Κακόβουλο script και απομάκρυνση του.

Joomla! forum. Joomla! Questions and Answers.

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
laskos0
Δημοσιεύσεις: 4
Εγγραφή: 26 Ιουν 2004 19:22

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από laskos0 » 20 Ιαν 2010 01:32

Καλησπέρα σε όλους.

Έφτιαξα μια σελίδα σε Joomla v.1.5.15 και την ανέβασα πρόσφατα.

Διαπίστωσα ότι ορισμένες φορές μαζί με το άνοιγμα της σελίδας ανοίγει και παράθυρο popup με διαφημιστικό περιεχόμενο, κάτι που ΔΕΝ ΓΙΝΕΤΑΙ με τη θέληση μου.

Ρώτησα την εταιρία hosting η οποία μου εντόπισε 4 scriptakia που ανοίγουν (στην αρχική σελίδα) με διαφημιστικό περιεχόμενο..Το ερώτημα μου είναι που θα τα εντοπίσω ώστε να τα διαγράψω δια παντός και να λυθεί το ζήτημα;;;

Ευχαριστώ εκ των προτέρων

Άβαταρ μέλους
vassilism
Δημοσιεύσεις: 1950
Εγγραφή: 17 Μαρ 2007 14:47
Επικοινωνία:

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από vassilism » 20 Ιαν 2010 02:17

Για αρχή ψάξε στο index.php του template που χρησιμοποιείς μήμως βριες κανά javascript που σου κάνει την ζημιά.

laskos0
Δημοσιεύσεις: 4
Εγγραφή: 26 Ιουν 2004 19:22

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από laskos0 » 20 Ιαν 2010 02:38

vassilism έγραψε:Για αρχή ψάξε στο index.php του template που χρησιμοποιείς μήμως βριες κανά javascript που σου κάνει την ζημιά.
Να πω την αλήθεια έψαξα στο template μου, αλλά δεν βρήκα κάτι (δεν είμαι και πολύ έμπειρος σε scripts, αλλά ξέρω να διαβάζω κώδικα και μάλλον θα το καταλάβαινα...

Αυτό που ωστόσο βλέπω και ίσως φανεί χρήσιμο , είναι ότι όταν κάνω source στην αρχική σελίδα μου εντοπίζω τον παρακάτω κώδικα προς το τέλος του αρχείου :

Κώδικας: Επιλογή όλων

<!-- Free Web Hosting Area Start -->
<script type="text/javascript" src="http&#58;//a.freewebhostingarea.com/users/all.js"></script>
<noscript><br /><center><font color='#000000' face='Verdana' style='font-size&#58; 11px; background-color&#58;#FFFFFF'><a target='_blank' href='http&#58;//www.freewebhostingarea.com'><font color='#000000'>Free Web Hosting</font></a></font></center></noscript>
<!-- Free Web Hosting Area End -->
Πιστεύω να βοήθησα λιγάκι...

Άβαταρ μέλους
vassilism
Δημοσιεύσεις: 1950
Εγγραφή: 17 Μαρ 2007 14:47
Επικοινωνία:

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από vassilism » 20 Ιαν 2010 02:53

My friend αυτό μόνο εσύ μπορείς να το βρεις.
Με το view source μπορείς να εντοπίσεις στο περίπου σε ποιο αρχείο μπορεί να έχει χωθεί αυτός ο κώδικας (αυτό προϋποθέτει να έχεις μια γνώση της δομής των φακέλων και των αρχείων του joomla).
Προσπάθησε να εντοπίσεις κοντινά σημεία σε αυτόν τον κώδικα και ξεκίνα να ψάχνεις τα αρχεία σου.
Συνήθως (χωρίς αυτό να είναι βέβαιο) μπορεί να είναι στα αρχεία του template που χρησιμοποιείς.
Επίσης μπορεί να υπάρχει και σε κάποιο module ή component που έχεις προσθέσει εσύ και πιθανών από εκεί να προέκυψε η τρύπα.

laskos0
Δημοσιεύσεις: 4
Εγγραφή: 26 Ιουν 2004 19:22

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από laskos0 » 20 Ιαν 2010 17:39

vassilism έγραψε:My friend αυτό μόνο εσύ μπορείς να το βρεις.
Με το view source μπορείς να εντοπίσεις στο περίπου σε ποιο αρχείο μπορεί να έχει χωθεί αυτός ο κώδικας (αυτό προϋποθέτει να έχεις μια γνώση της δομής των φακέλων και των αρχείων του joomla).
Προσπάθησε να εντοπίσεις κοντινά σημεία σε αυτόν τον κώδικα και ξεκίνα να ψάχνεις τα αρχεία σου.
Συνήθως (χωρίς αυτό να είναι βέβαιο) μπορεί να είναι στα αρχεία του template που χρησιμοποιείς.
Επίσης μπορεί να υπάρχει και σε κάποιο module ή component που έχεις προσθέσει εσύ και πιθανών από εκεί να προέκυψε η τρύπα.
Το θέμα είναι ότι αφενός έχω βάλει πολύ συγκεκριμένα πράγματα στην σελίδα (τα οποία ελέγχω ήδη) και το χειρότερο ότι εμφανίστηκε το popup με την λειτουργία της σελίδας....δηλαδή δεν έχω backup προηγούμενο δυστυχώς...

