Moja strona: http://www.fretsonfire.pl/
Jak widzicie została schackowana i sam nie wiem co zrobić.
Proszę o jakieś rady, cokolwiek, bo nigdy nie byłem w takiej sytuacji i nie wiem co robić..

Proszę o pomoc,
pozdrawiam..

Proszę o jakieś rady, cokolwiek, bo nigdy nie byłem w takiej sytuacji i nie wiem co robić..
Coż najtrudniejszy jest ten pierwszy raz. ;) Niestety Twoja witryna nie przeżyła wizyty turków. Co było tego powodem? Warto sprawdzić. W tym celu potrzebna będzie informacja co to była za wersja Joomla jakie miałeś dodatki i w jakich były one wersjach oraz już samemu będziesz musiał sprawdzić pełne logi z serwera z momentu kiedy Twoja strona została skompromitowana (data kiedy plik index został podmieniony). O to ostatnie możesz poprosić swojego administratora (niech podeśle Ci logi z czasu kiedy miało miejsce włamanie).

Co do strony w Twoim przypadku jeśli dobrze odczytałem korzystasz z usług netarteria.pl w któej odtworzenie danych niestety kosztuje 20 zł netto. Nie masz wyjścia musisz to zrobić. Wcześniej skopiuj wszystkie pliki które pozostały ci na serwerze - mogą przydać się do analizy.

Po tym musisz niezwłocznie podjąć kroki mające na celu zabezpieczenie tej dziury przez którą serwis został shackowany. Inaczej historia się powtórzy. Przy tym poziomie informacji jakie nam przedstawiłeś moge Ci jeszcze zaproponować lekturę tego działu forum. (http://forum.joomla.pl/forumdisplay.php?f=30)

Jezu.. co to za idioci. Czemu oni hackują.. nie mam sił na to. ;-/

...

Nie byłbym taki pewien, że idioci! A co byś rzekł, gdyby zamiast głupiego bo głupiego, ale jednak dowcipu, wykorzystali dziury na Twojej stronie do wyrządzenia krzywdy zarejestrowanym użytkownikom?
okazali Ci, że nie dbasz należycie o swoją witrynę. Boli, ale może należy im się podziękowanie? A nuż, założysz kiedyś sklep internetowy, to będziesz odpowiednio przygotowany.
A teraz nie biadol ,tylko bierz się za lekturę!

Jezu.. co to za idioci. Czemu oni hackują.. nie mam sił na to.
Prosze nie obraź się ale ten Twój cytat też może niestety dotyczyć Ciebie. Przykro mi jest to pisać ale jeśli nie zapewniłeś swojej witrynie minimum bezpieczeństwa (to co jako jej administrator mogłeś wykonać - nie mówię o samej Joomla) to niestety czasami takie są tego efekty. Ale zostawmy to. To już się stało i teraz trzeba poznać dlaczego, co było powodem i jak się przed tym zabezpieczyć na przyszłość. A i najważniejsze w miarę szybko postawić serwis na nogi.

A to co napiszę może zabrzmi dziwnie ale gdyby nie tacy ludzie nie byłoby też takich problemów ale i aplikacje miałyby więcej błędów w swoim kodzie. Także poza zniszczeniami jest też lekko "pozytywny" aspekt ich pracy(via ostatnia poprawka do Jooomla 1.0.14).

Prosze odpowiedz na moje pytania o Joomlę i dodatki jakie zadałem Ci w poprzednim poście oraz skontaktuj się ze swoim administratorem aby po zebraniu przez niego informacji o tym włamie odzyskać jej zawartość z najnowszego backupu. Najpierw pliki na serwerze - potem ewentualnie baza danych.

Nie byłbym taki pewien, że idioci! A co byś rzekł, gdyby zamiast głupiego bo głupiego, ale jednak dowcipu, wykorzystali dziury na Twojej stronie do wyrządzenia krzywdy zarejestrowanym użytkownikom?
okazali Ci, że nie dbasz należycie o swoją witrynę. Boli, ale może należy im się podziękowanie? A nuż, założysz kiedyś sklep internetowy, to będziesz odpowiednio przygotowany.
A teraz nie biadol ,tylko bierz się za lekturę!

zwiastun - Ty na patrzysz zimnym sercem, oni są dla mnie beznadziejnymi istotami, bo w ogóle dopuścili się do takiej rzeczy. Po co im to było? Co? E-penis im wzrósł? Po co to było?

Teraz śmieją się ze mnie przez 15 minut, a później zapomną o mnie, że shackowali fof.pl.
Nie zmienię zdania.

Podziękowanie? Pewnie, niech mi dadzą nr konta, to jeszcze im zapłacę.

EOT.

Dzięki za posty.

