Temat: Joomla z trojanami
dopisywane linijki kodu do plików index.php to najczęściej skrypty mające wyświetlać reklamy lub dodające jakiś element wyświetlający się na stronie po kliknięciu którego użytkownik ściąga sobie wirusa.
najczęściej jest to wirus który wykrada hasła.
dlatego w programach służących do łączenia z FTP nie korzystajcie z funkcji zapamiętywania hasła jak również tych danych nie przechowujcie zapisanych na pc.
i jeśli macie taką możliwość to korzystajcie z szyfrowanego połączenia
Jak się odkryje taki dodany kod i mamy pewnośc że nie był to atak konkretnie na naszą strone 'to wgrywamy backup bez "dodatków", najlepiej by to był backup zrobiony prze dostawce hostingu i przez niego przywrócony,
..... i robimy pełne skanowanie własnego komutera najczesciej znajdziemy cos co sie ładnie nazywa backdoor coś tam coś tam i jest to starszne gówno powniewaz instaluje się w startowych partycjach dysku i czasami jest kłopot by to usunąć. wiem ze na pewno daje sobie z tym rade kaspersky a w razie problemów podają linka do ściągnięcia dysku ratunkowego, który pomaga się tego pozbyć i tak właściwie jest zalecany by mieć prawie 100% pewność ze się tego pozbyliśmy
Potem zmieniamy wszystkie hasła, do ftp, baz danych admina itp.
co do zidentyfikowania ataku na stronę, to pozostaje tylko czytanie logów i co jakiś czas sprawdzanie czy pliki nie mają zmienionych dat lub dodanych linijek kodu
o zidentyfikowanie ip odpowiedzialnego za zmianę pliku można zapytać hosting jeśli znamy przybliżony okres ataku a najczęściej znany bo wszystkie zmienione pliki będą miały podaną datę i godzinę zmiany, zapewne tą samą na jednym koncie hostingowym.
i niestety ta wiedza o pozyskanym IP pozostaje tylko nam bo nie ma nigdzie miejsca żeby takiego zgłoszenia o złamaniu prawa dokonać
Co ciekawe w ostatnim czasie tego typu ataki były zidentyfikowane min. z ip z Żyrardowa koło warszawy