Malware: MW:HT:291 (.htaccess)

Autor i-sensys, 04. Travanj 2012, 15:47

0 Članovi i 1 Gost pregledava ovu temu.

i-sensys

Imam stranicu rađenu u joomli 1.5.22, i preko tražilica se redirecta na neke druge stranicu u Rusiji, otkrio sam da se radi o malweru MW:HT:291 koji mijenja .htaccess, obrišeš ga on se ponovo generira. Ima li kakve pomoči kako očistiti taj malwer?

papillon

Osim ako ti Joomla nije sa tvom serveru koji odrzavas nije ti potreban nikakav soft, zbog nedostupnosti ostalih datoteka, to je sto se tice tvoje ankete, no preko http://sitecheck.sucuri.net/scanner/ mozes provjeriti svoj site recimo..

Pomocu ovoga linka http://docs.joomla.org/Security_Checklist_7 mozda rijesis svoj prob, no sto se tice malwarea, najbolji nacin je cjelokupni backup, prije svega promjeni sve passworde, FTP u prvom redu, cpanel, Joomla admin user... Mogao si nam ostaviti i i link na site ;)
Na http://docs.joomla.org/Vulnerable_Extensions_List imas addone sa problemima, ako na listi nadjes neki od svojih dodataka brisi ga.. To ti je onako odokativno :)

wooer

Kako sam danas saznao od Bernarda izgleda da nisi baš jedini s ovim problemom zadnjih dana.
Očekuj od njega ovih dana izvješće o problemu i rješenje istog bilo u vidu ručnog uklanjanja ili nekakve automatizirane skripte.

Definitivno provjeri zadnji link koji je papillon dao jer se tamo nalazi popis dodataka preko kojih je najvjerojatnije izvršen upad.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity
Documentation & Translation Team Member

dejosa

Citat: i-sensys  u 04. Travanj 2012, 15:47
Imam stranicu rađenu u joomli 1.5.22, i preko tražilica se redirecta na neke druge stranicu u Rusiji, otkrio sam da se radi o malweru MW:HT:291 koji mijenja .htaccess, obrišeš ga on se ponovo generira. Ima li kakve pomoči kako očistiti taj malwer?

Pozdrav, reci mi da li se radi o stranici jamkim.ru na koju te redirekta?Ako ne , bez obzira na koju , ja sam imao taj problem nedavno i riješio ga. Da li si ti riješio svoj?
Uglavno preko neke skripte ti mjenjaju .htaccess file. Kod mene je bio slučaj sa skriptom od jednog swf file koji sam ubacio i nema veze sa joomlom.

i-sensys

Nisam još riješio problem, uglavnom znam da neka skripta svakih sat - sat i pol mijenja .htaccess i upiše mi svaki puta drugu stranicu, Rusku, i tu koju navodiš. Web stranica je www.horizontvg.hr. da li znaš o kojoj skripti se radi i da li je mogu obrisati?

erbi

Pa si siguran, da je skripta? Pokušaj promjeniti ftp i control panel password i prije toga pretraži PC.

i-sensys

Hoster mi je pronašao ovo: "public_html/tmp/jos_8rkx.php" i obrisao i sad se ne generira .htaccess, ali preko tražilica mi se stalno otvara google.com, ima li tko kakvu ideju?

papillon

Tvoju stranicu meni uredno otvara preko Google-a, Yahoo-a, Binga..  Sucuri kaze da ti je stranica cista, pogledaj ti svoj komp ipak ;)

Bernard [ExaByte]

#8
Evo i mene s malim zakašnjenjem.

