Virusi na sajtu - trebam vasu pomoc i savet

Moderators: cicans, TheHacker

janez84
Joomla! Apprentice
Joomla! Apprentice
Posts: 12
Joined: Fri Jan 29, 2010 10:02 pm

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by janez84 » Wed Feb 24, 2010 12:08 am

Ma sada je nebitno oborio sam sajt i preinstalirao komp sad ovih dana treba ponovo da postavim sajt na server

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by Vrlo Jak Tim » Wed May 19, 2010 11:09 pm

Malo ću da bumpujem ovu temu, sigurnosti nikad dosta a i mučilo me ovo posljednjih dana.
Evo kako se rješava konkretno ovaj problem koji je imao janez84, i slični problemi:
http://blog.sucuri.net/2010/05/simple-c ... atest.html
Posljednjih dana su GoDaddy-jevi serveri propatili zbog ovoga...
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

User avatar
gmagdic
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 118
Joined: Wed May 05, 2010 1:53 pm
Location: http://adriahost.rs

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by gmagdic » Fri May 21, 2010 8:59 am

Sada vidim da GoDaddy postavlja 'misteriozni' dbboon folder sa fajlom proxy.php unutra, i da je nekoliko sajtova stradalo, a da se oni nisu oglasili povodom toga.

Da li neko ovde zna više o tome?
Hosting podrška @ AdriaHost.
http://adriahost.rs

bojan33
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Mon Nov 09, 2009 12:05 pm
Location: beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by bojan33 » Wed Nov 17, 2010 11:38 am

sajt je splavarenje.com, na istom hostingu samo u podfolderu se nalazi prezentacija kombiprevoz.rs

sajt je radio redirekciju na neku budalaštinu. primetio sam da mi je lokalni računar zaražen trojan.exploit virusom. očišćen je računar i taj i drugi koji je pristupao sajtovima.

promenio sam FTP pass.

permissions na kombiprevoz.rs su svuda 644 za fajlove i 755 za foldere, dok na splavarenje.com su na tmp folderu 777. kako se menja to nazad u 755? sećam se da sam jednom kucao nešto ali se ne sećam komande.

joomla je verzija 1.5.15, to bih trebao upgrade-ovati asap. samo kad stignem do pokretanja install.php fajla upgrade-a, nije hteo da ga pokrene, ne sećam se sad poruke. očigledno tu nešto radim pogrešno.

index.php je bio skoro duplo veći na splavarenje.com pa sam ga zamenio sa istim sa druge nezaražene prezentacije. međutim na kombiprevoz.rs nije bio veći a takođe je radio redirekciju.

sa najnovijim avg free pri poseti na splavarenje.com upravo je izbacio

Danger: Surf-Shield has detected active threats on this page and has blocked access for your protection.
The page you are trying to access has been identified as a known exploit, phishing, or social engineering web site and therefore has been blocked for your safety. Without protection, such as that in the AVG Security Toolbar and AVG, your computer is at risk of being compromised, corrupted or having your identity stolen. Please follow one of the suggestions below to continue.

URL: www2.networkphedowguard.in/?6bf997=%9B%EC%E0%96k%A0%96%AD%AB%95%D3%CD%D2%DA%A2%AD%C2%CA%8D%E1%D4%AF%95%5E%A0%94%A5%D5%A3%B0%AFn%9D%D9%E0%96k%D0%C4%BA%BD%95%E6%DF%DC%A5%97%95%A0%AB%97%AE%9A%A5%97%5E%9F%94%A9%D6%C7%AD%AE%AA%B4%A8%9D%A3k%94%D9%DD%EB%DB%D7%A8
Name: Rogue Scanner (type 1684)

dajte neki savet, hvala unapred

edit: sad sam ispraznio tmp folder na splavarenje.com i za sada otvara prezentaciju

rtrenado
Joomla! Apprentice
Joomla! Apprentice
Posts: 7
Joined: Wed Dec 27, 2006 9:47 am

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by rtrenado » Wed Nov 17, 2010 12:21 pm

Hi, I don't understand serbian, but I have the problem with the redirection on my Joomla to the link with virus (Rogue scanner) "www2.networkphedowguard.in"

Did you found the solution or where the code of redirection is it???

Thanks a lot!

bojan33
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Mon Nov 09, 2009 12:05 pm
Location: beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by bojan33 » Thu Nov 18, 2010 8:55 am

No, I didn't!

I still have the problem on the http://www.splavarenje.com

If you come across the solution, please share!

