Ostatnimi dniami kilkadziesiąt lub kilkaset (?) stron z całego świata, bazujących na różnego typu CMS (w tym na pewno Joomla 1.5, 1.0.x, Concret5, WordPress), a nawet skrypty forum – padły ofiarami ataku w wyniku którego do niektórych plików został doklejony złośliwy kod w górnej części. O drupalu nic mi nie wiadomo, ale przyznaje, że nie szukałem pod tym kątem.
Z tego co udało mi się dowiedzieć od osób którym ów komunikat wyskoczył próbuje pobrać program SECURITY SHIELD (oczywiście fałszywy) i zainstalować. Jest to na tyle sprytny kod, że wyświetla się losowo, więc możesz być przekonany, że twoja strona jest czysta, a w rzeczywistości ucierpią Twoi czytelnicy (klienci).
Na szczęście Joomla 2.5.3 – jest odporna, bowiem nie znalazłem przypadku, aby ktoś opisywał ów problem.
A teraz najważniejsze, sugeruje, abyś przeskanował wszystkie pliki na serwerze (głównie te z rozszerzeniem .php) pod kątem występowania frazy: aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw – która jest zakodowanym szkodliwym adresem URL !! jego IP to 195.88.181.35 – więc jeśli masz taką możliwość zablokuj go także z poziomu pliku .htaccess.
Jeśli znajdziesz (czego ci nie życzę!) ów frazę w swoich plikach, ustaw stronę w tryb OFFLINE i nadpisz z czystej instalacji zainfekowane pliki.
U mojego klienta złośliwy kod był w plikach index.php – wszystkich szablonów, plikach index.php – w folderze administrator, a także footer.php w folderze /includes oraz jeszcze w dwóch innych folderach. Uwaga w kodzie php jest mylący komunikat // This code use for global bot statistic – co ma zmylić twoją czujność!
Następnie zmień hasło do FTP i Zaplecza Joomla. Kiedy już się z tym uporasz, możesz włączyć stronę.
Aktualnie jestem w fazie szukania, jak oni się dostali do J1.5 (będę informował)
O kurde, a mam jeszcze kilka witryn nie zmigrowanych z J! 1.5 na 2.5… W jaki elegancki sposób przeskanować zawartość serwera pod kątem ww. wyrażenia? Zgrać całość i jakimś programem potrafiącym przeszukiwać zawartość plików – przeszukać je?
Na forum.joomla.pl skorzystaj z wyszukiwarki filtrując pod kątem hasła „wypier”. Znajdziesz m.in. mój post (http://forum.joomla.pl/showthread.php?57792-Zainfekowane-pliki-szukanie-i-usuwanie&highlight=wypier patrz na post #3), w którym sugerowałem wykorzystanie pliku wypier.php (polecanego przez @Idka). Trzeba go pograć ze wskazanego tam linka, wgrać na serwer do głównego katalogu z plikami Joomla! i wywołać wpisując adres http://adrestwojejwitryny/wypier.php. Zostanie pokazana lista plików w kolejności ostatnich modyfikacji w nich dokonywanych.
@Brok: choćby Total Commander, ALT+F7, „szukaj w:” „*.*”, „Znajdź tekst” i tu szukana fraza. Potem można Notepadem++ zrobić zamianę tekstu we wszystkich plikach w folderze, jeżeli nie masz backupu.
@PF: atakowane są również pliki „default.php”, przynajmniej w moim przypadku. Nie pomogła zmiana hasła do FTP-a i admina, włamanie miałem 3 razy z rzędu zanim się przeniosłem na 2.5. Chętnie dowiem się, jak to diabelstwo się dosatje na serwer.
A co z Drupalem ?
Kolego to się zdecyduj. Raz piszesz, że nie znalazłeś, kilka wersów poniżej że znalazłeś. Poza tym nie publikujesz komentarzy, które są krytyczne wobec joomli.
Mega dzięki za tego newsa. Wszystko poskanowane, czyściutko : ) Szacun dla IQ PL, że poskanowali sami i nie musiałem ściągać tony plików : )
Może ktoś wrzucić gotowy plik php, który przeszuka nam cały serwer?
Dobry pomysl, bedziemy bardzo wdzieczni, bo na nazwa.pl to raczej uprosic sie o to nie da a plikow mam bardzo duzo…
Drupal jest bezpieczny, to trudny ale bardzo bezpieczny cms.
jeśli masz VPS logujemy się przez SSH i z poziomu domains/ komenda find -type f -name '*.php’ -exec grep -s aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw {} \; -print
Problem nie dotyczy samych CMSow, mam stronę, którą napisalem sam i równiez ow kod został dodany do plikow index.php , jednak zostal dodany w taki sposob ze strona przestala dzialac.
ten syf nie atakuje i nie wykorzystuje luk serwisów, wykorzystuje luki programów np. zapisane hasła w total commander – logując się na ftp przeszukjąc go pod kątem klucza (np. pliki – index.php, index.html itp…) dodając do nich szkodliwy kod