witam
za atakowano mi 3 strony joomla 1.51
we wszystkich było zainstalowane:
PhocaGallery http://www.gsm.nysa.pl/administrator/images/tick.png (http://www.gsm.nysa.pl/administrator/index.php?option=com_installer&type=components&task=disable&eid%5B%5D=34&limitstart=0&7eed70ce7f0f376490d6070ae12b6d32=1) 1.3.5 Beta 08/02/2007 Jan Pavelka (www.phoca.cz (http://www.phoca.cz))
mod_auto_analytics - obecnie odinstalowalem
Content - YouTube content 1.1 Desember 2007 Stian Totland
i ta sama Templetka

w czym tkwi problem pozmieniane index.php
1 serwer platny archiwizacja co dzien
2 to darmowe

witam
za atakowano mi 3 strony joomla 1.51
we wszystkich było zainstalowane:
PhocaGallery http://www.gsm.nysa.pl/administrator/images/tick.png (http://www.gsm.nysa.pl/administrator/index.php?option=com_installer&type=components&task=disable&eid%5B%5D=34&limitstart=0&7eed70ce7f0f376490d6070ae12b6d32=1) 1.3.5 Beta 08/02/2007 Jan Pavelka (www.phoca.cz (http://www.phoca.cz))
mod_auto_analytics - obecnie odinstalowalem
Content - YouTube content 1.1 Desember 2007 Stian Totland
i ta sama Templetka

w czym tkwi problem pozmieniane index.php
1 serwer platny archiwizacja co dzien
2 to darmowe

Podaj bardziej szczegółową konfigurację tych serwerów na których masz te strony a także opisz dokładniej na czym polegał atak. Czy było to dodanie kodu <iframe do plików czy też coś innego? Czy administrowałeś tymi witrynami z jednego komputera (sam ybłeś ich administratorem)? Po prostu podaj jak najwięcej informacji takze tych wynikających z logów Twoich serwerów.

Podaj bardziej szczegółową konfigurację tych serwerów na których masz te strony a także opisz dokładniej na czym polegał atak. Czy było to dodanie kodu <iframe do plików czy też coś innego? Czy administrowałeś tymi witrynami z jednego komputera (sam ybłeś ich administratorem)? Po prostu podaj jak najwięcej informacji takze tych wynikających z logów Twoich serwerów.
całkowita zmiana pliku index gdy je zastąpiłem orginalnymi strony dzialaly i zaczolem unieaktywniac programy instalowane gdy w tym czasie zblokowali mi ponownie stronke na platym. Pisalem do uslugodawcy z prozba o kopie danych by przywracac i o zaistialym zajsciu
i dostalem taka odp. i strona po ich pomocy dziala nadal

Przyczyną błędu 500 był błędny wpis w pliku .htaccess (ostatnia linijka). Zmieniliśmy również prawa dostępu do plików w katalogu public_html - były niepoprawnie ustawione.
wszystkimi stonami jestem adminem i z jednego kompa na nich dzialam firefox
Nod 32 + natyspam
a zlogami pomieszalem bo nie wiedzialem co i jak i chyba skasowalo sie

platy:
Apache version 1.3.39 (Unix)
MySQL version 4.1.22-standard-log
PHP version 4.4.7
Informacje o PHP
Perl version 5.8.8
Wersja cPanel 11.11.0-STABLE_16999

darmowy:
VistaPanel Version 2.0.14 Beta
Linux Apache version 2.2.8
PHP version 5.2.5
MySQL version 5.0.51

gdy w tym czasie zblokowali mi ponownie stronke na platym.
Jak to Ci zablokowali? Czy sam sobie ją zablokowałeś? Przyznaję iż sprawa zaczyna być dziwna? :confused:

Pisalem do uslugodawcy z prozba o kopie danych by przywracac i o zaistialym zajsciu i dostalem taka odp. i strona po ich pomocy dziala nadal
Sorki ale dla mnie po takiej odpowiedzi to nie był włam na stronę tylko błąd z Twojej strony spowodowany nieumiejętnym obchodzeniem się z plikiem .htaccess. Jeśli jest inaczej to podaj tutaj na forum ostatnie linijki pliku .htaccess albo podeslij mi na te błędy jakie miały być w tym pliku oraz ten "podmieniony" plik index.php.

