Napadení Joomly 3

Tak jsem dostal k Vánocům dáreček. Napadli mi webhosting. Nevím, jestli už ho tu někdo zmiňoval, ale jedná se o tohoto červíka - Hacked BY Alfabetovirtual, Imam <3
Mám multihosting u Savany. Protože jsem měl v každém adresáři (tedy u každé domény) textový soubor s výše uvedenou hláškou, bylo to pravděpodobně přes FTP. Nevím. To by ale nebylo tak hrozné. TXT soubor nic nedělá. Samotné weby to taky neovlivnilo. Bohužel se u dvou domén dostal i do souborů. Buď je doplnil o nějaký škodlivý kód nebo přidal celé soubory. Bylo to ale rozházené po celé Joomle. Všude možně. Bohužel to nešlo identifikovat podle změny data souboru (což je při napadení často jedna z indicií). Zajímavé je to, že napadl dva weby, které běží na Joomle 3. Podpora na Savaně mi samozřejmě domény ihned odstavila a po dvou denní bitvě jsem ty soubory (doufám) všechny našel a buď opravil nebo smazal. Pak jsem změnil heslo do FTP, dále hesla do administrace Joomly a samozřejmě zkontroloval aktualizace jak Joomly samotné, tak jejich rozšíření. Podpora mi pak i poradila, jak lze alespoň některé soubory identifikovat přes SSH a Putty. Můžu když tak poradit...
Dávám to sem pro ty, kterým byl taky web napaden a potřebovali by pomoct a taky pro ty, co by mohli poradit, jak lze napadené soubory ještě jinak identifikovat a najít.
Pěknej zbytek svátků

Stáhni si tenhle script, přímo ze savany. Detekuje malware a funguje docela dobře.
http://www.savana.cz/napoveda/ostatni/ostatni/detekce-malware/

Bohužel funguje jen na některé soubory. Samozřejmě jsem to s tímto souborem projel nejdříve, ale byly tam ještě další soubory, které to neodhalilo. Vzhledem k tomu, že to "sahalo" do všech adresářů, tak to muselo být přes hlavní FTP účet. Tak jsem zvědav, jak dlouho bude klid
Ještě jsem přemýšlel, jak to ten hajzlík udělal, že nebylo změněno datum u změněných (zasažených) souborů.

Přidávám odkazy na detekci malware co občas používám. Sice to není 100% jistota, ale třeba se někomu hodí:
sitecheck.sucuri.net/
app.webinspector.com/
www.urlvoid.com/

Cony napsal:

Teofil napsal: Ještě jsem přemýšlel, jak to ten hajzlík udělal, že nebylo změněno datum u změněných (zasažených) souborů.

To bohužel PHP umožňuje - změnit datum a čas modifikace souboru. Obvykle se tím ale útočníci nezabývají, bývá to tedy nejrychlejší způsob nalezení napadených souborů.

Můžu se zeptat, jak lze to datum změnit, respektive při editaci zachovat původní datum souboru? Díky.

Prosím o pomoc, mám podobný problém jako pan Teofil.
Dnes mi přestal běžet web decazog.com/ (při zadání adresy se zobrazí chybová hláška), také je na joomle 3.x. Při nahlédnutí do FTP jsem zjistila, že tam mám nějaký vir, ve složce www jsem měla navíc html soubor s názvem kp a v něm bylo napsáno Hacked By Kuroi'SH. Odkaz sitecheck.sucuri.net potvrzuje, že je na webu malware. Nikdy předtím jsem zavirovaný web řešit nemusela, tak teď vůbec nevím, jak postupovat, abych vir odstranila a web opět běžel jak má. Mám toho na něm hodně, tak doufám, že ho nebudu muset dělat celý znovu
Můžete mi prosím poradit, jak mám teď postupovat, co hledat, jak to opravit, atd.?

Zkouším stále s tím nějak pohnout, ale je to pokus omyl.. Je možné, že vir nějaké soubory smazal?
Chyba uváděla, že chybí soubor cms, ten jsem tedy zkusila nahrát z jiného webu a nyní chyba hlásí toto:
Fatal error: Class 'JSession' not found in /data/web/virtuals/114461/virtual/www/libraries/joomla/factory.php on line 597
když se ale podívám do uvedeného souboru, tak na řádku 597 je napsáno
$session = JSession::getInstance($handler, $options);
to je ale správně, ne?
Vůbec tomu nerozumím

Na zálohu jsem se včera na hostingu ptala, mám stránky u Wedosu a tam je dostupná záloha max 7 dní zpět (zálohují 1x týdně). Pán mi ale napsal, že podle něj obnova zálohy nepomůže, že je možné, že už i ta bude s virem.

Jestli to nepůjde vyřešit, nabízím svou pomoc.

Jo tak koukám, že už to je OK