Форум русской поддержки Joomla!® CMS
09.12.2016, 07:58:23 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Как я "лечил" JS/TrojanDownloader.FakejQuery.B / PHP/WebShell.NCZ (nod 32)?

 (Прочитано 456 раз)
0 Пользователей и 1 Гость смотрят эту тему.
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« : 17.11.2016, 17:46:57 »

Доброго времени суток всем.
Решил поделится информацией по одной ситуации с которой я столкнулся, а именно:
При попытке зайти на сайты своей компании срабатывал антивирус Eset Nod 32 v4, сбрасывал подключение к сайту и выдавал сообщение о том, что обнаружен:
JS/TrojanDownloader.FakejQuery.B
Естественно сайт в браузере не открывался...
При просмотре некоторых файлов антивирус так же ругался на PHP/WebShell.NCZ

Сразу скажу, что (это сугубо мое мнение) вирус проник на сайт (и два субдомена) скорее всего при "помощи" кода от JivoSite, ибо все остальные используемые плагины и модули используются как говорится годами и никогда проблем не было...

Ну да ладно... Как избавится от этой заразы (так было у меня):

Первое что нужно знать: вирус поражает index.php файлы, причем не абы какие, а те в которых присутствует "какркас" HTML, а именно
<body>
<head></head>
</body>
Вредноносный код (в одну строку) вставляется непосредственно перед тегом </head> при этом перед самим тэгом (так было у меня) в файлах index.php появляются пустые строки ~10 - 20 шт.

То есть нужно удалить эту строку и пересохранить файл.

У меня это строка имела вид:
Показать текстовый блок

(Нет я все таки не поленюсь и распишу...)
Помимо самого кода внутри файлов index.php определенной структуры в корневом каталоге (public_html) у меня появились следующие файлы и каталоги:

Название файла:
  • 0fedf6fd76.php
  • 19d2aa.php
  • bcafecaa39.php
  • receiver.html
  • word.php
  • xml.php
  • hlt.zip
  • vgs.zip

Каталоги:
  • hlt
  • vgs

Всё это добро я удалил. Yes!
После этого антивирус перестал ругаться на сайт и сайт стал открываться в браузере.

Благодарю за внимание :-) надеюсь кому нибудь поможет.
« Последнее редактирование: 17.11.2016, 18:05:07 от gilmor » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #1 : 17.11.2016, 17:47:48 »

Версия Joomla какая?
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #2 : 17.11.2016, 17:50:18 »

Версия Joomla какая?
Была 3.6.2 сейчас обновил до последней Joomla! 3.6.4 Stable
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #3 : 17.11.2016, 17:51:40 »

Все что я так старательно писал со списком файлов и где что удалить почему то не влезло...

Может у кого есть идеи как эта гадость проникла на сайт?
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #4 : 17.11.2016, 18:07:02 »

Все мое терпение закончилось...
Хотел красиво оформить и выложить код всех файлов, но почему то код обрезается....
так что....
« Последнее редактирование: 17.11.2016, 18:10:39 от gilmor » Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #5 : 17.11.2016, 18:18:23 »

Все мое терпение закончилось...
Хотел красиво оформить и выложить код всех файлов, но почему то код обрезается....
так что....
честно - это никому не надо Azn
эти коды как и сами файлы могут быть любыми
а то что антивирус не ругается - это не факт что на сайте шелов и всякого другого г.. не осталось и эти "коды" не появятся завтра или послезавтра опять Azn
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7776



« Ответ #6 : 17.11.2016, 18:21:45 »

честно - это никому не надо Azn
эти коды как и сами файлы могут быть любыми
а то что антивирус не ругается - это не факт что на сайте шелов и всякого другого г.. не осталось и эти "коды" не появятся завтра или послезавтра опять Azn
абсолютно верно. ТС, плюсанул исключительно за стремление поделиться решением с другими. но к сожалению 99% что вы не решили проблему даже для себя.
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #7 : 17.11.2016, 18:22:23 »

