exclamation-circle Fertőzött index.php fájlok és kéretlen .ico fájlok

Több
2019 nov. 20 17:39 - 2019 nov. 20 17:41 #1 Írta: dankomisi
Sziasztok!

Nagyon nagy segítségre lenne szükségem!

Az utóbbi 2 hétben azt tapasztaltam, hogy a Joomla könyvtáraiban random jelennek meg ".ico" kiterjesztéssel fájlok, és ezzel egyidejüleg megjelennek fertőzött index.php-k ezeken a helyeken (sokszor .bak.bak fájlokat is rakosgat le.):
A fájlok jogosultsága először 755-re majd 311 -re vált és akkor tiltja le a szerver a PHP-kat.
.well-known
.well-known/acme-challenge
bin
cli
tmp

Megfertőzi még az inckude/framework.php filét is meg a libraries/import.php filét is. Az filék elejére számokat és kódsorokat rak be.
Van 1.5 2-es és 3-as joomlás oldalam is. Mindegyikbe belemegy.

Kitarkarítom a fájlokat (felülírom a jó fájlokkal.) Külön fiókba kezdtem rakosgatni a domainjeimet, de visszajönnek egy napon belül. Általában hajnalban vagy délelőtt.

Ha valaki tudna segíteni mi lehet ez és hogyan tudok megszabadulni tőlik nagyon boldog lennék.
Csatolok egy a szolgáltató által küldött hibanaplót.

Üdv. Dankó Mihály

Melléklet:

Fájlnév: hibanaplo_...1-20.txt
Fájlméret:2 KB
Mellékletek:
Utolsó szerkesztés: 2019 nov. 20 17:41 dankomisi által. Indoklás: Kihagytam egy mondatot

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2019 nov. 21 16:48 #2 Írta: kovacshazi
kovacshazi válaszolt a következő témában: Fertőzött index.php fájlok és kéretlen .ico fájlok
Az ingyenesen adott SSSL -ek és a nem kellően karbantartott CMS-ek rését kihasználják weboldalak feltörésére:
www.zscaler.com/blogs/research/abuse-hid...irectory-https-sites
www.securityweek.com/phishing-pages-hidden-well-known-directory
A .well-known/acme-challenge a free SSL-ek miatt keletkezik

Segítség Joomla és VirtueMart webáruház készítéséhet, problémák megoldásában
www.webprogramok.hu

Joomladay2013 - Budapest, Hungary
www.joomladay.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2019 nov. 21 19:48 #3 Írta: dankomisi
dankomisi válaszolt a következő témában: Fertőzött index.php fájlok és kéretlen .ico fájlok
Oké, de mit tudok tenni?
Ki lehet írtani ezt a vírust?
Amit észrevettem, hogy amelyik oldalam tudja a PHP 7.3-az az nem fertőződik, meg al aldomainként futó oldalak sem. Legalábbis eddig nem.
Most a gázosabb oldalakat beraktam aldomainba és átirányítottam a fődomaint az aldomainra.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2019 nov. 21 20:57 #4 Írta: kovacshazi
kovacshazi válaszolt a következő témában: Fertőzött index.php fájlok és kéretlen .ico fájlok
1. A cPanelen elvileg van vírus írtó, futtasd és elemezd az eredményt
2. a well.. és alkönyvtárainak jogosultságát tedd át 555-re, illetve töröld ami nem kell benne. Jelezni fogja a vírusírtó
3. cPanel log fájlban érdemes az IP címeket megnézni és az IP kitiltóval felvenni a tartományt
4. Telepíts a CSM-hez tűzfal progit Pl: Joomal - RS Firewall, WP - Shield Security

Segítség Joomla és VirtueMart webáruház készítéséhet, problémák megoldásában
www.webprogramok.hu

Joomladay2013 - Budapest, Hungary
www.joomladay.hu
A következő felhasználók mondtak köszönetet: dankomisi

Jelentkezz be, hogy te is részt vehess beszélgetésben!