GoldenLine
Zaloguj się
Kordian Zadrożny

Kordian Zadrożny TETA HR, IT.
Konsulting,
Marketing, JOOMLA,
CorelDraw

Temat: Z cyklu włamanie na śniadanie

Ostatnio doświadczam u siebie i u znajomych ciągłego zarażania plików na stronie, agent/JS coś tam.

Zmiana hasła na ftp nie pomaga. Komp zdrowy (a przynajmniej nic nie widzą dwa antywirusy i combofix)

Gdzie mogłem zablokowałem w ogóle ftp, ale nie tędy droga. Macie jakieś doświadczenie z takim dziadostwem?
Link do wypowiedziLink

konto usunięte

Temat: Z cyklu włamanie na śniadanie

Przyczyn może być wiele.
Po pierwsze powinieneś zaktualizować co tylko się da (dodatki, moduły, komponenty), wstawiać złośliwe oprogramowanie na stronę można nie tylko przez FTP.
Link do wypowiedziLink
Alfred K.

Alfred K. Poszukiwanie pracy
in progress...

Temat: Z cyklu włamanie na śniadanie

Jakbyś jeszcze zechciał napisać coś więcej, jaka wersja Joomla, gdzie serwer, jakie dodatki. Jak napisał Dawid - przyczyn może być wiele, jakiś dodatek czy szablon z chomika na przykład :)
Link do wypowiedziLink
Kordian Zadrożny

Kordian Zadrożny TETA HR, IT.
Konsulting,
Marketing, JOOMLA,
CorelDraw

Temat: Z cyklu włamanie na śniadanie

Serwery
home
dhosting
gts

wersje
od 1.5 do 2.5 ;)
Dodatki różne

Czy np możliwe jest, że najpierw był atak ftp, i poza standardowym doklejeniem kodu jeszcze jakiś backdoor został wgrany?
Link do wypowiedziLink

konto usunięte

Temat: Z cyklu włamanie na śniadanie

Kordian Zadrożny:
Czy np możliwe jest, że najpierw był atak ftp, i poza standardowym doklejeniem kodu jeszcze jakiś backdoor został wgrany?

Tak, wadą Joomla jest wielki burdel w plikach i kodzie utrudniający kontrolę więc proponuję skasować dziś w nocy wszystkie pliki na jednym z hostingów, zrobić zrzut danych z bazy i zainstalować Joomla od nowa. Zalecam zrobienie tego na najprostszej stronce bo w kilka minut przywrócisz zawartość starej bazy dzieki czemu małym kosztem pracy będziesz mógł sprawdzić czy to przyniesie efekt.

Porada:
Niektóre firmy hostingowe udostępniają w panelach administracyjnych opcje czyszczenia serwera z plików co jest dużo szybsze od FTP.Dawid Zając edytował(a) ten post dnia 13.10.12 o godzinie 00:20
Link do wypowiedziLink
Kordian Zadrożny

Kordian Zadrożny TETA HR, IT.
Konsulting,
Marketing, JOOMLA,
CorelDraw

Temat: Z cyklu włamanie na śniadanie

dzięki, tak planowałem, ale miałem nadzieję, że jest jakiś syf znany ;)

Na razie tam gdzie ftp zblokowałem w ogóle jest spoko :D
Link do wypowiedziLink
Łukasz Krawczyk

Łukasz Krawczyk perfectpixels.pl

Temat: Z cyklu włamanie na śniadanie

Wiem, że to może być trywialne ale nie wszyscy to stosują a czasem bardzo może pomóc.

Wytnij htaccessem dostęp do plików *.php z pominięciem index.php i index2.php.
Dodatkowo można się pokusić o przyblokowanie dostępu do samego pliku htaccess.
Link do wypowiedziLink
Tomasz S.

Tomasz S. IT

Temat: Z cyklu włamanie na śniadanie

Łukasz Krawczyk:
Wiem, że to może być trywialne ale nie wszyscy to stosują a czasem bardzo może pomóc.

Wytnij htaccessem dostęp do plików *.php z pominięciem index.php i index2.php.
Dodatkowo można się pokusić o przyblokowanie dostępu do samego pliku htaccess.
napiszesz regułkę, jak to zrobić ??
Link do wypowiedziLink

konto usunięte

Temat: Z cyklu włamanie na śniadanie

Zainwestuj w RS Firewall czy coś : )
Ja miałem atak z Iranu... wciąż nie wiem w jaki sposób się wkradli, ale zmiana haseł pomogła, do tego mega przemielenie RS Firewallem...
Miałem index.php podmieniony na jakieś tam cośtam Army : )

Masz więcej info co dokładnie dokleili? Bo po tym też można dojść wtedy do rozwiązania kwestii.
Link do wypowiedziLink
Kordian Zadrożny

Kordian Zadrożny TETA HR, IT.
Konsulting,
Marketing, JOOMLA,
CorelDraw

Temat: Z cyklu włamanie na śniadanie

<!--/c3284d-->

o takie różne a w środku js
Link do wypowiedziLink
Łukasz Krawczyk

Łukasz Krawczyk perfectpixels.pl

Temat: Z cyklu włamanie na śniadanie

Tomasz S.:
napiszesz regułkę, jak to zrobić ??

A napiszę ;)
Co by się nie pogubić i przypadkowo nie namieszać, najlepiej na samym końcu pliku .htaccess. dopisać dwie regułki:

Pierwsza blokuje dostęp z zewnątrz do htaccesa oraz innych plików zaczynających się od ciągu znaków ".ht":

<Files ~ "^\.ht">

 Order allow,deny

 Deny from all

 Satisfy All

</Files>


Druga blokuje dostęp do plików php z wyłączeniem indexów, które są wywoływane siłą rzeczy przy wpisaniu adresu strony:

<Files *.php>

deny from all

</Files>

<Files ~ "(^index.php|^index2.php)$">

allow from all

</Files>


Generalnie w necie znajdziesz dużo wariacji powyższych zapisów, ale te są chyba najprostsze z możliwych. Proste i bardzo pomocne. Paru osobom z pewnością się przyda :)Łukasz Krawczyk edytował(a) ten post dnia 16.10.12 o godzinie 10:51
Link do wypowiedziLink
Paweł F.

Paweł F. Z Joomla! od 2005
roku, inne CMS też
się trafiają.

Temat: Z cyklu włamanie na śniadanie

Na obiad proponuje RSFirewall albo Akeeba Tools Pro - wtedy każdy klient doczeka kolacji.
Link do wypowiedziLink
Bartosz Bobkiewicz

Bartosz Bobkiewicz Inżynier sieci i
systemów IT [CCNP],
Google Professional
...

Temat: Z cyklu włamanie na śniadanie

Problemu poszukaj u siebie - masz pewnie jakiegos wirusa/trojana, ktory loguje lub czyta zapisane hasla w twoim kliencie FTP (ewentualnie wysyla dalej w swiat do autora wirusa).
Link do wypowiedziLink
Kordian Zadrożny

Kordian Zadrożny TETA HR, IT.
Konsulting,
Marketing, JOOMLA,
CorelDraw

Temat: Z cyklu włamanie na śniadanie

Właśnie czysto, zresztą problem miało kilku moich znajomych do których dostępu nie miałem, ale na razie chyba się uspokoiło.
Link do wypowiedziLink
Krys Kowal

Krys Kowal biurowy, Poczta
Polska

Temat: Z cyklu włamanie na śniadanie

Witam
Moze tu mi ktos doradzi:)
mialem wlam na serwer i szukam dziury:( ftp raczej odpada, bo komp. czysty, logi ftp tez.
mam strony na joomli najstarsza 1.5.16.
tworzy i modyfikuje plik htaccess... dodaje cos takiego w nich:
IfModule mod_rewrite.c
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*
RewriteCond %{HTTP_USER_AGENT} ^.*(msie|opera) [NC]
RewriteCond %{REQUEST_FILENAME} !/index_backup.php
RewriteRule (.*) /index_backup.php?query=$1 [QSA,L]
</IfModule>

czesc usunalem bo blokuje forum

tworz pliki index_backup.php

moze ktos sie z tym spotkal?

pozdrawiam
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

PILNE! Włamanie na Joomle.




Wyślij zaproszenie do
Anuluj