Â*
Ok, ponieważ zauważyłem że odpowiedzi na pytania udzielane są tu dość niechętnie, a na forum tak na prawdę każdy tylko odsyła w kółko do tego samego postaram sie streścić.

Założyłem sobie stronkę na serwie na nazwa.pl, potestowałem trochę, na drugi dzień widzę już taki napis :




HACKED!






HACKED BY : .BigbrO` & Cyb3rz0ne And Owner (Albanian Brothers)


Your system has been Fucked !



Myślę sobie ki diabeł, strona nie istnieje, nic tam prawie nie ma a już ktoś sie nią zainteresował, w ogóle jak to możliwe nawet domeny nikt nie zna. Od tego momentu strona hakowana jest mniej wiecej co 20 minut, praktycznie nic sie nie da zrobić...

Podmieniałem już index chyba z 30 razy, blokowałem całkowicie dostęp do FTP, wpisałem w htaccess.txt to co zalecane. Nic nie działa.

Jedyny sposób w jaki mógł dostać sie jakiś syf to templatki, bo tylko to wrzucałem, a przynajmniej tak mi sie wydaje.

Dobra postanowiłem wrzucić dziś nową wersje bo miałem 1.5.13, wiec wrzuciłem 1.5.14 (wcześniej wszystko usunąłem z serwera) . Jedyną rzeczą którą odtworzyłem to baza danych. Po 10 minutach znów to samo…
Teraz pięć pytania :
1.Czy tak jest ogólnie z yoomlą ? Bo raczej nie widzę większej przyszłości , kiedy napracuje się miesiąc nad strona a po 10 minutach wszystko padnie.
2.Czy cos może siedzieć w bazie danych?
3.Czy wira rzeczywiście mogłem złapać z templatki ? Czy też w sieci działa jakiś program który wyszukuje stron na yoomli i je hakuje?
4.Jakim cudem podmieniajÄ… index jak mam zablokowany transfer na ftp ?
5.Czy jest jakiś dodatek wzmacniający bezpieczeństwo ? na domowej stronie nie wiele znalazłem.

Dzięki za pomoc….

pierwsze podejrzenie - Total Commander - ale piszesz, że zablokowałeś FTP, więc trochę dziwne.., poleciłbym sprawdzenie logów, może coś z nich zrozumiesz, ja sie w nie nigdy nie zagłębiałem jeszcze zbyt szczególnie..

nie jest to wina J!, bo na nazwa.pl mam postawionych około 5-10 aktualnie działającyh stron na J! no i jak napisałem - działają ;)

najlepiej wyczyść totalnie wszystko łacznie z bazą i używaj np. FileZilla (o ile używałeś TC)

Używam od zawsze FilleZilli, TC nie lubię.

A czy to może siedzieć u mnie na kompie? Mam niby nortona, ale kurcze skąd akurat coś co atakuje Joomle ?

Podejrzyj logi dostepowe serwera i zobaczysz co sie dzialo

Wskazówki co i jak działać znajdziesz też tutaj:
http://wiki.joomla.pl/Witryna_po_w%C5%82amaniu
http://wiki.joomla.pl/Bezpiecze%C5%84stwo_-_lista_kontrolna_6:_Odtwarzanie_witryny

No musze przyznać że jestem zaskoczony... znów mnie hakneli...

Co zrobiłem

Skasowałem dokładnie wszystko co było stare, wymusiłem pokazywanie ukrytych plików na serwerze nic nie było...założyłem nową baze danych z nowa nazwą nowymi hasłami na 20 znaków, wgrałem najnowszą joomle i zupełnie nic do niej nie dodawałem, napisałem jeden artykuł i zablokowałem dostęp do ftp.

Strona wytrzymała około 20h i znów to samo...

W międzyczasie zeskanowałem całego kompa nortonem oraz mksem online, no praktycznie nie wierze ze coś u mnie siedzi...

Troche jestem zdeterminowany bo potrzebuje strony na wczoraj, dlatego jezeli znajde jeszcze troche zapału do joomli to napisze jak zrobie format C, ile wytrzyma strona :(

no tak.... ja miałem to samo, okazało sie z logów ze wejście nie następowało przez joomlę tylko przez inny skrypt na serwerze ( może by też komponent lub moduł do joomli) ogólnie rzecz polegała na tym ze plik php zezwalał na wgranie innego pliku php i jego uruchomienie.... ot cały problem.... wystarczy pozbyć sie tego pliku i nie ma wejscia na stronę.... ale ja np potrzebowałem plik chodziło o hosting zdjęć... dałem wiec wpis na katalog magazynujący zdjecia aby pliki php interpretował jako pliki *.pdz i nie było możliwości aby go uruchamiać....