Da, ovaj malware/napad je učestao posljednjih dvadesetak dana. Upravo zbog toga što se maliciozan kod ubacuje u .htaccess datoteke (čak i izvan 'webroot' folder) ovaj napad nije ograničen samo na Joomla! siteove, zaraženi su podjednako Wordpressi, Drupali, pa čak i mnogi statični HTML sajtovi. Evo više informacija u diskusiji ovdje

U pravilu metoda zaraze je slijedeća:

  • napadači pronađu neku VEL ekstenziju, ili prastaru Joomlu koji imaju RFI propust
  • propuste iskoriste za ubacivanje maliciozne datoteke, najčešće u ./tmp folder, ali ima prijava da su nađene i u ./templates ili ./media
  • maliciozne datoteke u zaglavlju najčešće imaju "vBulletin" tekst, no to je samo varka
  • maliciozne datoteke najčešće imaju imena poput ovih Jos_core.php, jos_eq4h.php, jos_lz5j.php, ali moguća si u druga imena
  • maliciozne datoteke su vrlo opasne pošto napadaču omogućavaju pristup kompletnom hosting diskovnom prostoru (FTP root), te napadač može napraviti/uploadati bilo što na zaraženom hosting prostoru
  • ono što se najčešće dogodi je da se u .htaccess ubacuje ograničena redirekcija koja djeluje na taj način da preusmjerava na razne ruske stranice, ali samo ako posjetitelj dođe s Googla ili grupice drugih pretraživača; ako se dolazi direktno na domenu (upisom URL u adressbar) neće doći do preusmjerenja, pa mnogi tek nakon nekog vremena shvate što se događa

Što napraviti?

  • očistite .htaccess ili ga zamjenite originalnim kopiranjem iz htaccess.txt u .htaccess
  • pronađite i izbrišite zaražene datoteke, pogledajte gore za popis najčešćih direktorija i imena datoteka
  • za skeniranje možete iskoristiti i moju JAMSS skriptu koja je u beta testiranju - svaka prijava uspjeha ili problema sa skriptom je dobrodošla  :nevin:
  • nadogradite svoju Joomlu na najnoviju verziju
  • nadogradite sve svoje ekstenzije na najnovije verzije, te provjerite da se neka od njih ne nazi u VEL listi

Ako želite pomoć oko pregleda instaliranih ekstenzija, molim da koristite FPA - Forum Post Assistant koji će vam pomoći da jednostavno generirate izvještaj sa svim potrebnim informacijama o vašoj Joomli - a ako su vam potrebne upute pronađite ih ovdje

dejosa

#9
Citat: i-sensys  u 09. Travanj 2012, 17:49
Nisam još riješio problem, uglavnom znam da neka skripta svakih sat - sat i pol mijenja .htaccess i upiše mi svaki puta drugu stranicu, Rusku, i tu koju navodiš. Web stranica je www.horizontvg.hr. da li znaš o kojoj skripti se radi i da li je mogu obrisati?

Upravo kako je papilon rekao i meni tvoja stranica radi savim ok.Ako koristiš Chromu reinstaliraj je, jer ona dugo kešira podatke.

Ako si riješio problem obavezno promjeni sve lozinke i napravi update zadnje Joomle , mislim da je 1.5.26,s obzirom da si na verziji 1.5.

erbi

Meni Sucuri kaže, da nije čista ...

papillon

A ocito smo ga ulovili u trenutku njegovog "ciscenja" a u medjuvremenu se gamad opet razmnozila, Sucuri mu trenutno pokazuje mnogostruke lokacije sa problemima..

Bernard [ExaByte]

Za daljnu pomoć treba barem objaviti FULL REPORT koristeći FPA spomenut u mom prošlom postu. I JAMSS skripta bi mogla pomoći kod identificiranja zaraženih datoteka.

Guardian

Zaključaj .htaccess na samo jednu read dozvolu. Web stranica i serveri nemaju nikakve potrebe da ta datoteka ima bilo kakvu write dozvolu.

Bernard [ExaByte]

Citat: Guardian  u 13. Travanj 2012, 16:49
Zaključaj .htaccess na samo jednu read dozvolu. Web stranica i serveri nemaju nikakve potrebe da ta datoteka ima bilo kakvu write dozvolu.

Preporuka je OK (444) ali to neće pomoći u ovakvom slučaju jer uploadana maliciozna skripta je fileeditor i napadač će si sam promjeniti prava. Treba pronaći način upada/injectiona i otkloniti ga...