Zmasowany atak z Rosji?

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Ostatnimi dniami kilkadziesiąt lub kilkaset (?)  stron z całego świata, bazujących na różnego typu CMS (w tym na pewno Joomla 1.5, 1.0.x, Concret5, WordPress), a nawet skrypty forum – padły ofiarami ataku w wyniku którego do niektórych plików został doklejony złośliwy kod w górnej części. O drupalu nic mi nie wiadomo, ale przyznaje, że nie szukałem pod tym kątem.

Z tego co udało mi się dowiedzieć od osób którym ów komunikat wyskoczył próbuje  pobrać program SECURITY SHIELD (oczywiście fałszywy)  i zainstalować. Jest to na tyle sprytny kod, że wyświetla się losowo, więc możesz być przekonany, że twoja strona jest czysta, a w rzeczywistości ucierpią Twoi czytelnicy (klienci).

Na szczęście Joomla 2.5.3 – jest odporna, bowiem nie znalazłem przypadku, aby ktoś opisywał ów problem.

A teraz najważniejsze, sugeruje, abyś przeskanował wszystkie pliki na serwerze (głównie te z rozszerzeniem .php)  pod kątem występowania frazy: aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw   – która jest zakodowanym szkodliwym adresem URL !! jego IP to 195.88.181.35 – więc jeśli masz taką możliwość zablokuj go także z poziomu pliku .htaccess.

Jeśli znajdziesz (czego ci nie życzę!) ów frazę w swoich plikach, ustaw stronę w tryb OFFLINE i nadpisz z czystej instalacji zainfekowane pliki.

U mojego klienta złośliwy kod był w plikach index.php – wszystkich szablonów, plikach index.php – w folderze administrator, a także footer.php w folderze /includes oraz jeszcze w dwóch innych folderach. Uwaga w kodzie php jest mylący komunikat // This code use for global bot statistic  – co ma zmylić twoją czujność!

Następnie zmień hasło do FTP i Zaplecza Joomla. Kiedy już się z tym uporasz, możesz włączyć stronę.

Aktualnie jestem w fazie szukania, jak oni się dostali do J1.5 (będę informował)

  • Brok

    O kurde, a mam jeszcze kilka witryn nie zmigrowanych z J! 1.5 na 2.5… W jaki elegancki sposób przeskanować zawartość serwera pod kątem ww. wyrażenia? Zgrać całość i jakimś programem potrafiącym przeszukiwać zawartość plików – przeszukać je?

  • Aleksander

    Na forum.joomla.pl skorzystaj z wyszukiwarki filtrując pod kątem hasła „wypier”. Znajdziesz m.in. mój post (http://forum.joomla.pl/showthread.php?57792-Zainfekowane-pliki-szukanie-i-usuwanie&highlight=wypier patrz na post #3), w którym sugerowałem wykorzystanie pliku wypier.php (polecanego przez @Idka). Trzeba go pograć ze wskazanego tam linka, wgrać na serwer do głównego katalogu z plikami Joomla! i wywołać wpisując adres http://adrestwojejwitryny/wypier.php. Zostanie pokazana lista plików w kolejności ostatnich modyfikacji w nich dokonywanych.

  • AK.

    @Brok: choćby Total Commander, ALT+F7, „szukaj w:” „*.*”, „Znajdź tekst” i tu szukana fraza. Potem można Notepadem++ zrobić zamianę tekstu we wszystkich plikach w folderze, jeżeli nie masz backupu.
    @PF: atakowane są również pliki „default.php”, przynajmniej w moim przypadku. Nie pomogła zmiana hasła do FTP-a i admina, włamanie miałem 3 razy z rzędu zanim się przeniosłem na 2.5. Chętnie dowiem się, jak to diabelstwo się dosatje na serwer.

  • Oli

    A co z Drupalem ?

  • zdzich

    Kolego to się zdecyduj. Raz piszesz, że nie znalazłeś, kilka wersów poniżej że znalazłeś. Poza tym nie publikujesz komentarzy, które są krytyczne wobec joomli.

  • Mega dzięki za tego newsa. Wszystko poskanowane, czyściutko : ) Szacun dla IQ PL, że poskanowali sami i nie musiałem ściągać tony plików : )

  • Szymon

    Może ktoś wrzucić gotowy plik php, który przeszuka nam cały serwer?

  • Mariusz

    Dobry pomysl, bedziemy bardzo wdzieczni, bo na nazwa.pl to raczej uprosic sie o to nie da a plikow mam bardzo duzo…

  • drupal

    Drupal jest bezpieczny, to trudny ale bardzo bezpieczny cms.

  • jeśli masz VPS logujemy się przez SSH i z poziomu domains/ komenda find -type f -name ‚*.php’ -exec grep -s aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw {} \; -print

  • yesoos

    Problem nie dotyczy samych CMSow, mam stronę, którą napisalem sam i równiez ow kod został dodany do plikow index.php , jednak zostal dodany w taki sposob ze strona przestala dzialac.

  • ten syf nie atakuje i nie wykorzystuje luk serwisów, wykorzystuje luki programów np. zapisane hasła w total commander – logując się na ftp przeszukjąc go pod kątem klucza (np. pliki – index.php, index.html itp…) dodając do nich szkodliwy kod