Jak można złośliwy kod przegapić…

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Dziś mimo przeziębienia, zająłem się pilną sprawą klienta. Otóż otrzymał on od znajomego zrzut ekranu z informacją, że na jego stronie pojawia się ostrzegawczy komunikat (rysunek poniżej). W pierwszej chwili myślałem, że to właśnie to narzędzie jest podejrzane, tyle słyszy się o fałszywych antywirusach etc.. Jednakże po krótkiej analizie wyników google, okazało się, że to co innego.

Moje podejście zmieniło się radykalnie, skoro to nie program, znaczy że to strona www została zainfekowana. Zdziwiłem się lekko ponieważ klient ma nie tylko na bieżąco aktualizowany silnik CMS, ale i kilka dodatków extra do ochrony. Przejrzałem zawartość index.php szablonu i znalazłem winowajce, w postaci doklejonego zaszyfrowanego kodu. Szukałem dalej, ponieważ trudno jest do pliku szablonu ot tak coś dopisać bez dostępu do FTP-a, czy innej dziury.

Ponieważ stroną administruje kilka osób, o różnej znajomości Joomla! – wpadłem na trop zainstalowanego komponentu com_hwdvideoshare. Ogólnie jak powszechnie wiadomo, jest to rozszerzenie służące do wyświetlania filmów. A ponieważ jest komercyjne, wiele osób z czystej oszczędności sięga po pirackie wersje. Tym sposobem instaluje różne wynalazki dodatkowe na stronach swoich klientów, tragedia. Cóż z tego że zostało odinstalowane, skoro najgorszy – zainfekowany kod pozostał. Żeby było trudniej, jak zauważyłem kod jest doklejany tak sprytnie – tzn. z przesunięciem, że przeglądając edytorem HTML można go łatwo przeoczyć.

Oczywiście wszystkie niespodzianki usunąłem, a klient otrzymał dwie rzeczy: informacje, aby pouczyć swoich redaktorów oraz komponent SCOUT Activity log, aby śledzić ich poczynania. Na szczęście, ów dodatkowy kod wyświetlał „tylko” reklamy w postaci linków, ale nie zmienia to faktu, iż mogło być o wiele gorzej. Wniosek nasuwa się sam, najsłabszym ogniwem jest przeważnie człowiek.

  • bardzo dobry przykład sytuacji kiedy piractwo nie popłaca! 🙂

  • Jacek

    Dokładnie, nie popłaca. Ale wytłumacz to dzieciakom, którzy za 400zł robią „profeszionalne” strony…

  • A w sumie to dobrze że są takie sytuacje,
    bo gdyby wszystko działało bez problemów,
    to po co byśmy byli … 🙂

    PS
    Zawsze coś podejrzewałem (spiskowa teoria dziejów), że twórcy wszelkich robaków, wirusów i całego tego paskudctwa są na etatach w firmach produkujących oprogramowanie antywirusowe 🙂

  • andrzejart

    jest też wersja bezpłatna ! komponenty komercyjne nie nulled dodają też bardzo często od siebie czego nie znoszę

  • Kris72

    OK… A co jeśli jest zmieniony gdzieś kod i o tym nie wiemy? Jak to sprawdzić? Są jakieś komponenty, pluginy czuwające nad zmianami folderów, plików? Dziękuję

  • Tak są, bowiem np. RSfirewall robi skan i sprawdza, które pliki systemowe uległy zmianie i „krzyczy”. Podobną rolę pełnił GuardXT – tyle, że chyba już nie jest rozwijany.