Nalezen škodlivý kód na mých webech :(

Marek Hora
09. pro 2018 12:51 - 09. pro 2018 12:52 #138333
Dobré poledne všem.
Dnes mi emailem přišlo upozornění od Active24, že mám na webech škodlivý kód.
Jednalo se o soubory:
www/administrator/components/com_joomlaupdate/restore.php (obsahuje/contains {HEX}Malware.Expert.malware.unlink.chmod.php.1)
www/administrator/components/com_akeeba/restore.php (obsahuje/contains {HEX}Malware.Expert.malware.unlink.chmod.php.1)

Na všech čtyřech webech je aktuální Joomla 3.9.1, aktuální Akeeba Backup, na každém webu jsou rozdílné přihlašovací údaje.
Přitom na všech stejný problém :( Akeebu jsem odinstaloval včetně češtiny, ručně smazal přes FTP zmíněné soubory a změnil přihlašovací údaje včetně hesel.
Na webu Active24 radí zkontrolovat weby online scannerem sitecheck.sucuri.net .
Tam se to tváří, že je již vše v pořádku. Poraďte co dál, pokud se tedy dá ještě něco udělat.
Předem díky za rady

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
09. pro 2018 13:06 - 09. pro 2018 13:06 #138334
Postupujte podle tohoto návodu www.bongovo.cz/joomla/40-jak-zachranit-hacknutou-Joomlu . Nepodceňujte pořadí postupu a doplňující rady.

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od hrackar
09. pro 2018 13:13 #138335
Dobrý den, buď můžete využít Bongovo postup a v případě, že si nebudete vědět rady napsat na Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od fwd
09. pro 2018 13:32 - 09. pro 2018 13:37 #138336
Mně (tedy přesně majiteli) to přišlo dnes postupně také na dvou webech od Active24. Pokaždé v jiných souborech.
Aktualizováno vše, kromě php, je tam 7.032, což mohl být ten problém.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Marek Hora
09. pro 2018 13:46 #138337
Ještě doplním, že jeden web ze čtyřech, které spravuji, byl instalován nově před pěti dny.
Čistá Joomla 3.9.1 + čeština, aktuální šablona Yootheme Pro, aktuální Akeeba Backup z jejich stránek. Nic víc.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od fwd
09. pro 2018 13:54 #138338
Jaké tam máte verze php?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Marek Hora
09. pro 2018 14:02 #138339
na všech 7.1.24

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
09. pro 2018 14:17 #138340
A je tam opravdu ten malware? Když stáhnete instalaci Joomly a porovnáte obsah souborů, liší se? Není to jen planý poplach od hostingu?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Marek Hora
09. pro 2018 14:21 #138341
Cony, byl jsi rychlejší :)
Teď akorát jsem porovnával "infikované soubory" s instalačními z Joomla.org a jsou úplně stejné.
Vypadá to na planý poplach od Active24. Alespoň jsem změnil všude přístupy, hesla do Joomly, databáze a FTP.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od fwd
09. pro 2018 14:28 #138342
Jste rychlíci, já jsem si to teď vše postahoval a chystám se porovnávat.

Musím se opravit, u jednoho webu je to u Akeeba u druhého dva soubory. Všechny stejné jako píše Marek Hora.
Weby fungují. Možná opravdu planý poplach, třeba obsahují nějaký řetězec, co se jim nelíbi. Oba soubory jsou restore.php.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Marek Hora
09. pro 2018 14:34 #138343
Smolím teď email na podporu u Active24.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Marek Hora
09. pro 2018 15:35 #138344
Odpověď od podpory z Active24:
"Dobrý den, na problému se již pracuje, naši administrátoři jej prověřují a jakmile budeme vědět více, budeme vás informovat."
Tak doufám, že to byl opravdu planý poplach.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od fwd
09. pro 2018 15:36 - 09. pro 2018 15:39 #138345
Napsali něco?

já jsem si to postahoval. Zjistil jsem, že na "napadených" webech jsem měl 6.3.1(Akeeba Backup), oni vydali 7. 12. 6.3.2., což jsem asi ne všude upgradoval (sleduju to často, ale ne denně).

Jo psali jsme sem asi ve stejnou dobu :)

Tak počkáme. Dej, prosím, pak vědět. Divné je, že se nikdo další zatím nepřipojil.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
09. pro 2018 17:43 #138348
u mě přesně to samé s akeebou.
Soubory sedí s instlalací akeeby, tak jsem také zkusil 6.3.2. Uvidíme

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
09. pro 2018 17:51 #138349
Je to Akeebou. Na stránkách se o tom píše: www.akeebabackup.com/support/akeeba-back...-latest-version.html

I'm sorry, my responses are limited...you must ask the right questions.
Poděkovali: Ernst

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.