Napadení Joomly 3

Teo
27. pro 2015 12:18 - 27. pro 2015 12:21 #124995
Tak jsem dostal k Vánocům dáreček. Napadli mi webhosting. Nevím, jestli už ho tu někdo zmiňoval, ale jedná se o tohoto červíka - Hacked BY Alfabetovirtual, Imam <3
Mám multihosting u Savany. Protože jsem měl v každém adresáři (tedy u každé domény) textový soubor s výše uvedenou hláškou, bylo to pravděpodobně přes FTP. Nevím. To by ale nebylo tak hrozné. TXT soubor nic nedělá. Samotné weby to taky neovlivnilo. Bohužel se u dvou domén dostal i do souborů. Buď je doplnil o nějaký škodlivý kód nebo přidal celé soubory. Bylo to ale rozházené po celé Joomle. Všude možně. Bohužel to nešlo identifikovat podle změny data souboru (což je při napadení často jedna z indicií). Zajímavé je to, že napadl dva weby, které běží na Joomle 3. Podpora na Savaně mi samozřejmě domény ihned odstavila a po dvou denní bitvě jsem ty soubory (doufám) všechny našel a buď opravil nebo smazal. Pak jsem změnil heslo do FTP, dále hesla do administrace Joomly a samozřejmě zkontroloval aktualizace jak Joomly samotné, tak jejich rozšíření. Podpora mi pak i poradila, jak lze alespoň některé soubory identifikovat přes SSH a Putty. Můžu když tak poradit...
Dávám to sem pro ty, kterým byl taky web napaden a potřebovali by pomoct a taky pro ty, co by mohli poradit, jak lze napadené soubory ještě jinak identifikovat a najít.
Pěknej zbytek svátků ;-)

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
27. pro 2015 22:37 #124998
Pokud jste si na Savaně nehrál s nastavením open basedir, tak byl útok asi opravdu přes FTP. V základu je totiž nastavené tak, aby z jedné domény nešlo šahat fo adresářů jiné domény.

Nejjednodušší cesta identifikace napadených souborů je podle data a času, ale to je potřeba kontrolovat před tím, než začnete soubory opravovat. Funguje také kompletní stažení webu na počítač a kontrola antivirem.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od standa
28. pro 2015 07:56 #125000
Stáhni si tenhle script, přímo ze savany. Detekuje malware a funguje docela dobře.
http://www.savana.cz/napoveda/ostatni/ostatni/detekce-malware/
Poděkovali: Cony

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Teo
28. pro 2015 15:29 - 28. pro 2015 15:32 #125004
Bohužel funguje jen na některé soubory. Samozřejmě jsem to s tímto souborem projel nejdříve, ale byly tam ještě další soubory, které to neodhalilo. Vzhledem k tomu, že to "sahalo" do všech adresářů, tak to muselo být přes hlavní FTP účet. Tak jsem zvědav, jak dlouho bude klid ;-)
Ještě jsem přemýšlel, jak to ten hajzlík udělal, že nebylo změněno datum u změněných (zasažených) souborů.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
28. pro 2015 21:47 #125007

Teofil napsal: Ještě jsem přemýšlel, jak to ten hajzlík udělal, že nebylo změněno datum u změněných (zasažených) souborů.

To bohužel PHP umožňuje - změnit datum a čas modifikace souboru. Obvykle se tím ale útočníci nezabývají, bývá to tedy nejrychlejší způsob nalezení napadených souborů.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin70
29. pro 2015 13:36 #125010
Přidávám odkazy na detekci malware co občas používám. Sice to není 100% jistota, ale třeba se někomu hodí:
sitecheck.sucuri.net/
app.webinspector.com/
www.urlvoid.com/

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
29. pro 2015 13:58 #125012

Martin70 napsal: sitecheck.sucuri.net/
app.webinspector.com/
www.urlvoid.com/

Problém těchto testů je v tom, že dokáží testovat jen výstup stránek, tj. dokáží už jen identifikovat, že kód stránek obsahuje něco škodlivého, a to již obvykle uvidíte sám. Nedokáží nalézt ukryté soubory se škodlivým kódem apod. Ale každá ochrana dobrá :)

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Teo
30. pro 2015 09:11 #125015

Cony napsal:

Teofil napsal: Ještě jsem přemýšlel, jak to ten hajzlík udělal, že nebylo změněno datum u změněných (zasažených) souborů.

