Włamania do Joomli. Czyżby trojan na kompie?

[mtkk]

Witajcie od wczoraj mam poważny problem.

Ktoś włamał mi się do cms'a stworzył nowego użytkownika i podrzucił skrypt wysyłające maile.

Udało mi się z tym poradzić ale wyglądało na to że ktoś znał moje hasło do konta admina. Zastanawiam się czy nie mam jakiejś infekcji na kompie. Dziś sytuacja ze spamem zaczęła się powtarzać i okazało się że jeszcze dziś też w innej lokalizacji podrzucił plik.

 

Przeskanowałem kompa Malwarebytes Anti-Malware i coś tam sobie znalazł Wyniki

Włączyłem też Dr CureIt ale we wstępnym skanowaniu nic nie znalazł.

 

Zerknijcie proszę na logi z zalecanych programów

OTL Logfile

OTL Extras

GMER

SecurityCheck

[picasso]

W raportach nie widzę oznak powiązanej infekcji, a detekcje MBAM nie są związane z problemem (to tylko szczątki adware opartego na instalatorze Tarma). Doczyść pozostałe szczątki adware:

 

1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. Za to używane rozszerzenia trzeba będzie przeinstalować.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.

 

 

Ktoś włamał mi się do cms'a stworzył nowego użytkownika i podrzucił skrypt wysyłające maile.

 

Udało mi się z tym poradzić ale wyglądało na to że ktoś znał moje hasło do konta admina. Zastanawiam się czy nie mam jakiejś infekcji na kompie. Dziś sytuacja ze spamem zaczęła się powtarzać i okazało się że jeszcze dziś też w innej lokalizacji podrzucił plik.

- Czy zmieniłeś wszystkie hasła?

- Joomla zabezpieczona dostatecznie (jaka wersja, łaty)?

 

 

.

[mtkk]

Oto log z AdWCleaner'a

 

Hasła zmieniłem.

Na wszelki wypadek zablokowałem konto bezpośrednio na bazie.

Na razie jest spokój,  Zwg na blokadę nie mogę teraz sprawdzić wersji ale najnowsza na pewno nie jest i raczej wymaga aktualizacji. Spróbuję się tym zająć w najbliższym czasie jednak ciekawi mnie jak ktoś się dostał. Gdyby wykradł mi hasła to pewnie inne serwisy również by ucierpiały.

 

Prawda również jest taka że akurat w tej witrynie hasło admina było dość proste i zapomniałem go zmienić.

Ale w momencie jak nastąpił atak to strony firmy hostingowej w ogóle przestała działać. Ciekaw jestem czy to przypadek. Oczywiście nikt nie przyznaje się do awarii ani ataku.

 

Próby uruchomienia skryptu były również dziś.

Oto log z Apacha - tyle że tych plików już nie ma w tych lokalizacjach.

[picasso]

AdwCleaner zrobił co należy. Kończąc sprawę czyszczenia systemu:

- Porządki: skasuj z Pulpitu folder utworzony przez reset Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

- Wyczyść foldery Przywracania systemu: KLIK.

 

 

Na razie jest spokój, Zwg na blokadę nie mogę teraz sprawdzić wersji ale najnowsza na pewno nie jest i raczej wymaga aktualizacji. Spróbuję się tym zająć w najbliższym czasie jednak ciekawi mnie jak ktoś się dostał. Gdyby wykradł mi hasła to pewnie inne serwisy również by ucierpiały.

 

Prawda również jest taka że akurat w tej witrynie hasło admina było dość proste i zapomniałem go zmienić.

 

Ale w momencie jak nastąpił atak to strony firmy hostingowej w ogóle przestała działać. Ciekaw jestem czy to przypadek. Oczywiście nikt nie przyznaje się do awarii ani ataku.

Nie jestem w stanie więcej tu stwierdzić, jaka była geneza zasadnicza (niełatana Joomla, niezbyt bezpieczy host/serwer, ...). I podsuwam link, m.in. z odnośnikami do newsów o krytycznych lukach: Joomla Security Info.

 

 

.