//

Albo nie EOT, mam pytanko, że tak się podepnę. Która wersja jest najbezpieczniejsza? 1.51?

inkos - stworzę serwis od nowa. Żal mi tych tekstów, ale napiszę je znówu, po prostu nie mam sił się bawić w odnawianie.

s1ntex opisz prosze jaka wersja Joomla, jakie dodatki zainstalowane, bo ciekawy jestem jak do ciebie sie dobrali, zawsze to jakas nauka, bedzie wiadomo na przyszlosc na co uwazac ;)

josh - Więc tak: Joomla 1.0.12 stable PL, dodatki, no cóż, miałem: JomComment, FireBoard, Jooget i z tego co pamiętam to wszystko.

Mam pytanko, że tak się podepnę. Która wersja jest najbezpieczniejsza? 1.51?

s1ntex: Artykuły możesz odzyskać. Postaw z backupu stary serwis. W tym czasie zrób sobie nową instalkę Joomla i przenieś te artykuły z jednej do drugiej strony. Jak przeniesiesz to po prostu wtedy usuniesz stary serwis. Szkoda Twojej pracy żeby ją tak oddać bez walki.

Odtworzenie plików i bazy to w twoim przypadku poza 20 zł netto w plecy prawie żadna praca z Twojej strony. Po prostu dajesz zlecenie administratorowi na odtworzenie plików na serwerze i bazy danych z ostatniego świeżego backupu sprzed włamu i po chwili masz swoje stare dane. :D

Mam pytanko, że tak się podepnę. Która wersja jest najbezpieczniejsza? 1.51?
Żadna z nich nie będzie bezpieczna jeśli nie będzie odpowiednio skonfigurowana tak aby zapewnić coś więcej niż minimum bezpieczeństwa.

A jeżeli pliki tego starego serwisu zostały na FTP usunięte, odtworzenie serwisu powiedzie się i tak, tak? Bo skoro to takie proste, to zbuduję teraz serwis na Joomli 1.51, wyłoże 20 zł i przekopiuje teksty.

A jeżeli pliki tego starego serwisu zostały na FTP usunięte, odtworzenie serwisu powiedzie się i tak, tak? Bo skoro to takie proste, to zbuduję teraz serwis na Joomli 1.51, wyłoże 20 zł i przekopiuje teksty.
Jeśli backup został wykonany prawidłowo i zostanie prawidłowo odtworzony to jeśli baza danych nie została naruszona to wystarczy to do uruchomienia strony. Jesli dobrali się także do bazy to i ją trzeba będzie odtworzyć. Oczywiście strona będzie aktualna na chwilę wykonania backupu.

Inna ważna kwestia to logi z Twojego serwera gdyż będzie w nich informacja przez co turcy dostali się do Ciebie. Ważna jest także data modyfikacji pliku index.php który mieści się w głównym katalogu Twojego serwera - to jest data włamu do Ciebie.

Poza odtworzeniem danych poproś administratora o logi od serwera nie tylko z Twojego konta ale i te zapisane w głównym logu serwera.

Z Joomlą 1.5.1 może być niestety tak iż niektóre z dodatków które teraz używasz moga nie działać prawidłowo (nawet w trybie Legacy) więc zastanów się czy nie lepiej zostać na 1.0.14.

inkos - Spoko, ale ja potrzebuję tylko komentarze, repozytorium plików więc jakieś dodatki znajdę.

inkos - Spoko.
W takim razie czekamy na efekty odtworzenia i pełne informacje jaki konkretnie dodatek którego używałeś (albo sama Joomla) był powodem tej "wizyty" tureckich "specjalistów" od zabezpieczeń.

Wybaczcie, że tak się podpinam, ale zainstalowałem już J! 1.51, i próbuje wgrać szablon, i wgrywam plik .zip z plikami szablonu i mam komunikat:

Warning! - Failed to move file

Cóż robię źle? Proszę o pomoc!

Nie było pytania.. tak to jest jak się pyta, a później szuka.

Bezpieczeństwo: najbezpieczniejsza jest zawsze - z założenia - wersja aktualna, 1.0.13 JIE (lub - bez polskiego admina 1.0.14 - na wydanie JIE trochę przyjdzie poczekać, priorytet obecnie ma dokończenie 1.5.1).

Nie musisz polegać na tym, co poniżej napiszę, ale wedle mnie:
Bezpieczne to co dobrze sprawdzone. Miesiąc testowania stabilnego 1.5 to dopiero początek drogi. Zysk, stawiasz od razu na czymś, co będzie rozwijane. Zagrożenie - chyba nie wierzysz w to, że wszystkie luki w systemie zostały już wykryte i usunięte.
W każdej chwili możesz dokonać migracji na 1.5. Co prawda, nie jest bezstratna, ale trzeba mi było wczoraj godziny, żeby migrować polskie wydanie JIE 1.0.13 i doprowadzić do stanu, jak w oryginale.