Απλά υπάρχει κάποιος συγκεκριμένος τρόπος προσέγγισης των scripts ; υπάρχει κάποιο πρόγραμμα ίσως που να ελέγχει (έστω offline) τα αρχεία και να εντοπίζει scripts ;

Κάθε βοήθεια ευπρόσδεκτη.

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από fafos » 20 Ιαν 2010 18:27

1. allakse tous kodikous tou ftp

2. vale antivirus sto pc sou

3. mhn xrhsimopoieis ftp programma spasmeno.. doulepse me to filezila an den exeis thn dynatothta na agoraseis

4. psakse sta joomloeidh websites pos mporeis na kaneis ovewrite ta palia sou arxeia.. logika tha ginete kratontas kapoio config arxeio backup kai anevazeis ola ta ypoloipa... den xreiazetai na svhseis thn vash sou..

5. autoi xtypane synhthos arxeia me titlo pou periexoun tis lekseis: index, default kai main..
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
Giannis78
Δημοσιεύσεις: 1334
Εγγραφή: 11 Οκτ 2005 12:45
Τοποθεσία: Assigned by DHCP
Επικοινωνία:

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από Giannis78 » 21 Ιαν 2010 09:56

oloi tin patane apo trojans sta pc tous pou tous klevoune ta pass kai apo spasmena ftp programata....
WebHosting Services
http://www.intechs.gr

Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από mechpanos » 21 Ιαν 2010 10:43

Όπως είπανε και οι παραπανω φίλοι, πέρνα από πάνω όλα τα αρχεία και σωστά, να αλλάξεις τους κωδικούς του ftp σου και να μπαίνεις οπωσδήποτε με "καθαρό" ftp πρόγραμμα!

Τώρα κατέβασε το joomla πάλι, και κράτα μόνο το config.php και όλα τα άλλα, ακόμα και το template που χρησιμοποιείς, κάνε τα overwrite με καθαρά αρχεία!
Πύργος θεός Πανηλειακός!!

Άβαταρ μέλους
geoki
Δημοσιεύσεις: 309
Εγγραφή: 07 Ιαν 2002 01:00
Τοποθεσία: Giannitsa

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από geoki » 21 Ιαν 2010 13:00

Κάνε αυτά που είπε ο fafos.
Για να βρεις τα μολυσμένα αρχεία κάνε αναζήτηση στα περιεχόμενα των σελίδων για "freewebhostingarea" και διέγραψε τον ανεπιθύμητο κώδικα όπου υπάρχει.
fafos έγραψε:5. autoi xtypane synhthos arxeia me titlo pou periexoun tis lekseis: index, default kai main..
Στη δική μου περίπτωση μόλυναν όλα τα html, js, asp, php και τοποθετούσαν μέσα στον φάκελο images ένα php αρχείο με δικό του κώδικα.

Άβαταρ μέλους
Giannis78
Δημοσιεύσεις: 1334
Εγγραφή: 11 Οκτ 2005 12:45
Τοποθεσία: Assigned by DHCP
Επικοινωνία:

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από Giannis78 » 21 Ιαν 2010 13:21

Επίσης και κάτι άλλο που θα πρέπει να προσέχει κάποιος είναι και τα permissions στους φακέλους.
Φάκελοι με 777 είναι πολύ κακό πράμα.
WebHosting Services
http://www.intechs.gr

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από fafos » 21 Ιαν 2010 15:32

Giannis78 έγραψε:Επίσης και κάτι άλλο που θα πρέπει να προσέχει κάποιος είναι και τα permissions στους φακέλους.
Φάκελοι με 777 είναι πολύ κακό πράμα.
se auto ftaite kai eseis oi hostades.. polloi servers den afhnoun to 007 na doulepsei me write permissions to opoio einai ligotero epikyndino apo to 777
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
Banavas
Script Master
Δημοσιεύσεις: 1367
Εγγραφή: 21 Νοέμ 2004 20:25
Επικοινωνία:

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από Banavas » 21 Ιαν 2010 18:25

Μπορείς να εντοπίσεις τα μολυσμένα αρχεία σχετικά εύκολα από το ftp πρόγραμμα ελέγχοντας την ημερομηνία τελευταίας αλλαγής των αρχείων.
Λογικά όλα θα έχουν την ημερομηνία εγκατάστασης εκτός από αυτά που μολύνθηκαν και θα έχουν πρόσφατη ημερομηνία.
Happy coding....
Μάρκος
http://lasernet.gr

laskos0
Δημοσιεύσεις: 4
Εγγραφή: 26 Ιουν 2004 19:22

Κακόβουλο script και απομάκρυνση του.

Δημοσίευση από laskos0 » 24 Ιαν 2010 23:13

Τελικά βρέθηκε η λύση...

Είχε "εισχωρήσει" σε ένα άρθρο κώδικας html, τον οποίο εντόπισα (κατά λάθος για να πω την αλήθεια), τον αφαίρεσα και όλα ΟΚ τώρα!

Ευχαριστώ για τις απαντήσεις σας.

Απάντηση

Επιστροφή στο “Joomla! γενικά”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες