пропозиції роботи
Przem
Past
Od wszystkiego.
Wiele pomysłów,
wiele dziedzin
zaintereso...
Temat: Infekcja na mojej stronie i wielu innych
Witam.W moim serwisie google pokazuje linki reklamowe do kredytów i pożyczek.
Witryna do 16 czerwca stała na 1.5 z RS firewall i licznymi zabezpieczeniami. Jednak już na niej następowały kolejne włamania i dorabianie kodu reklamowego. Najcześciej były to proste ataki na plik htaccess.
!6 czerwca domena została wyczyszczona ze starej Joomli i wrzucono postawiony serwis na Joomli 3.4 wraz z komercyjnymi komponentami. Zmieniono wszystkie hasła do serwera.
Od jakiegoś czasu widzę podstrony, które google bot znajduje. Blokowanie ich kolejno w DA na czas poszukiwań nie ma sensu - poblokowałem część linków do błędu 404. W kodzie domeny najprawdopodobniej jest frame do innej strony.
Otwarcie kodu źródłowego mojej strony z linkiem podanym przez google jako link podejrzany to:
<html><frameset rows="100%"><frame src="http://najlepiejkredytyonline.com/index2.html"></frameset></html>
Pobrałem całą domenę na dysk lokalny i przeszukanie pod kątem tego kodu nic nie dało, użycie encodera tego fragmentu do zakodowania jako base64 i szukanie takiego base64 także.
Skanowanie skryptem jamss.php pokazuje mnóstwo plików, jednak brak jednoznacznego wyniku.
Link do panelu admina zabezpieczony dodatkowym hasłem w tymże standardowym linku.
Zainstalowane skrypty:
JHackGuard Plugin - powiadamia na mail o atakach brute force
System - AdminExile - zabezpieczneie zaplecza
System - Marco's SQL Injection - LFI Interceptor - chroni przed atakami za pomocą SQL incjection
Eyesite - skanowanie pod względem zmian w plikach
Joomla aktulizowana. Serwer to VPS.
Używam Linuxa w komputerze.
Oto przykładowy link do strony z doklejonego kodu:
http://www.glucholazyonline.com.pl/p...%9Bwidnica.pdf
lub bardziej charakterystyczna strona:
http://www.glucholazyonline.com.pl/p...ik-krd-big.pdf
Dodam, że kod reklamowy pożyczek pochodzi z Wrocławskiej firmy, która za umieszczanie reklam ich klientów płaci (cos jak adsense), jak rozmawiałem z ich przedstawicielem, jeden z klientów poprzez włamania do stron i wrzucaniu tego kodu zarabia na kliknięciach. To jest wg. firmy nieuczciwe i klient ten jest przez firmę sprawdzany. Problem ten dotyczy wielu stron w polsce, które poprzez te włamania stały się siecią reklamową.
Wśród stron m. innymi strona Wojewódzkiego Funduszu Ochrony Środowiska i Gospodarki Wodenj w Warszawie ( pewnie jej admini nawet nie wiedzą o tym, że ich strona została zainfekowana - ich CMS to Drupal) - http://www.wfosigw.pl/pozyczka-got%C3%83%C2%B3wkowa-z-...
ale i sporo stron firmowych:
Oparta o Joomlę: http://www.cte-sa.pl/chwil%C3%83%C2%...e-za-darmo.pdf
Oparta o WP: http://haipaa.com/skok-stefczyka-kredyt-opinie.pdf
To tak na szybko.
Problem jednak dotyczy strony mojej i pewnie sposób włamania na akurat moja Joomlę 3.4 i najprawdopodobniej jest identyczny dla wszystkich Jooml 3.4. Niestety, mi nie udało się ustalić co jest zainfekowane.
Stąd prośba o pomoc która pozowli mi usunąc infekcję jak i pomoże wielu adminom stron opartych o Joomlę 3.4, którzy zapewne nawet nie wiedzą o fakcie infekcji. Człowiek ten, który stworzył system włamań zna jakąś lukę w tej Joomli.
Udało mi się ustalić że w przypadku Joomli 2.5.4 tworzy folder o dość dziwnej nazwie. To jest znaczne ułatwienie do znalezienia infekcji bo wystarczy ów folder usunąć. W wielu innych przypadkach także infekcja opiera się na stworzeniu folderu ze skrytami do linkowania - dotyczy to stron opartych także o inne CMS.
Niestety, w przypadku Joomli 3.4 tak najprawdopodobnie nie jest. Przeszukałem cały katalog swojej strony w poszukiwaniu nietypowych folderów i skryptów, sprawdzałem najważniejsze pliki Joomli (szablonu, konfiguracji Joomli i wielu innych). Poszukiwania spełzły na niczym.
Przeraża mnie natomiast to, co wypluwa jamss.php - sprawdzenie każdej podanej przez skrypt możliwości infekcji to syzyfowa praca.
Proszę zresztą sprawdzić - http://glucholazyonline.com.pl/jamss.php
Co ciekawe - wrzucona kopia wykonana akebą na inny serwer infekcji nie wskazuje - po wejściu na link, który działa na oryginale wskazuje błąd - You are not allowed to access this file. Ale jak podejrzewam, to ze względu na zabezpieczenia serwera, gdzie kopia została umieszczona.
Proszę o pomoc w swoim imieniu i wielu adminów stron opartych o Joomlę.
Znalezienie infekcji musi zostać opublikowane do wiadomości wszystkich.
Wrocławska firma twierdzi, że złoży do prokuratury zawiadomienie o nielegalnym działaniu tego człowieka w celu zarobkowym w ich sieci afilacyjnej. Problem jest taki, że najwyraźniej u nich nie pracuje żaden informatyk - ich podpowiedzi, że na serwerze posiadam pliki pdf wrzucone przez hakera to bzdura. Nie mają pojęcia co to jest iframe, gdy im o tym mówię. Na moje pytanie to w jaki sposób stworzyli sieć affilacyjną odpowiadają, zę kupili gotowy system z Wielkiej Brytanii wraz z usługą wdrożenia na ich serwerze. Za względu na sprawy prawne nazwy firmy nie ujawniam.
