Po prebacivanju Joomle na drugi server mi se na dnu pojavljuje neki iframe kod

Pozdrav. Imam stranicu urajdenu u Joomli. Do nedavno ta stranica mi je bila na jednom serveru i sve je bilo ok. Medjutim sada sam perbacio stranicu na drugi server i odjednom mi se pojavio slj. problem: Na kraju BODY tag-a mi se pojavljuje sljedeci kod:

[color=“DarkRed”][/color]

Mozete i pogledati na stranici. U cemu je problem?

http://www.es-dizajn.com

Pogledaj kako sam promijenio naslov teme. Opisuje točno sadržaj tvog posta.

Efekt ćeš vidjeti vrlo uskoro, jer će članovima već iz naslova teme biti jasno o čemu se radi, te da znaju odgovor i mogu ti pomoći.

U pravu si, thanks. Vidjecemo…

Kakve veze imaš sa tim es-dizajn?

Ako to nije vaš originalni kod, tvoje stranice su uspješno napadnute. Iframe injection se može izvesti na puno načina, kao i HTML ili JS injection, ali glavni opis uključuje dodavanje koda negdje u stranice ili bazu, a taj kod obično poziva vanjske maliciozne skripte.

Prvo što trebaš provjeriti je da li taj kod doista fizički postoji unutar stranica ili baze, čisto da isključimo ARP atack.

Ako postoji, onda trebaš:
-očistiti cijeli tvoj web, tj. obrisati taj dio koda (search/replace funkcija)
-provjeriti bazu i eventualno očistiti iz baze
-promijeniti sve svoje lozinke (uključujući FTP i database lozinku)
-podesiti dozvole na webu na taj način da se pisanje ne radi unutar web foldera (ovo je ključna sigurnosna pogreška većine današnjih CMS sustava jer je staro pravilo da se pisanja ne rade unutar web foldera nego izvan, a iz razloga da se u startu onemogući bilo kakav napad zapisivanjem na disk - to je već druga tema)

Ako se nakon takvih akcija problem ponovi, kriv je hoster, tj. probijen je cijeli taj server i kod se multiplicira neovisno o tvojim akcijama.

Još bih napomenuo da obvezno treba prekinuti s korištenjem FTP klijenata koji bilježe lozinke u običnom nekodiranom stanju. Npr. Filezilla to radi po defaultu pa je bolje koristiti neki bolji FTP klijent.

Ako pak tog koda fizički nema unutar tvog weba ili baze, onda je velika mogućnost da je cijeli server pod ARP napadom. To trebaš pod hitno prijaviti hosteru jer se radi o napadu na mrežnoj razini gdje jedno računalo u mreži napada sva ostala računala i ti tu ne možeš ništa.

A kakve veze ima ovo pitanje sa tim sto ti mene pitas?

[quote=“Sljaker”]Ako to nije vaš originalni kod, tvoje stranice su uspješno napadnute. Iframe injection se može izvesti na puno načina, kao i HTML ili JS injection, ali glavni opis uključuje dodavanje koda negdje u stranice ili bazu, a taj kod obično poziva vanjske maliciozne skripte.

Prvo što trebaš provjeriti je da li taj kod doista fizički postoji unutar stranica ili baze, čisto da isključimo ARP atack.

Ako postoji, onda trebaš:
-očistiti cijeli tvoj web, tj. obrisati taj dio koda (search/replace funkcija)
-provjeriti bazu i eventualno očistiti iz baze
-promijeniti sve svoje lozinke (uključujući FTP i database lozinku)
-podesiti dozvole na webu na taj način da se pisanje ne radi unutar web foldera (ovo je ključna sigurnosna pogreška većine današnjih CMS sustava jer je staro pravilo da se pisanja ne rade unutar web foldera nego izvan, a iz razloga da se u startu onemogući bilo kakav napad zapisivanjem na disk - to je već druga tema)

Ako se nakon takvih akcija problem ponovi, kriv je hoster, tj. probijen je cijeli taj server i kod se multiplicira neovisno o tvojim akcijama.

Još bih napomenuo da obvezno treba prekinuti s korištenjem FTP klijenata koji bilježe lozinke u običnom nekodiranom stanju. Npr. Filezilla to radi po defaultu pa je bolje koristiti neki bolji FTP klijent.

Ako pak tog koda fizički nema unutar tvog weba ili baze, onda je velika mogućnost da je cijeli server pod ARP napadom. To trebaš pod hitno prijaviti hosteru jer se radi o napadu na mrežnoj razini gdje jedno računalo u mreži napada sva ostala računala i ti tu ne možeš ništa.[/quote]

Hvala puno, sad cu ovo sve da pogledam pa cemo vidjeti.

Sada sam skinuo index.php i u njemu nema ovog KODA. Znaci ovaj se KOD pojavi samo kada se gleda stranica u browser-u.

Jel sada ovo znaci da nema coda fizicki i da se trebam obratiti hoster-u?

[quote=“sabaemir”]Sada sam skinuo index.php i u njemu nema ovog KODA. Znaci ovaj se KOD pojavi samo kada se gleda stranica u browser-u.