Поставте айболита на контроль целостности файлов.
Запускайте раз в сутки кроном.
отчет себе на мыло, или можете только предупреждения на мыло.
А то что вы там чистили или обновили, это еще не факт, что все не вернется на круги своя.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #8 : 17.11.2016, 21:35:29 »

А все токи было бы интересно увидеть код, можно было бы потом пройти по базе доменов Joomla на наличие аналогичной херни)))
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #9 : 18.11.2016, 08:42:13 »

gilmor, если хотите показать код - отключите свой антивирусник, код запихайте в Wordовский файл и заархивируйте с паролем. Выложите на Яндекс и дайте нам ссылку.

Больше никак)

И еще - полный код не нужно выкладывать. До середины каждого файла будет выше крыши. Мало ли у кого какие дурацкие мысли появятся - инет большой.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #10 : 18.11.2016, 13:44:45 »

Эм receiver.html это может быть файл подключения mail.ru api =) если там конечно гадости в коде не было. это раз а два. Не думаю что саму дыру залатали. Обычно это совсем не приметный файл в попе мира. Поэтому когда латаешь дыру надо играть в игру что, где, когда. Начинать надо с когда в логах.
Записан
ProtectYourSite
Осваиваюсь на форуме
***

Репутация: +9/-2
Offline Offline

Сообщений: 83



« Ответ #11 : 18.11.2016, 17:41:49 »

Сразу скажу, что (это сугубо мое мнение) вирус проник на сайт (и два субдомена) скорее всего при "помощи" кода от JivoSite
Мнение скорее всего ошибочное.
Jivosite Вы подключаете через Javascript код - формально он сможет изменить только страницу пользователям, но не файлы на сервере. Поэтому скорее всего проблема крылась или кроется в другом.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #12 : 18.11.2016, 19:34:36 »

Мнение скорее всего ошибочное.
Jivosite Вы подключаете через Javascript код - формально он сможет изменить только страницу пользователям, но не файлы на сервере. Поэтому скорее всего проблема крылась или кроется в другом.
То что проблема кроется в другом, несомненно, НО! средствами JS, можно залить шелл, когда на него напарывается авторизованный админ! такая штука называется XSS+RCE.
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #13 : 18.11.2016, 23:11:02 »

Здравствуйте коллеги.
Проблема вернулась....
Пока разбираюсь.
Кто сталкивался и может подсказать что ни будь дельное буду признателен.
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #14 : 18.11.2016, 23:12:22 »

Мнение скорее всего ошибочное.
Jivosite Вы подключаете через Javascript код - формально он сможет изменить только страницу пользователям, но не файлы на сервере. Поэтому скорее всего проблема крылась или кроется в другом.
100% дело не в нем... уже ясно так как код был удален, а вирус вернулся......
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #15 : 18.11.2016, 23:16:33 »

В каталоге субдомена в папке /public_html/субдомен/modules/mod_finder/
появился файл css42.php
Его содержимое(возможно не все влезит в сообщение):
Показать текстовый блок
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #16 : 18.11.2016, 23:18:54 »

Поставте айболита на контроль целостности файлов.
Запускайте раз в сутки кроном.
отчет себе на мыло, или можете только предупреждения на мыло.
А то что вы там чистили или обновили, это еще не факт, что все не вернется на круги своя.

