Wpis z mikrobloga

Mirki - mam problem, ktoś włamał się na stronę (Joomla) która znajduje się na moim serwerze.
Google zablokowało stronę jako źródło malware. Z plików które zostały podmienione (według daty modyfikacji) - indexy podmniłem na wersje bez złośliwego kodu. 4 pliki usunąłem, usunąłem, usunąłem też katalog "fruit shop". Zmieniłem hasła, hasła ftp.
Jeden dzień było dobrze (może false positive). W tym momencie do indeksów doczepia mi się taki kod:
``
Gdzie mogę go jeszcze szukać? Pewnie jest jakoś zamaskowany.


#it #php #joomla #cms #pytaniedoeksperta
  • 9
@Mam_Glupi_Nick:
1. Zrób kopię bazy
2. Zrób kopię plików
3. Przeinstaluj CMSa - tak żeby zastąpić wszystkie pliki źródłowe oryginalnymi, czystymi plikami (zakładam że nie modyfikowałeś plików źródłowych i możesz to zrobić)
4. To samo zrób z modułami
5. Templatke pewnie masz zmodyfikowaną i nie masz backupu, więc tutaj musisz zrobić ręcznie przegląd. Szukaj kodu zakodowanego w base64, wywołań funkcjo eval(), itd bo tak zazwyczaj wygląda takie gówno. Możesz też użyć
@Mam_Glupi_Nick: poradziłeś sobie? Bo tak Cię szukałem w innej sprawie i to znalazłem. Generalnie tak:
Geneza problemu: nikt Ci się nie włamał, a przynajmniej nie był to gość co siedział i hackował konkretnie Twoją stronę. Na kod, który wkleiłeś musiałeś się natknąć odwiedzając cudzą stronę i Twój komputer został zainfekowany. Musiałeś mieć też zapisane hasło do FTP w jakimś programie typu Total Commander czy FileZilla. Po zainfekowaniu Twojego kompa wirus/malware czy