EDIT: SAJT INAČE I DALJE PRAVI PROBLEM, BILO KAKVA IDEJA JE DOBRODOŠLA

User avatar
cicans
Joomla! Hero
Joomla! Hero
Posts: 2241
Joined: Fri Oct 12, 2007 10:31 am
Location: Novi Sad, Serbia
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by cicans » Thu Nov 18, 2010 10:30 am

@bojan
Procitaj savete koje su tvoji prethodnici u ovoj temi dobili i nacine resavanja (osim toga i za tebe vazi donji link u ovom odgovoru, gde pise sve po redu sta treba uraditi).
@rtrenado
please read this: http://forum.joomla.org/viewtopic.php?f=432&t=475313
Blog: http://www.kuvarancije.com/
Serbian Joomla!® Translation Team Coordinator http://www.joomla-serbia.com/
Follow me on Twitter @cicans - Svetlana Zec

bojan33
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Mon Nov 09, 2009 12:05 pm
Location: beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by bojan33 » Fri Nov 19, 2010 9:49 am

Cico, hvala još jednom na pomoći.

sve sam uradio kako je navedeno i na prethodnoj strani i na navedenom linku.

kad sam startovao skriptu sa

http://blog.sucuri.net/2010/05/simple-c ... -hack.html

dobio sam odgovor

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@splavarenje.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

prezentacija je čista, problem egzistira

User avatar
cicans
Joomla! Hero
Joomla! Hero
Posts: 2241
Joined: Fri Oct 12, 2007 10:31 am
Location: Novi Sad, Serbia
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by cicans » Fri Nov 19, 2010 9:58 am

Bojane, ne znam sta si sve radio i kako, ali da ne prekucavam najbolji savet koji si mogao da dobijes i uputstvo kako da radis:
Leftfield wrote:Bekap.

Ocisti svoj racunar prvo. Ocisti sajt u lokalu svim i svacim. Posto je Windows cisti ga sa makar 2 apdejtovana antivirusa posebno. Nemoj da su oba instalirana odjednom. Pregledaj/ocisti komp sa CCleaner, SpyBot, Lavasoft.... svacim cime stignes a da je dobar program.

Obrisi sve sa servera.

Pretrazi rucno kod. Koristi neki program za uporedjivanje fajlova (recimo Winmerge). Kako? Skines novu joomla i uporedis default fajlove. Pogledaj da nema "nekih izmjena".

Kad si ocistila sajt vrati se na server. Provjeri da nema neka skripta, izbrisi sve u tmp i cache foldere. SVE pristupne podatke izmjeni. Napravi nove naloge (korisnik i lozinku) posebno za bazu, posebno za ftp.

Sledeci korak moras odraditi sa bezbjednog racunara:
Postavi sajt na server u vidu arhive, raspakuj ga, pregledaj dozvole - 755 na foldere a 644 na fajlove. Dodatno zastiti sajt, pod uslovom da imas apache, sa htaccess-om, dodatno zastiti configuration.php, pogledaj malo sto smo pisali i to je to.
Blog: http://www.kuvarancije.com/
Serbian Joomla!® Translation Team Coordinator http://www.joomla-serbia.com/
Follow me on Twitter @cicans - Svetlana Zec

bojan33
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Mon Nov 09, 2009 12:05 pm
Location: beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by bojan33 » Mon Nov 22, 2010 9:34 am

Ja se izvinjavam, nisam napomenuo da bekap sajta nemam od kako mi je taj hard crko pre nekoliko meseci. Tako da brisanje svega sa servera nije opcija.

Tako da sam sa druge prezentacije koja radi prebacio index.php i index2.php.

Problem je postojao i pošto sam izbrisao sve iz cache foldera, ali nekim čudom posle cca 24h od tada sajt je počeo da funkcioniše normalno. dokle će, videćemo. sve ostale savete osim brisanja svega sam primenio u startu.

bojan33
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Mon Nov 09, 2009 12:05 pm
Location: beograd
Contact:

Re: Virusi na sajtu - trebam vasu pomoc i savet

Post by bojan33 » Fri Nov 26, 2010 4:52 pm

sajtovi su mi radili (oba su na istom hosting paketu) do danas. od danas ponovo ne rade. hosting provajder je bio sezamhosting, odnosno sad je orion telekom.

prvo što sam primetio je neki ludački kod u većini joomla fajlova, u folderu components, modules, root-u i posebno u templates folderu.

da bih to rešio najbrže moguće (isprva sam brisao iz dreamweavera sve iz svakog fajla), snimio sam upgrade joomle 1.5.22 i time sam rešio sve osim templates foldera gde sam ručno menjao .php fajlove.

u nekom momentu primetio sam da outlook ne može da pristupi mail serveru na kombiprevoz.rs i odmah sam primetio da mi je internet strana opet zaražena. napominjem da sm pre toga promenio i FTP pass, ali očigledno nije vredelo. otvorio sam CPANEL i promenio password na jedinom aktivnom mail nalogu na kombiprevoz.rs, ponovo snimio čist update joomle 1.5.22 i promenio permissions na fajlovima (neki su bili sad se već ne sećam, ali drugačiji od 644).

prezentacije splavarenje.com i kombiprevoz.rs sad rade, a radi boljeg pregleda uradio sam ukupno sledeće:

1) promena pass-a na FTP-u
2) promena pass-a na mail nalozima - to je izgleda najbitnije što sam uradio, jer je onda sve stalo
3) promena permissions na fajlovima i folderima
4) pretraga i promena koda u .php fajlovima u templates folderu
5) snimanje 1.5.22 joomla update-a, čime sam obrisao zaražene fajlove

ako mislite da je trebalo još nešto uraditi, vi recite, ponestaje mi energije.


Locked

Return to “Bezbednost”