Просветите меня тёмного что за Айболит? и как его поставить (хотя бы линк на мануал)
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #17 : 18.11.2016, 23:18:59 »

проблема явная и знакомая, тут весь аккаунт нужно проверять на наличие всякого вредоноса, лечить и наводить профилактические меры безопасности.
Просветите меня тёмного что за Айболит? и как его поставить (хотя бы линк на мануал)
https://revisium.com/ai/
там все подробно в блоге расписано, как им пользоваться.
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #18 : 18.11.2016, 23:21:45 »

Вопрос для всех людей в теме: Моя контора кому нибудь поднасрала своей деятельностью и это целенаправленная "атака" или это тупо бот/скрипт/дыра в Joomla? (Любые мысли с кратким обоснованием).
Заранее спасибо!
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #19 : 18.11.2016, 23:25:02 »

или это тупо бот/скрипт/дыра в Joomla
потому что этот код, что вы влажели, часто встречается в массовых атаках, если бы вы кому нить поднасрали, там бы болие ухищренные и болие аккуратные бегдоры были бы, чего не встретишь в массовости.
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #20 : 18.11.2016, 23:43:12 »

потому что этот код, что вы влажели, часто встречается в массовых атаках, если бы вы кому нить поднасрали, там бы болие ухищренные и болие аккуратные бегдоры были бы, чего не встретишь в массовости.
Как вариант(первое действие) смена пароля админа может помочь?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7776



« Ответ #21 : 19.11.2016, 00:40:16 »

нет
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #22 : 19.11.2016, 00:54:06 »

Вопрос для всех людей в теме: Моя контора кому нибудь поднасрала своей деятельностью и это целенаправленная "атака" или это тупо бот/скрипт/дыра в Joomla? (Любые мысли с кратким обоснованием).
Заранее спасибо!
Если бы вас ломали специально, то сайт бы превратили в фарш. Это обычный бот. Почему и за что? в 70% случаев варез в 29% проспали обнову Вы удалили лишь последствия, а надо искать источник, кстати если у вас сайты рядом на одном хосте то дыра может быть в другом сайте. Как бороться вопрос размытый, пошаговой инструкции нет.  А иногда вообще самый простым решением будет пере собрать сайт. Так или иначе у вас два пути.
1. Учиться самому, тут долго и нудно если сократить тираду о том что надо учить, то получается просто вы должны научиться сами ломать сайты тогда и лечить сможете.
2. Я частенько это пишу: Если вы задаете вопрос как мне вылечить сайт или найти\залопотать дыру на сайте, то ваших знаний для этого явно мало и лучшим для выбором будет нанять специалиста пока дело не стало еще хуже, ну а в свободное время можете где нибудь тренироваться.
Как вариант(первое действие) смена пароля админа может помочь?
Нет как и других паролей. ваши пароли ни кому не нужны
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #23 : 19.11.2016, 11:09:02 »

gilmor, тут нужна работа специалиста. Сами не справитесь. Даже если выдать Вам подробную инструкцию. Потому что нужно понимать код.
Записан
ProtectYourSite
Осваиваюсь на форуме
***

Репутация: +9/-2
Offline Offline

Сообщений: 83



« Ответ #24 : 19.11.2016, 12:54:12 »

В каталоге субдомена в папке /public_html/субдомен/modules/mod_finder/
появился файл css42.php
Анализируй логи, хорошо просканируй все файлы. Как вариант установить чистую Joomla и компоненты и перенести бд, если не можешь найти вредоносный код.
Или обращаться к специалистам, если время дороже)
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #25 : 19.11.2016, 13:29:27 »

так же может помочь пройтись по атрибутам файлов по ctime и mtime
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #26 : 19.11.2016, 17:35:57 »

Цитировать
вы должны научиться сами ломать сайты тогда и лечить сможете
Вот вот.
gilmor Вы там файлы мучаете, а он у вас в базе сидит или тянется соц кнопками или еще каким виджетом красавчиком. Azn
Если сайт приносит копеечку, то проще обратиться к авторам айболита, дать им копеечку и они все починят.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #27 : 19.11.2016, 17:43:18 »

Цитировать
вы должны научиться сами ломать сайты тогда и лечить сможете
Вот вот.
По этому обращайтесь ко мне Grin

gilmor Вы там файлы мучаете, а он у вас в базе сидит или тянется соц кнопками или еще каким виджетом красавчиком. Azn
Если сайт приносит копеечку, то проще обратиться к авторам айболита, дать им копеечку и они все починят.

