JAMSS script - ima li tko iskustva za analizu

Autor Ivan_C, 17. Ožujak 2016, 08:49

0 Članovi i 1 Gost pregledava ovu temu.

Ivan_C

Dakle, upotrijebio sam JAMSS skriptu za analizu moje web stranice (Joomla). Rezultat sam sačuvao u *.htm formatu
Ima li tko iskustva sa skriptom jer sam našao upozorenje?

We found 108 suspicious malware code spots in 51 different files!
Tutorijali za početnike - Windows, Office, Excel, Word, FrontPage, Publisher, AutoCAD, progeCAD, HEX, DEC, BIN, OCT brojevni sustavi, LAN network...

Dario

Stavi tu na forum samo pa budemo pogledali.... Dobro da je tvorac JAMSS-a isto na forumu pa ćemo nešto iskemijat :)
---
Molim da mi ne šaljete privatne poruke sa zahtjevima za pomoć, takve poruke ignoriram - zato služi forum :)
2b || !2b; this.question();
http://www.dblaze.eu

Ivan_C

Citat: Dario  u 17. Ožujak 2016, 10:28
Stavi tu na forum samo pa budemo pogledali...
Dario ja rezultat imam u *.htm file
Jedino da ga zipujem i postavim ovdje (ako postavljanje ovih informacija ne ugrožava sigurnost moje web stranice)
Tutorijali za početnike - Windows, Office, Excel, Word, FrontPage, Publisher, AutoCAD, progeCAD, HEX, DEC, BIN, OCT brojevni sustavi, LAN network...

Dario

---
Molim da mi ne šaljete privatne poruke sa zahtjevima za pomoć, takve poruke ignoriram - zato služi forum :)
2b || !2b; this.question();
http://www.dblaze.eu

Onebeat

Citat: Dario  u 17. Ožujak 2016, 10:28
Stavi tu na forum samo pa budemo pogledali.... Dobro da je tvorac JAMSS-a isto na forumu pa ćemo nešto iskemijat :)

Mislis "The Boss"  ;D
Truth will set you free

Ivan_C

Tutorijali za početnike - Windows, Office, Excel, Word, FrontPage, Publisher, AutoCAD, progeCAD, HEX, DEC, BIN, OCT brojevni sustavi, LAN network...

Bernard [ExaByte]

#6
Ma nisam Bruce Springsteen, mislim da on ne zna svirati harmoniku :)

In file ./.htaccess-> we found 12 occurence(s) of Pattern #10 - .HTAC RewriteCond-Referer
---> Details: "Your .htaccess file has a conditional redirection based on "HTTP Referer". This means it redirects according to site/url from where your visitors came to your site. Such technique has been used for unwanted redirections after coming from Google or other search engines, so check this directive carefully."


.htaccess file ti je zaražen preusmjerenjima, nedvojbeno ti je website hacknut (ako si sam nisi to postavio  0:) ). Vrlo vjerojatno imaš ubaćen i neki malware jer ove redirekcije su uvjetovane referralom s drugih web stranica.

Pripremi se na detaljno čišćenje websitea. Upute točnih koraka koje trebaš slijediti za čišćenje pronađi ovdje: http://forum.joomla.org/viewtopic.php?f=621&t=582854#p2882538 ... ako treba pomoć oko pojašnjenja ili prijevoda - javi.

Važno pitanje je i kako su napadači upali. Da bismo mogli vidjeti stanje tvoje joomle i ekstenzija, te hosting okruženja, molim izvrši FPA i ovdje objavi generirani rezultat http://forum.joomla.org/viewtopic.php?f=714&t=793531


EDIT: tek sad vidim tvoj drugi post sa cijelim blokom redirekcije. Prema tome ovaj dio u .htaccessu nije redirekcijski hack.
Koji je originalni problem? Website hackinut? Detalji?

Ivan_C

Citat: BernardORION] link=topic=4860.msg17234#msg17234 date=1458680050]
In file ./.htaccess-> we found 12 occurence(s) of Pattern #10 - .HTAC RewriteCond-Referer
---> Details: "Your .htaccess file has a conditional redirection based on "HTTP Referer". This means it redirects according to site/url from where your visitors came to your site. Such technique has been used for unwanted redirections after coming from Google or other search engines, so check this directive carefully."

Hi Bernard, ovo iznad mi malo nije jasno. Što da radim s obzirom na ovo
Citat:
.htaccess file ti je zaražen preusmjerenjima, nedvojbeno ti je website hacknut (ako si sam nisi to postavio  0:) ). Vrlo vjerojatno imaš ubaćen i neki malware jer ove redirekcije su uvjetovane referralom s drugih web stranica.
Ovaj blok sam ja sam postavio zbog spamera. Jel to trebam obrisati?

Citat: BernardORION] link=topic=4860.msg17234#msg17234 date=1458680050]
Pripremi se na detaljno čišćenje websitea. Upute točnih koraka koje trebaš slijediti za čišćenje pronađi ovdje:
Ja sam već obavio detaljno čišćenje i slijedio korake sa ove teme na joomla.org.
Dakle, obrisao sam sve files na serveru. Vratio sve nazad iz arhive.
Obrisao sam cijelu Joomla 348 na serveru i SQL bazu. Instalirao novu sa novom SQL bazom.
Na Joomla sam instalirao plugins AdminExile i postavio secret path za pristup administrator CP.
Također sam instalirao plugins za Cookie Info (autor Dario)
Promijenio sve lozinke kao i FTP.

Ostalo je nešto što me muči a to je "Session Path Writable" koji navodno treba biti postavljen na YES a u mom slučaju to nije. Pitao sam web hosting kompaniju ali oni po tom pitanju nisu mi pomogli a dobio sam upute da je to postavka koju administrira hosting kompanija (http://forum.joomla.org/viewtopic.php?f=714&t=912918).

Jedino je ostao phpBB forum sa starom SQL bazom ali sam files vratio iz arhive. Sada sam postavio na disable registraciju na forumu i obrisao sve stare članove jer ionako samo ja pišem na tom tzv. "forumu".

Citat: BernardORION] link=topic=4860.msg17234#msg17234 date=1458680050]
Važno pitanje je i kako su napadači upali. ........Koji je originalni problem? Website hackinut? Detalji?
Hm, i mene to zanima. U trenutku upada hakera na web, ja sam imao instaliranu Joomla 345. Vjerojatno je u njoj bio neki bug?
Svi *.php files imali su u sebi na samom početku neki enkriptirani kod (hrpu brojeva i slova).
U jednom folderu našao sam jedan file (cache_a5dc713704.php) koji tamo definitivno ne bi smio biti jer ga ja nisam tamo postavio. Datum kreiranja tog file je 18.12.2015. Ovaj file sadrži isto tako neki enkriptirani kod (poslao sam ga e-mailom na uvid kolegi sa ovog foruma).

Ono što mene najviše muči ovdje je pitanje.
Kako je haker mogao postaviti taj file fizički na server duboko u neki folder?

- putem FTP-a?
ili
- preko neke skripte?

Još imam FTP download *.php zaraženih files i drugih datoteka jer sam nakon saznanja o hakiranju putem FTP skinuo sve datoteke na moj PC. Skinuo sam sve iz Root foldera sa servera.

Nakon svih brisanja i novih instaliranja pokrenuo sam Jamss skriptu i ona se nalazi u ovoj temi u attach ZIP file. Ova skripta je pronašla potencijalne probleme u nekim  *.php i *.html files na web serveru na svježe instaliranoj Joomla348.
Također sam Jamms pokrenuo i na svježe instaliranu Joomla 348 na localhostu (čisto za probu)

Danas sam ponovio FPA pa ako treba dodat ću ga ovdje na pregled?
pozdrav

Tutorijali za početnike - Windows, Office, Excel, Word, FrontPage, Publisher, AutoCAD, progeCAD, HEX, DEC, BIN, OCT brojevni sustavi, LAN network...

Bernard [ExaByte]

Citat: Ivan_C  u 23. Ožujak 2016, 09:44
Citat: BernardORION] link=topic=4860.msg17234#msg17234 date=1458680050]
In file ./.htaccess-> we found 12 occurence(s) of Pattern #10 - .HTAC RewriteCond-Referer
---> Details: "Your .htaccess file has a conditional redirection based on "HTTP Referer". This means it redirects according to site/url from where your visitors came to your site. Such technique has been used for unwanted redirections after coming from Google or other search engines, so check this directive carefully."

Hi Bernard, ovo iznad mi malo nije jasno. Što da radim s obzirom na ovo
Citat:
.htaccess file ti je zaražen preusmjerenjima, nedvojbeno ti je website hacknut (ako si sam nisi to postavio  0:) ). Vrlo vjerojatno imaš ubaćen i neki malware jer ove redirekcije su uvjetovane referralom s drugih web stranica.
Ovaj blok sam ja sam postavio zbog spamera. Jel to trebam obrisati?
Zanemari te komentare, kad sam vidio tvoj drugi post s cijelom kopijom redirekcija precrtao sam preporuku i dopisao sam "EDIT" dio. Nadam se da je sad jasnije ;)

Citat: Ivan_C  u 23. Ožujak 2016, 09:44
Ja sam već obavio detaljno čišćenje i slijedio korake sa ove teme na joomla.org.
.......
Ako si slijedio sve korake od riječi do riječi onda bi trebao imati svježe čiste foldere. Naravno, images/ i media/ foldere si trebao ručno pregledati da nema malware negdje unutra.


Citat: Ivan_C  u 23. Ožujak 2016, 09:44
Ostalo je nešto što me muči a to je "Session Path Writable" koji navodno treba biti postavljen na YES a u mom slučaju to nije. Pitao sam web hosting kompaniju ali oni po tom pitanju nisu mi pomogli a dobio sam upute da je to postavka koju administrira hosting kompanija (http://forum.joomla.org/viewtopic.php?f=714&t=912918).
Da, to je PHP postavka. Ovisno o hosting panelu (ne) možeš to sam promjeniti. Daj FPA report pa ćemo vidjeti kud to vodi.


Citat: Ivan_C  u 23. Ožujak 2016, 09:44
Citat: BernardORION] link=topic=4860.msg17234#msg17234 date=1458680050]
Važno pitanje je i kako su napadači upali. ........Koji je originalni problem? Website hackinut? Detalji?
Hm, i mene to zanima. U trenutku upada hakera na web, ja sam imao instaliranu Joomla 345. Vjerojatno je u njoj bio neki bug?
Svi *.php files imali su u sebi na samom početku neki enkriptirani kod (hrpu brojeva i slova).
U jednom folderu našao sam jedan file (cache_a5dc713704.php) koji tamo definitivno ne bi smio biti jer ga ja nisam tamo postavio. Datum kreiranja tog file je 18.12.2015. Ovaj file sadrži isto tako neki enkriptirani kod (poslao sam ga e-mailom na uvid kolegi sa ovog foruma).

Ono što mene najviše muči ovdje je pitanje.
Kako je haker mogao postaviti taj file fizički na server duboko u neki folder?

- putem FTP-a?
ili
- preko neke skripte?
Putem stare Joomle 3.4.5 koja je imala sigurnosne propuste, a nisi na vrijeme nadogradio.


Citat: Ivan_C  u 23. Ožujak 2016, 09:44
Još imam FTP download *.php zaraženih files i drugih datoteka jer sam nakon saznanja o hakiranju putem FTP skinuo sve datoteke na moj PC. Skinuo sam sve iz Root foldera sa servera.
Slobodno mi pošalji neke uzorke


Citat: Ivan_C  u 23. Ožujak 2016, 09:44
Nakon svih brisanja i novih instaliranja pokrenuo sam Jamss skriptu i ona se nalazi u ovoj temi u attach ZIP file. Ova skripta je pronašla potencijalne probleme u nekim  *.php i *.html files na web serveru na svježe instaliranoj Joomla348. Također sam Jamms pokrenuo i na svježe instaliranu Joomla 348 na localhostu (čisto za probu)
Danas sam ponovio FPA pa ako treba dodat ću ga ovdje na pregled
JAMSS report ne pokazuje ništa posebno, sve je OK

postaj FPA, ali pošto si sve nadogradio nećemo imati uvid u originalno stanje

Ivan_C

Citat: BernardORION] link=topic=4860.msg17238#msg17238 date=1458725094]
Ako si slijedio sve korake od riječi do riječi onda bi trebao imati svježe čiste foldere. Naravno, images/ i media/ foldere si trebao ručno pregledati da nema malware negdje unutra.
Ja sam pregledao folder images iz root-a i tamo nema *.php files
"Media" folder je bio jedino od Joomla a njega sam obrisao kada sam postavljao novu instalaciju.
Imam jedino jedan *swf file na severu u jednom folderu Excela
pozdrav
Tutorijali za početnike - Windows, Office, Excel, Word, FrontPage, Publisher, AutoCAD, progeCAD, HEX, DEC, BIN, OCT brojevni sustavi, LAN network...

Bernard [ExaByte]

Ivane, hvala na proslijeđivanju sample datoteka.

Ako je SWF od poznatog izvora i ne postoji na internetu informacija da ima poznatu sigurnosnu rupu onda možeš pretpostaviti da je sigurno ostaviti ga.

Ivan_C

Citat: BernardORION] link=topic=4860.msg17243#msg17243 date=1458901017]Ako je SWF od poznatog izvora i ne postoji na internetu informacija da ima poznatu sigurnosnu rupu onda možeš pretpostaviti da je sigurno ostaviti ga.
Swf file sam ja osobno kreirao za potrebe jednog tutorijala u Excelu.
Ostali *.swf files su iz original instalacije Joomla 348 i ima ih 4x

Hvala na savjetu
Tutorijali za početnike - Windows, Office, Excel, Word, FrontPage, Publisher, AutoCAD, progeCAD, HEX, DEC, BIN, OCT brojevni sustavi, LAN network...