Jel sada ovo znaci da nema coda fizicki i da se trebam obratiti hoster-u?[/quote]

Nažalost, nije tako jednostavno.
Treba pregledati baš sve stranice jer je moguće da je kod unutar neke include ili JS datoteke, a moguće i u sustavu teme/templatea.
Ima puno lata koji to mogu, a najćešći je Ultraedit (pokreneš search/replace na cijelom folderu).

Također, treba napraviti search baze.

Također, česta je pojava da se koristi takozvani CHR kod (umjesto određenog karaktera, koristi se njegova brojčana vrijednost).

EDIT: ako su simptomi nastali odmah nakon prelaska kod novog hostera, to ne mijenja bitno na stvari.

Itekako ima veze! Još uvijek možeš odgovoriti na pitanje.

Naravno, prva stvar na koju sam posumnjao je hakiranje stranice kao što je napisao Sljaker, jer sam puno puta vidio takav iframe. Ono što me začudilo je da je riječ o hrvatskom url-u što nikada nisam vidio, pa mi dolazi ideja da je riječ o nekakvom osobnom napadu.

Pogledaj u index.php predloška, a ako niti tamo nema onda bi trebao skinuti cijeli site i napraviti search svih datoteka.

[quote=“eke777”]Itekako ima veze! Još uvijek možeš odgovoriti na pitanje.

Naravno, prva stvar na koju sam posumnjao je hakiranje stranice kao što je napisao Sljaker, jer sam puno puta vidio takav iframe. Ono što me začudilo je da je riječ o hrvatskom url-u što nikada nisam vidio, pa mi dolazi ideja da je riječ o nekakvom osobnom napadu.

Pogledaj u index.php predloška, a ako niti tamo nema onda bi trebao skinuti cijeli site i napraviti search svih datoteka.[/quote]

Ok. Ovo je moj osobni sajt. Stranica je pokrenuta na ovom hostu tek prije 3-4 dana i odma se to pojavilo. Zato mi nekako cudno da je odma neko uhakovao. U index.php predloska nema ovog iframe. Sad cu da potrazim neki alat i da pogledam cijeli sajt.

Čekaj, tvoj sajt i iframe s tvojm linkom???

Kakve sam se strahote naslušao o toj joomli ne bi me čudlio da to ona sama radi u verziji 3.14 dok je taj bug ispravljen od 3.15 na dalje. :zub:

Možda je neka tupava opcija u joomli koju trebaš isključiti?

[quote=“trnac”]Čekaj, tvoj sajt i iframe s tvojm linkom???

Kakve sam se strahote naslušao o toj joomli ne bi me čudlio da to ona sama radi u verziji 3.14 dok je taj bug ispravljen od 3.15 na dalje. :zub:

Možda je neka tupava opcija u joomli koju trebaš isključiti?[/quote]

Ma ovaj sajt sam napravio prije pola godine, i bio je na nekom drugom serveru, i tamo je sve bilo ok. Medjutim cim sam prebacio ovamo ovo se pocelo desavati. Znaci ovo je moj sajt, i ovaj iframe je sa moje stranice link.

Ma nema takva opcija u Joomli. Eh sad jedino da uradim update na zadnju verziju, mozda to rijesi stvar.

Bez uvrede, ali zašto pljuješ po Joomli, a nemaš pojma o njoj?

Probaj nadograditi, ali čini se da je riječ o automatskoj skripti koja je napravila loš posao hakiranja. Najbolje je staviti čiste datoteke iz backupa i napraviti preventivne akcije.

Imao sam ja ovaj problem prije dva dana, u sve index.php fajlove je bio maliciozni kod i frame

Kako je rijesen problem?

napravljen je backup podataka
skenirani svi fajlovi na hostu (jedan po jedan preporuka)
promjena ftp i cpanel lozinki i korisnickih imena
sve sto je skinuto na komp jos jednom skenirano sa AVG, NOD32 i Avast antivirusom
Nadene su index.php datoteke koje su kako kazu antivirusi bile zarazene trojans horse :wink:

U pitanju bi mogao biti i ftp klijent naručito ako koristiš krekirani Total commander :slight_smile:
Također bih napravio novu instalaciju uz promjenu svih lozinki, prečešljao backup s antivirusnim alatom (avast pronalazi iframe)
ps. provjeri mapu includes da nema kakvih ‘čudnih’ skripti, na sajtu i u backupu

sad sam pregledao njegov sajt i vidim da nigdje nema nekog “meni sumnjivog” iframe kod

Inače, preko Joomle je moguće ‘legalno’ kreirati iframe, u pitanju je opcija pri kreiranju novog modula tipa Wrapper.

Ali sigurno nije o tome riječ.

Problem rijesen. Evo za sve one koji koriste joomlu i naidju na ovo.

Kad sam htio prebaciti asjt na novi server, instalirao sam komponentu za backup koja se zove Akeeba. Sad kad sam gledao fajlove na hostu, slucajno sam vidio u CACHE folderu da stoji neki aklazy.php, i kad sam pogledao plugin folder, takodje se nalazio LAZY.PHP plugin. To su sve sastavni dijelovi ove komponente AKEEBA. Ugasio plugin i odradio clean cache i sad je sve ok. Toliko muke a tako se lagano rijesilo. Nikakav virus


Copyright © 2020 WM Forum - AboutContact - Sponsored by: Mydataknox & Webmaster.Ninja