Malware: MW:HT:291 (.htaccess)

Autor i-sensys, 04. Travanj 2012, 15:47

0 Članovi i 1 Gost pregledava ovu temu.

Ispis
Dolje  Str1
User actions

i-sensys

04. Travanj 2012, 15:47 Last Edit: 10. Travanj 2012, 22:00 by Bernard T.
Imam stranicu rađenu u joomli 1.5.22, i preko tražilica se redirecta na neke druge stranicu u Rusiji, otkrio sam da se radi o malweru MW:HT:291 koji mijenja .htaccess, obrišeš ga on se ponovo generira. Ima li kakve pomoči kako očistiti taj malwer?

papillon

#1
05. Travanj 2012, 18:21
Osim ako ti Joomla nije sa tvom serveru koji odrzavas nije ti potreban nikakav soft, zbog nedostupnosti ostalih datoteka, to je sto se tice tvoje ankete, no preko http://sitecheck.sucuri.net/scanner/ mozes provjeriti svoj site recimo..

Pomocu ovoga linka http://docs.joomla.org/Security_Checklist_7 mozda rijesis svoj prob, no sto se tice malwarea, najbolji nacin je cjelokupni backup, prije svega promjeni sve passworde, FTP u prvom redu, cpanel, Joomla admin user... Mogao si nam ostaviti i i link na site ;)
Na http://docs.joomla.org/Vulnerable_Extensions_List imas addone sa problemima, ako na listi nadjes neki od svojih dodataka brisi ga.. To ti je onako odokativno :)

wooer

#2
05. Travanj 2012, 18:38
Kako sam danas saznao od Bernarda izgleda da nisi baš jedini s ovim problemom zadnjih dana.
Očekuj od njega ovih dana izvješće o problemu i rješenje istog bilo u vidu ručnog uklanjanja ili nekakve automatizirane skripte.

Definitivno provjeri zadnji link koji je papillon dao jer se tamo nalazi popis dodataka preko kojih je najvjerojatnije izvršen upad.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity
Documentation & Translation Team Member

dejosa

#3
09. Travanj 2012, 14:37
Citat: i-sensys  u 04. Travanj 2012, 15:47
Imam stranicu rađenu u joomli 1.5.22, i preko tražilica se redirecta na neke druge stranicu u Rusiji, otkrio sam da se radi o malweru MW:HT:291 koji mijenja .htaccess, obrišeš ga on se ponovo generira. Ima li kakve pomoči kako očistiti taj malwer?

Pozdrav, reci mi da li se radi o stranici jamkim.ru na koju te redirekta?Ako ne , bez obzira na koju , ja sam imao taj problem nedavno i riješio ga. Da li si ti riješio svoj?
Uglavno preko neke skripte ti mjenjaju .htaccess file. Kod mene je bio slučaj sa skriptom od jednog swf file koji sam ubacio i nema veze sa joomlom.

i-sensys

#4
09. Travanj 2012, 17:49
Nisam još riješio problem, uglavnom znam da neka skripta svakih sat - sat i pol mijenja .htaccess i upiše mi svaki puta drugu stranicu, Rusku, i tu koju navodiš. Web stranica je www.horizontvg.hr. da li znaš o kojoj skripti se radi i da li je mogu obrisati?

erbi

#5
09. Travanj 2012, 21:22
Pa si siguran, da je skripta? Pokušaj promjeniti ftp i control panel password i prije toga pretraži PC.

i-sensys

#6
10. Travanj 2012, 08:41
Hoster mi je pronašao ovo: "public_html/tmp/jos_8rkx.php" i obrisao i sad se ne generira .htaccess, ali preko tražilica mi se stalno otvara google.com, ima li tko kakvu ideju?

papillon

#7
10. Travanj 2012, 15:39
Tvoju stranicu meni uredno otvara preko Google-a, Yahoo-a, Binga..  Sucuri kaze da ti je stranica cista, pogledaj ti svoj komp ipak ;)

Bernard [ExaByte]

#8
10. Travanj 2012, 21:35 Last Edit: 10. Travanj 2012, 22:10 by Bernard T.
Evo i mene s malim zakašnjenjem.