To bohužel PHP umožňuje - změnit datum a čas modifikace souboru. Obvykle se tím ale útočníci nezabývají, bývá to tedy nejrychlejší způsob nalezení napadených souborů.

Můžu se zeptat, jak lze to datum změnit, respektive při editaci zachovat původní datum souboru? Díky.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
30. pro 2015 11:37 #125021
Funkcí touch .

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Wolfíí
02. led 2016 16:53 #125055
Prosím o pomoc, mám podobný problém jako pan Teofil.
Dnes mi přestal běžet web decazog.com/ (při zadání adresy se zobrazí chybová hláška), také je na joomle 3.x. Při nahlédnutí do FTP jsem zjistila, že tam mám nějaký vir, ve složce www jsem měla navíc html soubor s názvem kp a v něm bylo napsáno Hacked By Kuroi'SH. Odkaz sitecheck.sucuri.net potvrzuje, že je na webu malware. Nikdy předtím jsem zavirovaný web řešit nemusela, tak teď vůbec nevím, jak postupovat, abych vir odstranila a web opět běžel jak má. Mám toho na něm hodně, tak doufám, že ho nebudu muset dělat celý znovu :-(
Můžete mi prosím poradit, jak mám teď postupovat, co hledat, jak to opravit, atd.?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Wolfíí
03. led 2016 16:19 #125058
Zkouším stále s tím nějak pohnout, ale je to pokus omyl.. Je možné, že vir nějaké soubory smazal?
Chyba uváděla, že chybí soubor cms, ten jsem tedy zkusila nahrát z jiného webu a nyní chyba hlásí toto:
Fatal error: Class 'JSession' not found in /data/web/virtuals/114461/virtual/www/libraries/joomla/factory.php on line 597
když se ale podívám do uvedeného souboru, tak na řádku 597 je napsáno
$session = JSession::getInstance($handler, $options);
to je ale správně, ne?
Vůbec tomu nerozumím :huh:

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
03. led 2016 16:44 #125059
Postup jak zachránit hacknutou Joomlu najdete na odkazu: www.bongovo.cz/joomla/40-jak-zachranit-hacknutou-joomlu
Neřeší se tam ovšem to, že třeba nemáte nenapadenou zálohu. Otázka tedy: máte vy, nebo hosting čistou nenapadenou zálohu webu?

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Wolfíí
03. led 2016 17:01 #125062
Na zálohu jsem se včera na hostingu ptala, mám stránky u Wedosu a tam je dostupná záloha max 7 dní zpět (zálohují 1x týdně). Pán mi ale napsal, že podle něj obnova zálohy nepomůže, že je možné, že už i ta bude s virem. :dry:

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
03. led 2016 17:36 #125063
V tom případě to musíte vyčistit (mezi provedením kroků 4 a 5). Mohlo by to být asi takto:

Staáhněte si přes FTP kompletní obsah souborů a složek vašeho webu na PC. Bude se vám pak lépe pracovat. Při výchozím nastavení (například TC) by měly být zachovány datumy a časy souborů.

Stáhněte si PLNÝ instalační balíček vaší Joomly, jeho obsahem (kromě složky installation) přehrajte vaši Joomlu. Tímto krokem máte všechny soubory Joomly v pořádku, nenapadené, nepoškozené a nechybějící.

Projeďte všechny soubory a složky nějakým antivirem. Nalezené soubory smažte, nebo pokud patří k nějakému rozšíření, bude je třeba nahradit originálem.

Stejně tak projeďte soubory dle data a času tak, aby jste nalezla nové nebo upravené soubory, které antivir neodhalil. Opět je bude nutno smazat nebo nahradit.

Třeba vám ještě někdo nějakou fintu poradí.

I'm sorry, my responses are limited...you must ask the right questions.
Poděkovali: Wolfíí

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Teo
03. led 2016 23:54 - 03. led 2016 23:57 #125067
Jestli to nepůjde vyřešit, nabízím svou pomoc.

Jo tak koukám, že už to je OK ;-)

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.