różnej maści CMS-ach ale i także stronach statycznych które na końcu kodu miały właśnie taki oto "prezent" dla odwiedzających. Najczęsciej tak jak w tym przypadku są to właśnie przedstawiciele ciekawej rodzinki trojanów Agent i podobnych.

Od tego czasu po lekturze forum.joomla.org i wprowadzeniu wszystkich tych zasad jakie opisałem powyżej jest spokój. Choć w logach jeszcze przez jakiś czas były odnotowane próby wejścia z tych IP z których nastąpił atak.

[mard]

czyli co tu debatowac odpowiedni antywirus oraz firewall generalnie zabezpiecza przed probleme, a naprawa...coz trzeba by chyba dokladnie przegladnac pliki, pousuwac "zly" kod i oczywiscie pozmieniac hasla.)

nawiasem mowiac chyba o problemie nie slyszalem zbyt wiele, gdyz jakos szczesliwie wirusy mnie omijaja

[inkos]

nawiasem mowiac chyba o problemie nie slyszalem zbyt wiele, gdyz jakos szczesliwie wirusy mnie omijaja

Przezorny zawsze zabezpieczony. Czysty własny komp to większa szansa na czystą witrynę na serwerze. No i pewniejszy święty spokój.

A co do naprawy to akurat te "wizyty" ograniczają się tylko do dodania kodu lub podmiany plików na serwerze FTP. Stąd jeśli jest backup to nie ma problemu a jeśli go nie ma to najczęściej te pliki można podmienić z paczki. O ile w wersji na servku nie było autorskich zmian. ;)

[mirrr]

Jeden z antyvirów, na których pracowałem wykrył Trojan.Clicker.HTML.IFrame.is I blokował w ogóle odstęp do strony. Jak zmieniłem usunąłęm ten kod tylko w index.php strona chodziła bezbłędnie, ale nie moglem zalogować się do panelu admina.
Jak naprawiałem (podmieniałem) pliki zauważyłem,�*że nie ruszono wogóle dodanych komponentow, botów i modułów dodanych. Tylko orginalne z paczki Joomli. I Coopemine - myślę, że tu była przyczyna. Według mnie to było coś w stylu XSS Dość�*obszerny artykuł na ten temat TUTAJ

[mirrr]

Witam.

Na początku sorry, za odświeżenie tamatu, ale nie am sensu zakładać nowego a ciąg dalszy nastąpił. Raczej chyba nie "wyleczyłem" Joomli chyba do końca . Otwarłem ostatnio swoją stronke pod IE7 i od razu problemy pokazały sie problemy. Ale po kolei. Przeszukałem wszystkie pliki, ściągnąłem z serwera, przeskanowałem antyvirem, podmieniłem na orginały na serwerze i dalej to samo. Nie mogę znaleźć pliku odpowiadającego za wyświetlanie strony głównej - a w zasadzie fragmentu widocnego na screenie:


Jak można zauważyć - tylko w Operze - nad tytułem pierwszego newsa są wstawione kilka razy znaczniki <iframe> nad pozostałymi "tylko" raz. Usiłuję znaleźć plik, który za to odpowiada, bo tam zapewne jest wrzucony kod:

Kod PHP:

<iframe src="http:.................." width=1 height=1></iframe> 


z adresem zapisanym w ASCII przekierowujący do: http://cdpuvbhfzz.com/dl/adv598.php. Pod IE7 włącza się jakaś podejrzana aktualizacja Javy.

Proszę o pomoc, już nie wiem gdzie mam szukać. Z bazy pousuwałem zbędne tabele, wydaje się, że jest czysta.

Z góry dzieki.
Mirrr
Joomla!1.0.13 zaktualizowana w ostatnich dniach do 1.0.15.

[stasio]

Ogólnie co do coppermine i joomla oraz iframe walczyłem z tym na dwóch serwerach i jakby ktoś szukał w forum znalazłem rozwiązanie dla siebie moze pomoże...

http://www.forum.joomla.pl/showthrea...0362#post70362
http://www.forum.joomla.pl/showthread.php?t=17491

trzeba aktualizować coppermine.... konkretniej plik upload.php jest juz wersja copera 1.1.18 (chyba).... i backup serwera... bo iframe zagnieżdża się w każdym pliku php i html....

[mirrr]

Coopermine już wywaliłem całkiem, zostawiłem tylko folder albums i fotki w środku. Tak jak pisałem wszystko ściągnąłem i przeskanowałem antyvirem - wyłapał 3 zainfekowane pliki. Oczywiście podmieniłem je na orginały. Podmieniłem też wszystkie pliki .php i .html na orginały. Bez efektu. Ogólnie dział bezpieczeństwa prześwietliłem ostatnio bardzo dokładnie - stąd m. in wywalenie Coopermine Może ktoś wie, który plik odpowiada za układ i wyświetlanie elementów na stronie głównej - domyślam się, że tam powinnien być problem. index.php w szablonie jest czysty.

[inkos]

Pocieszę cię - musisz przeglądnąć wszystkie pliki index.php index2.php index.html default.php itp w glownych podkatalogach czyli:
administrator\
components\
etc.
Jak masz szczescie to nie bedziesz musial isc o jeszcze jeden poziom nizej.
Jak je wszystkie posprzatasz to powinno byc juz spokoj.

[stasio]

no chyba ze masz na serwerze inne katalogi u mnie było do naprawienia blisko pół miliona plików... no ale co... płacą extra to sie robi

[inkos]

no chyba ze masz na serwerze inne katalogi u mnie było do naprawienia blisko pół miliona plików... no ale co... płacą extra to sie robi

Prosciej bylo Joomle przeinstalowac i podpiac stara baze niz sie tak meczyc. Ale przy okazji poznales dokladnie strukture plikow Joomla. A tych plikow nie ma az tak duzo - bez przesady jest ich ow wiele mniej niz z pol miliona.