Podmieniałem już index chyba z 30 razy, blokowałem całkowicie dostęp do FTP, wpisałem w htaccess.txt to co zalecane. Nic nie działa.
chyba tutaj m.inn jest "pies pogrzebany"

zmien nazwe pliku na .htaccess

hmm czyli oryginalny plik z instalki joomli jest zły? Rzeczywiście nie mam kropki przed nazwa...a co z rozszerzeniem? Oryginał mam w txt

nie, nie jest zly...ale zeby zadzialal...trzeba zmienic jego nazwe (http://wiki.joomla.pl/Jak_zmienić_nazwę_pliku_htaccess.txt_na_.htacces s%3F)...

Witam

poczytałem trochę o tym pliku, i muszę powiedzieć że nie jest to intuicyjne. Przejrzałem jeszcze raz specjalnie kilka stron na których jest opisany proces instalacji joomli ale na żadnej nie ma nic o zmianie nazwy tego pliku żeby "działał".

W zasadzie jego nazwe zmienia sie żeby korzystać z przyjaznych adresów, to są główne rzeczy jakie na google o nim piszą.

W takim razie robie kolejną próbę, jeszcze raz wszystko delete, wszędzie nowe hasła, i stawiam podstawową strone. Jeżeli przez tydzien wytrzyma to bede zadowolony....

Witam

poczytałem trochę o tym pliku, i muszę powiedzieć że nie jest to intuicyjne. Przejrzałem jeszcze raz specjalnie kilka stron na których jest opisany proces instalacji joomli ale na żadnej nie ma nic o zmianie nazwy tego pliku żeby "działał".

W zasadzie jego nazwe zmienia sie żeby korzystać z przyjaznych adresów, to są główne rzeczy jakie na google o nim piszą.

W takim razie robie kolejną próbę, jeszcze raz wszystko delete, wszędzie nowe hasła, i stawiam podstawową strone. Jeżeli przez tydzien wytrzyma to bede zadowolony....

1. A kto Ci obiecywał, że to będzie "intuicyjne"?
2. Nie wiem, coś takiego czytał, ale w materiałach o .htaccess i na joomla.pl i gdziekolwiek indziej jest wyraźnie mowa o .htaccess, a nie o htaccess.txt
3. Owszem, w tym pliku są także instrukcje chroniące Joomla przed pospolitymi exploitami, ale na pewno uaktywnienie tego pliku (jeśli jest możliwe) nie rozwiąże problemu włamań na Twój serwer.

No pamiętam że wpisałem sobie w google - instalacja joomla - a na znalezionych stronach szukałem właśnie opisu tego procesu, to juz nieistotne ale na prawdę na większości stron nie było nic wspomniane o tym pliku.
Głupio było by sie więc spytać - co rozwiąże problem włamań na moją stronę - bo przecież gdybyś wiedział to byś mi powiedział.
Teoretycznie zrobiłem wszystko co mogłem, chyba że ciągle coś siedzi mi na kompie :(

ok to może coś konstruktywnego :

1. gdy dodaje do pliku .htaccess tÄ… linijke -
AddHandler application/x-httpd-php52 .php .php3 .php4 .php5 .phtml
strona sie nie otwiera tylko otwiera się menadżer pobierania plików :(
Wpis dodaje na końcu całego pliku, po enterze. I nie ważne czy na końcu dam jeszcze enter czy nie, otwiera sie menadżer pobierania plików...
Znowu pewnie robię jakiś mały błąd, gdyby ktoś był chętny czekam na pomoc.

2. Inna sprawa o której też za wiele nie znalazłem to prawa dostepu. Ogólnie napisane jest żeby unikać praw większych niz 755, ale czy jakieś pliki wymagają szczególnej uwagi. Widzę że domyślnie niektóre pliki mają obniżone prawa, ale czy nie trzeba jeszcze samemu specjalnie czegoś ustawić?

Dzieki

Działania po włamaniu zostały przez nas omówione szczegółowo. A to, że nie umiesz sobie poradzić z napastnikiem, to już zupełnie inna kwestia. W dawnych czasach też nieraz oberwałem po buzi, mimo że znałem różne chwyty i teoretycznie potrafiłem się bronić.
Z szamotaniny, o jakiej informujesz w wiadomościach tutaj, wniosek dość prosty: daj do działu zleceń, może ktoś zechce się za to zabrać.

No nic zobaczymy jak to będzie, może jeszcze komuś coś wpadnie do głowy, a na łatwiznę zawsze zdążę pójść, muszę jeszcze poczytać trochę zagraniczne fora bo na razie nie miałem na to czasu.

Pozdrawiam

Możesz czytać zagraniczne fora, jeśli Ci to coś rzeczywiście da. Nie zastąpią Cię ani w odkryciu, w jaki sposób nastąpiło (następuje) włamanie, ani w usunięciu furtki. Wiedza na ten temat jest w plikach Joomla (sprawdzić daty modyfikacji) i w dziennikach serwera.