Novosti:

Aktualne Joomla! verzije: 3.10.11 i 4.2.6

Main Menu

Hitno! (Malware)

Autor phys1cx, 06. Svibanj 2012, 01:46

0 Članovi i 1 Gost pregledava ovu temu.

phys1cx

Molim vas ako imate ikakav savjet ili prijedlog... primjetio sam da mi google chrome javlja da mi na webu prisutan malware.

Skenirao sam stranicu sa: http://sitecheck.sucuri.net/results/www.auto-dam.com

I dobio sljedeće rezultate:
Security warning in the URL:
http://www.auto-dam.com/404testpage4525d2fdc

Security warning in the URL:
http://www.auto-dam.com/404javascript.js

Security warning in the URL:
http://www.auto-dam.com/index.php?option=com_user&view=reset

Security warning in the URL:
http://www.auto-dam.com/index.php?option=com_user&view=remind

Security warning in the URL:
http://www.auto-dam.com/index.php?option=com_content&view=article&id=57&Itemid=34

Security warning in the URL (for Google's UA):
http://www.auto-dam.com/index.php?option=com_content&view=article&id=57&Itemid=34

Suspicious conditional redirect on:
http://www.auto-dam.com


Molim Vas za ikakav savjet, nemam backup, a nanovo instalacija nije prihvatljiva jer vec ima tona podataka unešenih.

Hvala.

Guardian

#1
Kad ukucam gore http://www.auto-dam.com/404javascript.js preusmjeri me na neku rusku stranicu.

Izbriši tu datoteku, provjeri .htacces ako imaš, provjeri (ili stavi ovdje sve datoteke) index.php od template isto. I kad sve uradiš vidi dozvole za mape i datoteke. Pogledaj na Google kako trebaju biti namještene.

Najbolje je da sa FTP povučeš čitavu stranicu na svoj komp pa sa nekim editorom (DW) ukucaš to "404javascript.js" u search, i pretražiš gdje se sve spominje u datotekama.

Pogledaj isto da li taj malware kriptira taj strani URL ili ga daje u čistom tekstu.
Ako je u čistom tekstu ukucaj tu rusku domenu u na primjer Dreamviewer u Find i vrlo precizno ćeš znati koje sve datoteke su inficirane.
----------------------

Inače ti stranica ima i drugih problema.

- Na nekim podstranicama Footer menu nije ispravan (Boje i lakovi na primjer).
- I u Opera borwser na nekim podlinkovima pokazuje nenormalno dug i prazan prostor ispod Footera. Možda neki konflikt raznih skripti, ne da mi se sad studirati.

phys1cx

Hvala na trudu, ali ne mogu naci 404javascript.js, vec sam pokusao... template index mi se cini ok, a stranicu ne mogu staviti vodje jer je pola gige...

Guardian

#3
Ne moraš staviti čitavu stranicu. Samo .htaccess ako imaš i index.php od template i index.php od Joomle.


Još jednu stvar ipak provjeri. Da ti netko nije došao do login podataka za Cpanel od hostinga. Možda je tamo stavio DNS redirect entry.

Javi nam kako sve izgleda u Cpanelu.


phys1cx


Guardian

.htaccess i ne koristiš. Pogledaj samo reda radi van Joomla foldera da nema neki postavljen.

Indexi izgledaju OK sami po sebi. Treba probjeriti te JS scripte koje pozivaju.

Ali moje nagađanje bi bilo da provjeriš DNS i Domain records u Admin panelu od hostinga/servera.
Koristiš li isti username i password za FTP pristup kao što su ti za Cpanel na hostingu ?

phys1cx

Ima samo ovaj .htaccess koji sam dao... da nije extenzija pogrešna?

A sto se tice accounta FTP i cpanel od hostinga je isti...

Guardian

#7
Daj nam izlistaj sve records za domenu i DNS iz Cpanela ? (detaljan pregled)
Svakako si stavio link na stranicu, pa tu nema ništa tajno i posebno.

Moraš ići metodom isključivanja. Jedno provjeriš, nije tu i ideš dalje.

Uvijek pravi poseban FTP account. Jer je FTP komunikaciju lako presresti, ili neki virus na kompu ti uzme sve podatke iz FTP clienta.
Pa samim tim ako su isti login podatci imaju i login za Cpanel. Vrlo opasno.

Neki hostinzi i ne dozvoljavaju da to dvoje ima isti login. Neki nisu tako namješteni, pa je sve na tvoju odgovornost.
-------------------------

Ustvari provjeri i tamo gdje imaš Admin panel od same domene, gdje si je zakupio. Ne znam jeli kod tog vlasnika severa, pa ti sve na jednom mjestu. Uglavnom provjeri obe stvari.

phys1cx

Oprosti ali ovo "izlistaj sve records za domenu i DNS iz Cpanela" ne razumijem.. hosting ja na linuxu i uslikao sam sto imam od opcija

Guardian

#9
Pod tim Domains otvori redirects i Advanced DNS zone editor.

Ali nekako mi ne vuče da je tu. Jer čitava stranica ti ne pravi redirect na tu rusku, radi manje više normalno.
Ipak provjeri samo da isključiš to iz pretrage za problemom.

Ako hoćeš pošalji FTP i Cpanel login na privatne poruke. Poslije ga izmjeni. Svakako ćeš ih morati mijenjati poslije malware na stranici, red je.

------------------

Trebaš pregledati i tu pod "Subdomains".

phys1cx

Problem "rijesen" barem za sad:) Jer je pitanje da li je ostala koja rupa...

Abnormalno velike zahvale Guardian, koji je proveo skoro cijeli dan intenzivno pomagajuci mi!

Dakle ukratko prica:

Hosting je na sebi imao 3 webstranice, od koji su 2 addon slota (jedan joomla a drugi drupal) i jednu webstranicu unutar jednog od direktorija (isto joomla). Zarazene su bile obadvije joomla stranice. Sto sam uvidiot uz pomoc google chroma koji mi je javljao da je stranica nesigurna + online scanera http://sitecheck.sucuri.net.

Sve je zapocelo kopiranjem cjelokupnog weba sa hostinga lokalno na racunar (otprilike 500mb), i zatim je uslijedilo "kopanje". Koriste je alat Beyond Compare 3, uz pomoc kojeg smo usporedivali svaki pojedinaci file inficirane web stranice i novije verzije joomle (u mojem slucaju 1.5.9, jer mi tempalte ne podrzava vecu verziju).

I tako file po file... pa smo gledali gdje su promjene i koji su fajlovi bili sumljivi. Bitno je napomenuti da je web skeniran lokalno sa NOD32 koji je odmah detektovao sumljive fajlove koje smo uklonili. Nakon toga smo provjerili i htaccess koji ej takoder bio inficiran. Nakon izmjena i usporedivanja, sve to je nanovo uploudano na web (dakle ociscena i updejtovana verzija).

I rezultati su bili pozitivni, ni chrome ni http://sitecheck.sucuri.net nisu vise davali nikakva upozorenja ni na jednu od joomla stranica.

Nakon toga uslijedila je promjena svih accountova, tj. Cpanel od hostinga, FTP, joomla adminsitrator, mysql account (i tako za obadvije stranice).

Eto toliko ukratkom, nadam se da nisam nesto zaboravio.

Jos jednom hvala Guardian za velikom trudu!

Guardian

Ne zaboravi u Google webmaster tools reći njima da stranica više nema malware.