KOKO
06-03-2009, 03:10
Hej wszystkim.
Parę dni temu zwróciła się do mnie znajoma organizacja z prośba odhakowania strony (Joomla 1.0.13 - no bo po co aktualizować). Otóż strona obecnie działa ale nadal gdzies tam są syfy które nie pozwalają jej działać w 100%.
Oczywiście brak kopi zapasowej (NO BO PO CO!) sprzed ataku (który miał chyba miejsce z rok temu). A powtarzałem żeby chociaż raz w tygodniu robili.
No ale do rzeczy:
Strona została zhakowana przez grupę która odsyła na stronę:
http://site.mynet.com/by.sovalye/hacked.htmlo treści:
HACKED BY SOVALYE Ownz !!
Your Security GeT dOwn
Where The security is none? :(
Greetz:BY_FATýH & REDMýN & STARTURK
Join us !!
HACKED BY SOVALYE we are: BY_FATýH & REDMýN & STARTURK
contac : msn@bysovalye.com
Problem polega na tym, że nie można wejść do edycji żadnego z modułów strony. Po wczytaniu się lewej części okna edycji: Szczególu modułu, Parametry (nie wiem czy całość) - strona przekirowuje sie na URL zewnętrzny. Jako że każde okno edycji modułu różni się opcjami w Parametrach podejrzewam że syfski skrypt jest gdzieś w stopce lub praej częsci okna edycji gdzie ustawia się na jakich stronach ma być wyświetlany moduł.
Kiedyś już naprawiałem taki błąd - wtedy wystarczyło usunąć 1 pozycję w mainmenu (bo tam był syfski skrypt).
Teraz to nie wystarcza. Nie wystarcza też odinstalowanie i zainstalowanie na nowo modułów. Nie wystarczyło nadpisanie plików z joomla 1.0.15.
Ma ktoś może jakiś pomysł?
Jak coś niezrozumiałego to opiszę dokładniej.
Dzięki
KOKO
[EDIT 03:48] zauważyłem że przy wejściu do edycji modułu do adresu dochodzi taki łańcuch:
&client=&task=editA&hidemainmenu=1&id=10&8659e1375f5abf6bf9dbe5987da6e1b8=37dc31ef79a5a9122 2e193d626b2b432
Parę dni temu zwróciła się do mnie znajoma organizacja z prośba odhakowania strony (Joomla 1.0.13 - no bo po co aktualizować). Otóż strona obecnie działa ale nadal gdzies tam są syfy które nie pozwalają jej działać w 100%.
Oczywiście brak kopi zapasowej (NO BO PO CO!) sprzed ataku (który miał chyba miejsce z rok temu). A powtarzałem żeby chociaż raz w tygodniu robili.
No ale do rzeczy:
Strona została zhakowana przez grupę która odsyła na stronę:
http://site.mynet.com/by.sovalye/hacked.htmlo treści:
HACKED BY SOVALYE Ownz !!
Your Security GeT dOwn
Where The security is none? :(
Greetz:BY_FATýH & REDMýN & STARTURK
Join us !!
HACKED BY SOVALYE we are: BY_FATýH & REDMýN & STARTURK
contac : msn@bysovalye.com
Problem polega na tym, że nie można wejść do edycji żadnego z modułów strony. Po wczytaniu się lewej części okna edycji: Szczególu modułu, Parametry (nie wiem czy całość) - strona przekirowuje sie na URL zewnętrzny. Jako że każde okno edycji modułu różni się opcjami w Parametrach podejrzewam że syfski skrypt jest gdzieś w stopce lub praej częsci okna edycji gdzie ustawia się na jakich stronach ma być wyświetlany moduł.
Kiedyś już naprawiałem taki błąd - wtedy wystarczyło usunąć 1 pozycję w mainmenu (bo tam był syfski skrypt).
Teraz to nie wystarcza. Nie wystarcza też odinstalowanie i zainstalowanie na nowo modułów. Nie wystarczyło nadpisanie plików z joomla 1.0.15.
Ma ktoś może jakiś pomysł?
Jak coś niezrozumiałego to opiszę dokładniej.
Dzięki
KOKO
[EDIT 03:48] zauważyłem że przy wejściu do edycji modułu do adresu dochodzi taki łańcuch:
&client=&task=editA&hidemainmenu=1&id=10&8659e1375f5abf6bf9dbe5987da6e1b8=37dc31ef79a5a9122 2e193d626b2b432