Bela home page + trojanac

Moderators: cicans, TheHacker

Locked
telemah
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Sat Jan 09, 2010 11:56 am

Bela home page + trojanac

Post by telemah » Sat Jan 09, 2010 1:40 pm

Pozdrav svima!

Javio mi se problem na jednom od dva sajta koja hostujem (oba) kod istog lokalnog provajdera. Sajtovi su priblizno iste starosti, oko dve godine vec sada, i od onog opsteg napada na log in od prosle godine nisam imao problema.

Sajt o kome je rec je zadnji put azuriran 27.12.2009. joomla verzija 1.5.15, server ima php 5.2.9, msql 5.0.51a apache 2.2.4 a od 04.01.2010. javlja se sledeci problem: home page je bela stranica koja nosi 0 kb, kada pokusam da se logujem na back end administrator, NOD 32 Antivirus 4 ( virus signature 4755) registruje JS/Trojan.Downloader.Agent.NRL i blokira mi konekciju ka sajtu. Uspeo sam to da premostim tako sto iskljucim web acess protection i pristupim back endu. Probao sam ,citajuci forum, da download-ujem index.php pomocu FileZila ftp client-a da proverim da li postoji iframe linija medjutim i tada NOD 32 reaguje i prekida konekciju zbog istog virusa tako da ne mogu da pristupim index.php fajlu.

Molim vas da mi pomognete da resim ovaj problem prvo da dijagnostikujemo sta je pa da lecimo.
Simptomaticno je to sto drugi sajt koji na istom serveru radi savrseno a cak je verzija 1.5.14
Da li je problem na serveru ili kod mene na lokalu?
Kako da se ocisti sajt od virusa, do sada nisam o tome razmisljao?
Koje ekstenzije se preporucuju za zastitu joomle od virusa i slicnih napada?
Hvala u napred!
Last edited by telemah on Tue Jan 12, 2010 10:16 pm, edited 1 time in total.

telemah
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Sat Jan 09, 2010 11:56 am

Re: Bela home page + trojanac

Post by telemah » Sat Jan 09, 2010 2:48 pm

Opet ja,
uradio sam nekako back up sajta inficiranog i kada sam ga propustio kroz NOD prijavio je ogroman broj zarazenih fajlova sa ekstenzijama .php, .html

Precesljao sam svoj kompjuter i nista nisam nasao koristim NOd32 AV 4, Malwarebytes i XsoftSpy antispyware

Saljem vam i log file skeniranja pomocu antivirusa ali samo listu detekcija posto je veiki fajl za upload na forum.
You do not have the required permissions to view the files attached to this post.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Bela home page + trojanac

Post by Leftfield » Sat Jan 09, 2010 5:04 pm

Telemah, dobrodosao na forum.

Pisali smo o tome, detaljno. Pretrazi ovaj forum ;)
Joomla Templates and Plugins /https://youjoomla.com/

telemah
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Sat Jan 09, 2010 11:56 am

Re: Bela home page + trojanac

Post by telemah » Sat Jan 09, 2010 5:12 pm

OK Hvala Leftfield,
Citao sam sada i ja detaljnije, nasao sam jedan post gde se upravo isti virus javljao sa istim simptomima i odgovor je bio da je to provajder resio na serveru.

Ali iskren da budem mene plasi onoliki broj inficiranih fajlova i sta ce mi na kraju ostati od sajta, imam neki back up ali je malo stariji, a sa backupom koji bih sada napravio nema vajde jer je inficiran.

Interesujeme samo jedna stvar, odakle taj virus?

Hvala na trudu i volji!

User avatar
belkan
Joomla! Ace
Joomla! Ace
Posts: 1160
Joined: Tue Feb 24, 2009 6:44 pm
Location: Beograd

Re: Bela home page + trojanac

Post by belkan » Sat Jan 09, 2010 5:20 pm

Za taj virus ćeš morati da sačekaš ponoć pa da zajedno sa Leftfieldom pozoveš 'Milana The vidovnjaka'. :D
.:: Zoran Belić ::.
.:: 卓然贝利奇 ::.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Bela home page + trojanac

Post by Leftfield » Sat Jan 09, 2010 5:25 pm

Virus je najvjerovatnije (90%) sa tvog racunara presao putem FTP-a. Znam, znam. Imas NOD.
Joomla Templates and Plugins /https://youjoomla.com/

telemah
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Sat Jan 09, 2010 11:56 am

Re: Bela home page + trojanac

Post by telemah » Sat Jan 09, 2010 6:08 pm

OK kapiram da je verovatno sa mog racunara ali mi sada nije jasno kako da ga se resim. Ako ga NOD ne vidi sta ga vidi?
Ako ja imam privid na racunaru da ga nema pa sredim sajt (nekako) a on ga opet zarazi.

Dobro izbegavacu filezilu vec cu preci na joomline klijent, promenicu lozinke.

Sta se desilo na kraju sa onim back upom, kada sam krenu da ga skeniram i ocistim AV je obrisao ceo back up, a malwarebytes pre toga nije konstatovao nista. Tako da je Boga mi gusto.

Divna stvar je i da je vikend tako da provajder ne radi do ponedeljka pa cu tek tada videti sta se moze uraditi.

Hvala momci jos jednom, javi cu sta se desavalo dalje.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Bela home page + trojanac

Post by Leftfield » Sat Jan 09, 2010 6:35 pm

Svaki put kad se nakacis, ako imas virus, on ce ti putem FTP-a zaraziti sve default, index i nek ostale fajlove.