Da, ovaj malware/napad je učestao posljednjih dvadesetak dana. Upravo zbog toga što se maliciozan kod ubacuje u .htaccess datoteke (čak i izvan 'webroot' folder) ovaj napad nije ograničen samo na Joomla! siteove, zaraženi su podjednako Wordpressi, Drupali, pa čak i mnogi statični HTML sajtovi. Evo više informacija u diskusiji ovdje

U pravilu metoda zaraze je slijedeća:

  • napadači pronađu neku VEL ekstenziju, ili prastaru Joomlu koji imaju RFI propust
  • propuste iskoriste za ubacivanje maliciozne datoteke, najčešće u ./tmp folder, ali ima prijava da su nađene i u ./templates ili ./media
  • maliciozne datoteke u zaglavlju najčešće imaju "vBulletin" tekst, no to je samo varka
  • maliciozne datoteke najčešće imaju imena poput ovih Jos_core.php, jos_eq4h.php, jos_lz5j.php, ali moguća si u druga imena
  • maliciozne datoteke su vrlo opasne pošto napadaču omogućavaju pristup kompletnom hosting diskovnom prostoru (FTP root), te napadač može napraviti/uploadati bilo što na zaraženom hosting prostoru
  • ono što se najčešće dogodi je da se u .htaccess ubacuje ograničena redirekcija koja djeluje na taj način da preusmjerava na razne ruske stranice, ali samo ako posjetitelj dođe s Googla ili grupice drugih pretraživača; ako se dolazi direktno na domenu (upisom URL u adressbar) neće doći do preusmjerenja, pa mnogi tek nakon nekog vremena shvate što se događa

Što napraviti?

  • očistite .htaccess ili ga zamjenite originalnim kopiranjem iz htaccess.txt u .htaccess
  • pronađite i izbrišite zaražene datoteke, pogledajte gore za popis najčešćih direktorija i imena datoteka
  • za skeniranje možete iskoristiti i moju JAMSS skriptu koja je u beta testiranju - svaka prijava uspjeha ili problema sa skriptom je dobrodošla  :nevin:
  • nadogradite svoju Joomlu na najnoviju verziju
  • nadogradite sve svoje ekstenzije na najnovije verzije, te provjerite da se neka od njih ne nazi u VEL listi

Ako želite pomoć oko pregleda instaliranih ekstenzija, molim da koristite FPA - Forum Post Assistant koji će vam pomoći da jednostavno generirate izvještaj sa svim potrebnim informacijama o vašoj Joomli - a ako su vam potrebne upute pronađite ih ovdje

dejosa

#9
11. Travanj 2012, 20:33 Last Edit: 11. Travanj 2012, 20:37 by dejosa
Citat: i-sensys  u 09. Travanj 2012, 17:49
Nisam još riješio problem, uglavnom znam da neka skripta svakih sat - sat i pol mijenja .htaccess i upiše mi svaki puta drugu stranicu, Rusku, i tu koju navodiš. Web stranica je www.horizontvg.hr. da li znaš o kojoj skripti se radi i da li je mogu obrisati?

Upravo kako je papilon rekao i meni tvoja stranica radi savim ok.Ako koristiš Chromu reinstaliraj je, jer ona dugo kešira podatke.

Ako si riješio problem obavezno promjeni sve lozinke i napravi update zadnje Joomle , mislim da je 1.5.26,s obzirom da si na verziji 1.5.

erbi

#10
11. Travanj 2012, 20:44
Meni Sucuri kaže, da nije čista ...

papillon

#11
12. Travanj 2012, 08:21
A ocito smo ga ulovili u trenutku njegovog "ciscenja" a u medjuvremenu se gamad opet razmnozila, Sucuri mu trenutno pokazuje mnogostruke lokacije sa problemima..

Bernard [ExaByte]

#12
12. Travanj 2012, 08:27
Za daljnu pomoć treba barem objaviti FULL REPORT koristeći FPA spomenut u mom prošlom postu. I JAMSS skripta bi mogla pomoći kod identificiranja zaraženih datoteka.

Guardian

#13
13. Travanj 2012, 16:49
Zaključaj .htaccess na samo jednu read dozvolu. Web stranica i serveri nemaju nikakve potrebe da ta datoteka ima bilo kakvu write dozvolu.

Bernard [ExaByte]

#14
14. Travanj 2012, 07:49
Citat: Guardian  u 13. Travanj 2012, 16:49
Zaključaj .htaccess na samo jednu read dozvolu. Web stranica i serveri nemaju nikakve potrebe da ta datoteka ima bilo kakvu write dozvolu.

Preporuka je OK (444) ali to neće pomoći u ovakvom slučaju jer uploadana maliciozna skripta je fileeditor i napadač će si sam promjeniti prava. Treba pronaći način upada/injectiona i otkloniti ga...
Ispis
Gore  Str1
User actions