Но тут дело копеечкой не обойдется.... рубликами дело пахнит)))
Записан
gilmor
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 13


« Ответ #28 : 20.11.2016, 14:43:52 »

...Фуууууу...
Ну вроде все (тьфу тьфу тьфу чтоб не сглазить...)

И так, как это было:

1) Переводим сайты в оффлайн

2) Меняем пароль от админ панели хостинга.

3) Проверяем БД Joomla на наличие левых учетных записей и удаляем их (у меня было 4 суперюзера и 7 админов + штук 30 явно левых просто пользователей).

4) Меняем логин и пароль для суперюзера.

5) Меняем пароль для БД Joomla.

6) Удаляем редактор JCE из Joomla и проверяем настройку фильтров по "опасным тегам" (<script>, <iframe> и т. д.)

7) (САМОЕ НУДНОЕ И ДОЛГОЕ ЗАНЯТИЕ !) Скачиваем сайт на локальный компьютер и сканируем Айболитом, затем вручную проходимся при помощи тектового редактора по всем файлам на которые есть нарекания.
Обратите внимание: Хитрожопый вирус может "красиво" прописаться в файл, а именно: открываешь и листаешь вниз все вроде чисто...
но (я один не смотрю на горизонтальную полосу прокрутки?) сразу в первой строчке после <?php через N-ное количество пробелов присутствует тот самый код, соответственно его удаляем.

Cool Очень любит вирус JComments и SimpleForm2 поэтому эти вещи (особенно их каталоги) проверяем досконально...

9) Помимо описанных выше файлов вирус создает свои (в них только вредноносный код) которые смело удаляем. Список приводить смысла не вижу. Я поступил так: попросил хостера просканировать каталог public_html антивирусом, антивирус нашел все созданные вирусом php файлы и пометил их расширением файла .suspected.

10) Если есть сомнения в том нужен ли конкретный файл в конкретном каталоге, то скачиваем дистрибутив вашей версии Joomla (или плагина) и смотрим есть ли в нем этот файл.

11) У меня из-за рассылки спама хостер отключил почтовые функции, следовательно связываемся с хостером и просим включить.

12) Закрываем админку от посторонних глаз (я использовал AdminExille)

Ну вот собственно такая история...

P.S. Если простой вашего сайта наносит серьезный удар по карману и/или вы как говорится не очень в теме, то советую не искать на задницу приключений и обратится к специалистам (стоит на сегодняшний день около 4000 российских рублей за 1 CMS, обещают починить все и установить какую то защиту за 48 часов).... Если недай бог эта дрянь опять проникнет, то наверное придется платить....

И да, чуть не забыл, не надо забивать болт (как я) на своевременную установку обновлений для Joomla и обновление используемых компонентов. Так же не стоит качать плагины и т. п. с левых сайтов и по левым ссылкам...

Всем удачи.
« Последнее редактирование: 20.11.2016, 15:08:39 от gilmor » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #29 : 20.11.2016, 14:59:12 »

Цитировать
Обратите внимание: Хитрожопый вирус может "красиво" прописаться в файл, а именно: открываешь и листаешь вниз все вроде чисто...
но (я один не смотрю на горизонтальную полосу прокрутки?) сразу в первой строчке после <?php через N-ное количество пробелов присутствует тот самый код, соответственно его удаляем.
А в редакторе Notepad++ включить перенос строк, и все хитрости на виду.
Цитировать
11) У меня из-за рассылки спама хостер отключил почтовые функции, следовательно связываемся с хостером и просим включить.
И включаем запись отправки писем в mail.log
Цитировать
обратится к специалистам (стоит на сегодняшний день около 4000 российских рублей за 1 CMS
У меня дешевле на 50% , от 1600 . Да думаю и у других форумчан сумма начинается не с 4000 руб.
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet