Dziś mimo przeziębienia, zająłem się pilną sprawą klienta. Otóż otrzymał on od znajomego zrzut ekranu z informacją, że na jego stronie pojawia się ostrzegawczy komunikat (rysunek poniżej). W pierwszej chwili myślałem, że to właśnie to narzędzie jest podejrzane, tyle słyszy się o fałszywych antywirusach etc.. Jednakże po krótkiej analizie wyników google, okazało się, że to co innego.

Moje podejście zmieniło się radykalnie, skoro to nie program, znaczy że to strona www została zainfekowana. Zdziwiłem się lekko ponieważ klient ma nie tylko na bieżąco aktualizowany silnik CMS, ale i kilka dodatków extra do ochrony. Przejrzałem zawartość index.php szablonu i znalazłem winowajce, w postaci doklejonego zaszyfrowanego kodu. Szukałem dalej, ponieważ trudno jest do pliku szablonu ot tak coś dopisać bez dostępu do FTP-a, czy innej dziury.

Ponieważ stroną administruje kilka osób, o różnej znajomości Joomla! – wpadłem na trop zainstalowanego komponentu com_hwdvideoshare. Ogólnie jak powszechnie wiadomo, jest to rozszerzenie służące do wyświetlania filmów. A ponieważ jest komercyjne, wiele osób z czystej oszczędności sięga po pirackie wersje. Tym sposobem instaluje różne wynalazki dodatkowe na stronach swoich klientów, tragedia. Cóż z tego że zostało odinstalowane, skoro najgorszy – zainfekowany kod pozostał. Żeby było trudniej, jak zauważyłem kod jest doklejany tak sprytnie – tzn. z przesunięciem, że przeglądając edytorem HTML można go łatwo przeoczyć.

Oczywiście wszystkie niespodzianki usunąłem, a klient otrzymał dwie rzeczy: informacje, aby pouczyć swoich redaktorów oraz komponent SCOUT Activity log, aby śledzić ich poczynania. Na szczęście, ów dodatkowy kod wyświetlał „tylko” reklamy w postaci linków, ale nie zmienia to faktu, iż mogło być o wiele gorzej. Wniosek nasuwa się sam, najsłabszym ogniwem jest przeważnie człowiek.

Biuletyn elimu

Wysyłany raz w miesiącu

Nie spamujemy! Zajrzyj do polityki prywatności po więcej informacji