2. Docman i Remository są już w wersji dla 1.5, ale masz podobną historię. To są nowości, a z nowościami w przypadku oprogramowania rozsądniej jest względnie ostrożnie (względnie, bo trzymanie witryny na J.1.0.12 choć było wydanie nowsze, rozsądne nie była).
Przypuszczam, że dziura znalazła się w Jooget (oparty na starym dziurawym AkoGallery). Z tego, co przeglądałem kod, nie dostrzegłem, by poza podstawowymi poprawkami zadbano o bezpieczeństwo związane z faktem, że komponent służy do przesyłania plików). Ale to tylko przypuszczenie. Jeśli te same turki, które mi spenetrowały joomlaboard, to równie dobrze atak mógł mieć miejsce przez Twoje Fireboard, oparte na tej samej podstawie, choć znacznie zmienione.

Tak, czy siak, trzeba to odkryć!
A co z register globals? Były wyłączone, czy nie? A może jakiś inny dodatek, którego nie wymieniłeś.

PS. Ta propozycja podziękowania to oczywiście był żart. Ale zasadniczo ich qrackerstwo (to q na początku umyślnie) ma naprawdę także swoje dobre strony.

może pomogę może nie ale zawsze jakaś wskazówka :)
wczoraj miałem atak na joomle 1.0.11 pl admin pl
chłopaki się podpisały jako
HACKED BY SOVALYE Ownz !! Your Security GeT dOwn
Where The security is none? :(
Greetz:BY_FATýH & REDMýN & STARTURK
Join us !!
HACKED BY SOVALYE we are: BY_FATýH & REDMýN & STARTURK
co się okazało - wrzucili sobie skrypt pod pierwszy link w menu głównym START który wygląda tak


defaced by sovalye
location="http://site.mynet.com/by.sovalye/hacked.html"Nie pomagało nadpisanie plików index i index2.php i inne znane mi akcje.
Rozwiązaniem było wyłączenie modułu mainmenu no i potem zastąpienie innym.
Nie wiem przez co poszedł atak ale z komponentów jakie mam to Acobook PaxxGallery Joomap i Dockman. Po przeglądnięciu statystyk najwięcej odwołań było do paxxgallery.

Pozdrawiam
KOKO

Kolejny przypadek ataku grupy z tego samego kraju.

Nie wiem przez co poszedł atak ale z komponentów jakie mam to Acobook PaxxGallery Joomap i Dockman. Po przeglądnięciu statystyk najwięcej odwołań było do paxxgallery.
W takim razie winowajców mamy czterech: starszą wersję Joomla, Akobook, paxxgallery oraz na koniec najważniejszego czyli Ciebie ;) gdyż w porę nie zaktualizowałeś tego co powinieneś aby zapewnić podstawowy poziom bezpieczeństwa swojej Joomla. Napisz jaką miałeś konfigurację serwera czy np. register globals było on.

Przeglądnij forum i zobacz ile jest postów choćby Zwiastuna i innych użytkowników którzy przy rozwiązywaniu różnych problemów wskazują też potrzebę aktualizacji do nowszych wersji Joomla? W tym wątku widać iż nie wszyscy wzięli sobie te rady do serca.

:) ja swoje witrynki aktualizuje na bieżąco a Zwiastuna czytam jak poranną obowiązkową gazetkę :) ta stronka była kiedyś pod moim nadzorem i nic się nie działo, teraz zmienił się admin (rotacja kadrowa w szkole hehe) i problemy się zaczęły. Ale telefon w awaryjnych sytuacjach potrafią znaleźć do mnie :D

A pisząc że shakowali mnie kierowałem się sentymentem autora. ;)

pozdrawiam
KOKO

Bartekkk 17:52:15
Skasowal niedawno kopie z tamtego okresu, za pozno sie obejrzelismy :/

I po serwisie..

Bartekkk 17:52:15
Skasowal niedawno kopie z tamtego okresu, za pozno sie obejrzelismy :/

I po serwisie..
:confused::confused::confused::confused: Hm... Można jaśniej????

Ten Bartekkk, to jest sponsor, gdyż szukałem sponsora, napisałem, dostałem domenę i serwer.

Okej, później był ten atak, i w dniu napisania tego tematu, napisałem na @ do netarterii.pl, aby mi podał numer konta i opisał cały przebieg wykonywania odtworzenia.

Admin netarteri.pl poprosił mnie o dane, więc piszę do tego mojego sponsora, aby mi podał dane, on mi powiedział, że te konto ma na spółkę z innym człowiekiem i te dane są od niego.

Pisał do niego, dzwonił aby poprosić o potrzebne dane (Choć stawiam 10 zł, że mu wisiało czy odzyskam ten serwis czy nie, więc nie wiem czy się starał).

"W końcu" dodzwonił i admin powiedział to co wyżej..