Skocz do zawartości

Włamania do Joomli. Czyżby trojan na kompie?


Rekomendowane odpowiedzi

Witajcie od wczoraj mam poważny problem.

Ktoś włamał mi się do cms'a stworzył nowego użytkownika i podrzucił skrypt wysyłające maile.

Udało mi się z tym poradzić ale wyglądało na to że ktoś znał moje hasło do konta admina. Zastanawiam się czy nie mam jakiejś infekcji na kompie. Dziś sytuacja ze spamem zaczęła się powtarzać i okazało się że jeszcze dziś też w innej lokalizacji podrzucił plik.

 

Przeskanowałem kompa Malwarebytes Anti-Malware i coś tam sobie znalazł Wyniki

Włączyłem też Dr CureIt ale we wstępnym skanowaniu nic nie znalazł.

 

Zerknijcie proszę na logi z zalecanych programów

OTL Logfile

OTL Extras

GMER

SecurityCheck

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach nie widzę oznak powiązanej infekcji, a detekcje MBAM nie są związane z problemem (to tylko szczątki adware opartego na instalatorze Tarma). Doczyść pozostałe szczątki adware:

 

1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. Za to używane rozszerzenia trzeba będzie przeinstalować.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.

 

 

Ktoś włamał mi się do cms'a stworzył nowego użytkownika i podrzucił skrypt wysyłające maile.

 

Udało mi się z tym poradzić ale wyglądało na to że ktoś znał moje hasło do konta admina. Zastanawiam się czy nie mam jakiejś infekcji na kompie. Dziś sytuacja ze spamem zaczęła się powtarzać i okazało się że jeszcze dziś też w innej lokalizacji podrzucił plik.

- Czy zmieniłeś wszystkie hasła?

- Joomla zabezpieczona dostatecznie (jaka wersja, łaty)?

 

 

.

Odnośnik do komentarza

Oto log z AdWCleaner'a

 

Hasła zmieniłem.

Na wszelki wypadek zablokowałem konto bezpośrednio na bazie.

Na razie jest spokój,  Zwg na blokadę nie mogę teraz sprawdzić wersji ale najnowsza na pewno nie jest i raczej wymaga aktualizacji. Spróbuję się tym zająć w najbliższym czasie jednak ciekawi mnie jak ktoś się dostał. Gdyby wykradł mi hasła to pewnie inne serwisy również by ucierpiały.

 

Prawda również jest taka że akurat w tej witrynie hasło admina było dość proste i zapomniałem go zmienić.

Ale w momencie jak nastąpił atak to strony firmy hostingowej w ogóle przestała działać. Ciekaw jestem czy to przypadek. Oczywiście nikt nie przyznaje się do awarii ani ataku.

 

Próby uruchomienia skryptu były również dziś.

Oto log z Apacha - tyle że tych plików już nie ma w tych lokalizacjach.

Odnośnik do komentarza

AdwCleaner zrobił co należy. Kończąc sprawę czyszczenia systemu:

- Porządki: skasuj z Pulpitu folder utworzony przez reset Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

- Wyczyść foldery Przywracania systemu: KLIK.

 

 

Na razie jest spokój, Zwg na blokadę nie mogę teraz sprawdzić wersji ale najnowsza na pewno nie jest i raczej wymaga aktualizacji. Spróbuję się tym zająć w najbliższym czasie jednak ciekawi mnie jak ktoś się dostał. Gdyby wykradł mi hasła to pewnie inne serwisy również by ucierpiały.

 

Prawda również jest taka że akurat w tej witrynie hasło admina było dość proste i zapomniałem go zmienić.

 

Ale w momencie jak nastąpił atak to strony firmy hostingowej w ogóle przestała działać. Ciekaw jestem czy to przypadek. Oczywiście nikt nie przyznaje się do awarii ani ataku.

Nie jestem w stanie więcej tu stwierdzić, jaka była geneza zasadnicza (niełatana Joomla, niezbyt bezpieczy host/serwer, ...). I podsuwam link, m.in. z odnośnikami do newsów o krytycznych lukach: Joomla Security Info.

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...