Moras da ocistis registarske kljuceve i da koristis neki program za SFTP. Svi programi (skoro svi), ukljucujuci i moj omiljeni Filezilla cuvaju korisnicke naloge u obicnom tekstualnom fajlu.

Kad se aktivira FTP tada se i virus aktivira kroz reg kljuceve i pali i zari.
Joomla Templates and Plugins /https://youjoomla.com/

telemah
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Sat Jan 09, 2010 11:56 am

Re: Bela home page + trojanac

Post by telemah » Tue Jan 12, 2010 10:15 pm

Pozdrav svima,
Drago mi je sto mogu da vam kazem da sam uspeo da sredim sajt i za sada sve radi ok.

Zelim da podelim sa vama nacin na koji sam resio problem jer cini mi se da se nigde nije spominjala takva akcija. Naime dok sam ja pretrazivo net o trojancu koji mi je zarazio sajt, u pokusaju da upoznam neprijatelja da bi ga se resio, naisao sam na interesantan post i jos interesantniji tool pomocu koga je moguce resiti se ovog virusa.

Evo adrese: http://justcoded.com/article/gumblar-fa ... oval-tool/
Rec o php skripti koja se upoaduje u root folder sajta i poziva se na izvrsenje iz browsera recimo:
www.nazivsajta.com/curevir.php i ona tada cisti sve one zarazene fajlove. Na adresi koju sam postavio mozete naci jos nekih informacija vezane za skriptu. Inace ona je pisana za neki drugi tip virusa ali koji ocigledno funkcionise kao i ovaj JS/Trojan.Downloader.Agent.NRL, i mozda za sve one maliciozne skripte koje dopisuju ovakav kod /*LGPL*/ try{ window.onload.... itd

Kod mene je skripta radil bez problema. Valjda. Na postu koji sam ostavio spominju se jos i varijante za izvrsavanje:
www.nazivsajta.com/curevir.php?shell=1 i
www.nazivsajta.com/curevir.php?limit=XXX
i jos spominje se da je moguce da se jave probli oko dozvola za pisanje u fajlovima, potrebno je da su pristupacni kako bi skripta mogla da ih zaleci.

Ono sto je jos interesantno jeste da se skripta redovno updateuje i razvija tako da sa linka mozete da skinete svezu varijantu.

Hvala svima na pomoci. Molim admine i one sa vise iskustva u programiranju da provere skriptu i da vide da li se to moze jos na sta primeniti, ili da se iskoristi princip rada za neku buducu skriptu.

Pozdrav svima!

Ekran
Joomla! Apprentice
Joomla! Apprentice
Posts: 6
Joined: Sat Mar 28, 2009 2:47 pm
Location: Beograd
Contact:

Re: Bela home page + trojanac

Post by Ekran » Sun Feb 14, 2010 12:40 am

ja zbog njega sto nisam znao kako da ga obrisem, srusih svoj sajt pre 10min...i resih sve jovo nanovo da pravim.. :( :(

telemah
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Sat Jan 09, 2010 11:56 am

Re: Bela home page + trojanac

Post by telemah » Sun Feb 14, 2010 11:46 am

@ Ekran
Zao mi je sto to cujem. Ja licno nisam imao hrabrosti i zivaca da oborim sajt, postavio sam ga off line i krenuo u potragu za resenjem.
Ovaj forum i ljudi na njemu su mi u vise navrata zaista puno pomogli, i poseduju ogromno iskustvo i znanje tako da nemoj da odustajes kada se javi problem vec cesljaj forum. Ukoliko znas neki strani jezik moze ti biti od pomoci i internacionani forum. Kada se meni javio proble iscitao sam podforum Bezbednost mozda i vise od deset puta i upotrebio svu mogucu dosetljivost da pronadjem resenje na netu. Ono sto je najvaznije pronasao sam resenje.
Ne odustaj.
Pozdrav

bojan33
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Mon Nov 09, 2009 12:05 pm
Location: beograd
Contact:

Re: Bela home page + trojanac

Post by bojan33 » Fri Nov 19, 2010 9:27 am

ja imam sličan problem, ali pri kliku na tvoj postavljeni link avg mi prijavljuje opet neki virus na dotičnoj strani!

telemah
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Sat Jan 09, 2010 11:56 am

Re: Bela home page + trojanac

Post by telemah » Fri Nov 19, 2010 7:27 pm

@bojan33
Pozdrav Bojane, nisam razumeo kada ti AVG prijavljuje problem kada odes na link po removal tool ili kada ga primenis na sajtu?

Ako resis da koristis removal skriptu postavi sve dozvole za taj poduhvat na 777 i aktiviraj skriptu, posle vrati dozvole na preporucene. Isprazni prethodno svu cash memoriju sve private data i temp fajlove, jer kao sto je rekao Leftfield ako ista od toga ostane virus ce starom putanjom opet da te zarazi.

Ja nisam vise imao problema od kada sam ocistio sajt, i od tada sam jako oprezan kada koristim ftp klijenta, imas u njemu opciju clear data i to koristim posle svake konekcije, ukinem konekciju sa serverom pa clear data pa izadjem iz programa. Koristim ccclaener i Advance system Care da bih ocistio temp fajlove i ostalo sa kompa.

Ja sam samouk sto se tice joomle i platio sam vise puta cenu za to UVEK PRAVI BACKUP pre svake intervencje , makar i backup zarazenih fajlova.

Pozz nadam se da ce neko od iskusnijih da ti podrobnije pomogne oko ovog problema ako nesto budem jos mogao da uradim, samo kazi.
Pozzzzz


Locked

Return to “Bezbednost”