Zmasowany atak z Rosji?

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Ostatnimi dniami kilkadziesiąt lub kilkaset (?)  stron z całego świata, bazujących na różnego typu CMS (w tym na pewno Joomla 1.5, 1.0.x, Concret5, WordPress), a nawet skrypty forum – padły ofiarami ataku w wyniku którego do niektórych plików został doklejony złośliwy kod w górnej części. O drupalu nic mi nie wiadomo, ale przyznaje, że nie szukałem pod tym kątem.

Z tego co udało mi się dowiedzieć od osób którym ów komunikat wyskoczył próbuje  pobrać program SECURITY SHIELD (oczywiście fałszywy)  i zainstalować. Jest to na tyle sprytny kod, że wyświetla się losowo, więc możesz być przekonany, że twoja strona jest czysta, a w rzeczywistości ucierpią Twoi czytelnicy (klienci).

Na szczęście Joomla 2.5.3 – jest odporna, bowiem nie znalazłem przypadku, aby ktoś opisywał ów problem.

A teraz najważniejsze, sugeruje, abyś przeskanował wszystkie pliki na serwerze (głównie te z rozszerzeniem .php)  pod kątem występowania frazy: aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw   – która jest zakodowanym szkodliwym adresem URL !! jego IP to 195.88.181.35 – więc jeśli masz taką możliwość zablokuj go także z poziomu pliku .htaccess.

Jeśli znajdziesz (czego ci nie życzę!) ów frazę w swoich plikach, ustaw stronę w tryb OFFLINE i nadpisz z czystej instalacji zainfekowane pliki.

U mojego klienta złośliwy kod był w plikach index.php – wszystkich szablonów, plikach index.php – w folderze administrator, a także footer.php w folderze /includes oraz jeszcze w dwóch innych folderach. Uwaga w kodzie php jest mylący komunikat // This code use for global bot statistic  – co ma zmylić twoją czujność!

Następnie zmień hasło do FTP i Zaplecza Joomla. Kiedy już się z tym uporasz, możesz włączyć stronę.

Aktualnie jestem w fazie szukania, jak oni się dostali do J1.5 (będę informował)