Trojaner på flere Joomla installasjoner

Sikkerhet i Joomla! 1.5 og tilhørende elementer som server etc.

Moderators: sone12, Per Yngve Berg

User avatar
zenior
Joomla! Explorer
Joomla! Explorer
Posts: 325
Joined: Tue Mar 06, 2007 7:20 pm
Location: Sandefjord - Norway
Contact:

Trojaner på flere Joomla installasjoner

Postby zenior » Sat Nov 28, 2009 12:00 pm

Fikk mail fra Google om at min webside hadde "spredd ondsinnet programvare"
Ved sjekk av FTP server viser det seg at det ligger en mappe på wwwroot som er navngitt med et tresifret nummer, og med følgende (typiske) filer inni:

i4yelv-cckci.swf
6ewgzk8r4h.jpg
check.php
index.php

Jeg sjekker så alle mine Joomla installasjoner og de som jeg adminstrerer, ca 15 stk. og det viser seg at det finnes en tilsvarende mappe i alle installasjonene,bare med forskjellig tresifret nummer som navn. De fleste installasjonene er 1.5.15 eller 14, et par av de er 1.0.12

Noen som kjenner til dette fenomenet?? Eller merket noe til det i det siste?? Virker som dette har oppstått den siste måneden...

EDIT:
Det ligger også en folder som heter .sys med masse grums i på serveren...

User avatar
zenior
Joomla! Explorer
Joomla! Explorer
Posts: 325
Joined: Tue Mar 06, 2007 7:20 pm
Location: Sandefjord - Norway
Contact:

Re: Trojaner på flere Joomla installasjoner

Postby zenior » Sat Nov 28, 2009 12:43 pm

Oi, nå sliter jeg...

Gikk inn via FTP klienten min og sjekket for moro skyld en webserver hvor det IKKE er installert Joomla... og der lå det en tilsvarende mappe...opprettet for 3 minutter siden.
Dette tolker jeg som at min egen maskin er kilden, og sikkerhetshullet er ftp klienten.
Har kjørt BitDefender antivirus, bruker nå nyeste NOD 32 så dette forstår jeg ikke..

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4767
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Trojaner på flere Joomla installasjoner

Postby rued » Sat Nov 28, 2009 7:26 pm

Eller problemet heter One, i kombinasjon med litt slett sikkerhet ... ?

http://hjelp.joomlainorge.no/introduksj ... joomla-1-5

Om du har tilgang til FTP/HTTP-logg, sjekk disse - evt. be One hjelpe deg med å finne ut hvordan de kommer inn.
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no

User avatar
zenior
Joomla! Explorer
Joomla! Explorer
Posts: 325
Joined: Tue Mar 06, 2007 7:20 pm
Location: Sandefjord - Norway
Contact:

Re: Trojaner på flere Joomla installasjoner

Postby zenior » Sat Nov 28, 2009 8:06 pm

Dette har oppstått på alle websider jeg administrerer, uavhengig av leverandør og sikkerhet på webhotellet. Det er meg selv som er synderen.
Fenomenet heter "Koobface" eller KROTEG...
Relativt nytt fenomen hvor såkalte "scareware" programmer spres fra en tilfeldig nettside, ofte sosiale nettverk a la Facebook, for så å ta kontroll over FTP klienten til mottakeren og spre seg inn på serveren på den måten. Slett sikkerhet på egen maskin rett og slett, har kjørt uten virusbeskyttelse i lenger tid da jeg trodde at man aktivt måtte klikke på en programfil e.l. for å få virus, men den tid er over... har installert NOD 32 og regner med at jeg er sikret.

Antar at andre også etterhvert vil møte dette problemet så jeg henviser til
mer info om trusselen her: http://windowssecrets.com/2009/06/11/01 ... infections

og her: http://r3v3rs3e.wordpress.com/tag/kroteg/

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4767
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Trojaner på flere Joomla installasjoner

Postby rued » Sat Nov 28, 2009 8:22 pm

OK,

Håper du tok full pakke fra ESET nå da, ettersom antivirus alene ikke beskytter tilstrekkelig mot alt. ESET Smart Security kan forøvrig anbefales for de fleste, for de som vil ha alt gratis blir AVG Free og ZoneAlarm greie alternativer (sistnevnte kan også kombineres med NOD32 AV).

Og så må vi jo ikke glemme Linux: http://www.digi.no/825818/bruk-linux-til-nettbanken (også for FTP m.m. :laugh: )

Legg forøvrig også merke til tips ang. Secuna PSI i artikkel på digi. :pop
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no


Return to “Sikkerhet”

Who is online

Users browsing this forum: No registered users and 2 guests