Jak to Ci zablokowali? Czy sam sobie ją zablokowałeś? Przyznaję iż sprawa zaczyna być dziwna? :confused:

Poprostu zablokowali bo jak wpisywalem adres to zamiast strona sie pojawic to wywalilo mi ze jej nie ma na serwerku wiec nie wiem co zrobili i kto na pewno nie ja


Sorki ale dla mnie po takiej odpowiedzi to nie był włam na stronę tylko błąd z Twojej strony spowodowany nieumiejętnym obchodzeniem się z plikiem .htaccess. Jeśli jest inaczej to podaj tutaj na forum ostatnie linijki pliku .htaccess albo podeslij mi na te błędy jakie miały być w tym pliku oraz ten "podmieniony" plik index.php.
do panelu admina na serwerku nie zagladam plików nie ruszałem ani na platnym ani na zwyklych

rano przed wyjsciem do pracy zerklem na platna stronke i forum
po powrocie juz nie dzialalo ani strona ani forum, form calkowicie posypanie jakis tekst bez znaczenia tatalny haos
natomiast joomla zamiast mojej stronki do polowy ekranu haos jakis tekst nastepnie jaks inna strona nie dokonczona sam szkielet z linkami

Jak to Ci zablokowali? Czy sam sobie ją zablokowałeś? Przyznaję iż sprawa zaczyna być dziwna? :confused:
skoro tak sadzisz to moze i sam podczas sniadania w pracy ok 18 :)
godzina 12.30 przegladam strone i forum na platnym serwerku
13.00 ide do pracy
23.00 powrót z pracy i spaceru z psem o to napewno on :confused: alaskan malamute to dzikie bestje
po wlaczeniu kompa i zagladnieciu na strone by zobaczyc co sie dzieje na forum odkrywam ze stronka nie dziala i forum
przegladnolem nastepne projekty i byly jeszcze 2 posypane najczesciej odwiedzane przezemnie w celu napisania artykulu
potem przeglada to forum w celu pomocy wynajduje ze moze index i trafiam w cel kopiuje indx i wszystko dziala

zaczynam odpublikowywac komponenty i pluginy pokolei ze stron na koncu zostala z platnego serwerka gdzie poprzednio podmienilem index i stronka dzialala po ok 10-15 min juz nie dzialala cos o configu pisalo zerklem byl ok


Sorki ale dla mnie po takiej odpowiedzi to nie był włam na stronę tylko błąd z Twojej strony spowodowany nieumiejętnym obchodzeniem się z plikiem .htaccess. Jeśli jest inaczej to podaj tutaj na forum ostatnie linijki pliku .htaccess albo podeslij mi na te błędy jakie miały być w tym pliku oraz ten "podmieniony" plik index.php.
po wejsciu na stronke po zajsciu czyli po powrocie z pracy
forum: haos niezrozumiale teksty komunikaty w php itp
joomla to samo do polowy ekranu nastepnie jakis dodatek obcej strony menu jakies teksty itp same odnosniki do podstron brak grafiki

po powrocie juz nie dzialalo ani strona ani forum, form calkowicie posypanie jakis tekst bez znaczenia tatalny haos natomiast joomla zamiast mojej stronki do polowy ekranu haos jakis tekst nastepnie jaks inna strona nie dokonczona sam szkielet z linkami
To wygląda na atak jakiś botów. Czy nie miałeś ostatnio infekcji swojego lokalnego komputera jakimś trojanem. Sprawdź swój komputer np. Kaspersky-m - jest wersja trial którą możesz zainstalować i przeskanować swój komputer. Przypuszczam iż Twój komputer mógł zostać zarażony i hasło do kont zostało podsłuchane. Jeśli okaże się iż komputer jest czysty to można to uznać za fałszywy trop.
Czy masz kopię tych zmienionych stron? Ich zawartość moze dużo powiedzieć.

potem przeglada to forum w celu pomocy wynajduje ze moze index i trafiam w cel kopiuje indx i wszystko dziala
Czy to wyglądało jak opisywane tutaj ataki tureckich qrackerów na polskie strony operte o Joomla? Tylko zmiany plików index w głównym katalogu i podkatalogach nie obejmujące zmian w podpodkatalogach? Czy masz gdzieś skopiowaną ta zmienioną treść? Jeśli tak podaj ją tutaj jako załącznik.

zaczynam odpublikowywac komponenty i pluginy pokolei ze stron na koncu zostala z platnego serwerka gdzie poprzednio podmienilem index i stronka dzialala po ok 10-15 min juz nie dzialala cos o configu pisalo zerklem byl ok
Dla dalszego bezpieczeństwa Twoich witryn byłoby dobrze gdybyś pamietał lub miał gdzieś kopię takich zmienionych plików. Często qrackerzy zostawiają poza swoimi wizytówkami informacje o tym co było przyczyną autaku (przez co uzyskali dostęp).

zostal mi tylko jeden index
http://www.4shared.com/file/39033247/e67491b2/index2.html
mam Nod32 nic nie wykryl zapodam kasperskiego lub jakiegos onlain zapodam
antyvira
tylko index a potem to .htaccess zmieniono pozatym nic

mam jeszcze to zczytane z serwerka
http://www.4shared.com/file/39036490/feedf6dc/gsmsamedigrandhost.html
http://www.4shared.com/file/39036493/67e4a766/samedigrandhost.html