PDA

Zobacz pełną wersję : Włamania na Joomla



JooDo
24-01-2012, 19:29
Witam. Jesatem nowym użytkownikiem forum. Zalogowałem się bo już mam dosyć! Mało nie trafiłem w sądzie - ale to inna historia.

Mówiąc krótko! Używam Joomla 1.5.25 od dość dawna, a od około 2 mies. temu ktoś najwyraźniej się na mnie i na moje serwisy uwziął! Co nie wprowadzę serwisu czy to na J. 1.5 czy na 1.7 to ten serwis pada.. jest hakowany i nie można się na niego zalogowwać. IP. hakera śmiga po całym świecie.. jest raz z malty raz z czech, a raz z pensylwania... z pensylvanii najczęściej i właśnie z tamtąd był pierwszy atak. Przecież nie mogę blokować wszystkich krajów bo to jest paranoja.


Jak wyżej wspomniałem używam J 1.5.25, ale po ataku na jeden z portali zmieniłem na J 1.7 - nic nie dało! Gdzie są dziury? Nie wiem. Wszystko niby wygląda normalnie, ale to pozory. Klienci uważają, że odpierniczam lipe... i zaczynam się zastanawiać.. czy to Joomla jest tak dziurawa czy ten haker ma jakieś tylne wejście.

Pozdrawiam.

Do administracji;
Jeśli temat był to przepraszam, że dubluję - proszę tam przenieść.

Gall Anonim
24-01-2012, 19:43
Jasne,
tyle że może napisz jakie zastosowałeś zabezpieczenie?
a. na którym ID jest administrator
b. czy administrator to ktoś inny niż admin
c. czy masz "schowane" logowanie do zaplecza
d. czy masz przynajmniej plugin autorstwa Joli = "Spadaj"
e. czy masz jakiekolwiek zabezpieczenie logowania użytkowników = n.p capcha
f. czy masz zmieniony standardowy panel rejestracji użytkowników i zablokowany standardowy'
g. czy masz założony np komponent do "mocniejszego" szyfrowania haseł
h. czy robisz regularnie kopię zapasową
Może masz coś innego - to napisz co?
Ja stawiam również na to że masz jakieś rozszerzenie z "dziwnego/niesprawdzonego" źródła
Pzdr

nikszal
24-01-2012, 19:53
Dorzucę jeszcze kilka rad.

1. Przeskanuj swój komputer dobrym antywirusem.
2. Zainstaluj blokadę ogniową.
3. Zmień hasła do FTP i bazy.
4. Usuń hasła z klienta FTP. Zapisz je w notesie, w papierowym notesie.

EDIT

To że IP hakera jest głównie z USA wcale nie znaczy, że tą osobą nie jest np. Twój sąsiad.

Jdwind
24-01-2012, 21:22
Dokładnie, to przypomina dowcip* - baba u lekarza: panie doktorze, gdzie się dotknę palcem tam mnie boli, co to może być? Ma pani palec złamany :)

JooDo
25-01-2012, 11:58
Witam.

Nie pisałem o zabezpieczeniach bo moim zdaniem to jest rzeczą oczywistą, że trzeba " jakieś " mieć.
Na jednym z portali był to dodatek " spadaj " oczywiście była robiona kopia zapasowa. Był ukryty config.. co uważam również za zabezpieczenie. Samo logowanie było podstawowe / modyfikowane. Być może w tym był błąd.

Komputer się skanuje codziennie ( takie mam ustawienia ) , firewall jest ustawiona. Jeśli jeszcze chodzi o zabezpieczenia to raz w tygodniu były zmieniane przyrostki. Wszelkie dodatki, których używam wg. mnie nie są przypadkowe bo są ze strony http://extensions.joomla.org/ Wiwm, że i tam trafia się " dziadostwo" ale dobierając coś.. chyba każdy stara się dobierać rzeczy, które zdały już wcześniej egzamin u nas lub u kolegów.

Jeszcze o skanowaniu... skanowane były wszystkie serwery po każdym ataku i to jest bardzo uciążliwe bo zagraża nie tylko tym serwisom na joomla, ale takze innym, które dzierżawiom na serwerze hosting.

Jeśli chodzi o IP atakującego to oczywiście wiem, że to możę być mój sąsiad...Sprawdzalem ostatnio szczelność niektórych serwerów i jest wiele takich z których można korzystać bez problemu. Są to zwłaszcza prywatne, małe serwery, słabo zabezpieczone pod które można się podpiąć lub odbić.

ad.
a. początkowo 62, potem zmienione
b. administroator ( nazwa ) był user-em, admin ( nazwa nie istniała ). Jeśli doprze zrozumiałem pytanie
c. logowanie było, lecz fikcyjne
d. akurat dodatek " Spadaj " był zainstalowany oraz przekierowanie logowanie. Logowanie na linku
e. capcha - niestety.. nie, a wiem, że powinienem
f. nie
g. tak.. był to komponent, którego nazwy nie pamiętam, ale był on bardzo rozbudowany i nadawał hasło i login przez Restrict Area dla zaplecza, prócz tego zmieniał przyrostek i ma wiele innych funkcji.
h. kopia zapasowa oczywiście jest

niszkal uważasz, że TC może mieć " wadę " tzn.. włamania mogą być przez TC?

Jdwind, a mi to bardziej przypomina bardziej film: " Nic nie widziałem, Niec nie słyszałem "

Pozdrawiam

Pozdrawiam

nikszal
25-01-2012, 14:09
niszkal uważasz, że TC może mieć " wadę " tzn.. włamania mogą być przez TC?
Czy to jest pytanie retoryczne? Poszperaj trochę na forum na temat TC.
Jeśli to wina TC, to najprawdopodobniej masz również "syf" na dysku swojego komputera.

Komputer się skanuje codziennie ( takie mam ustawienia )
Ja miałem na mysli dobrego (komercyjnego) antywirusa, a nie skanowanie "czymś tam". Codzienny skaning nie jest całościowy i bardzo wiele zależy od konfiguracji samego antywirusa, bo być może pomija niektóre typy plików.

JooDo
25-01-2012, 16:30
nikszal przepraszam, za niepoprawne napisanie Twojego loginu - wszystko z rozpędu.

Skan komputera jest całościowy, a poczta skanuje się non stop. Po zakończonej pracy o odpowiedniej godzinie komputer się skanuje, potem zostaje wyłączony i czeka na kolejny dzień pracy. Skanowanie całego komputera. Wiem, że to jest uciążliwe, ale pod koniec dnia i tak już nie mam ochoty do pracy więc może się skanować, a ja powoli kończę rozbebrane rzeczy. Antyvir jest dość dobry, płatny, nowa wersja. Używam tez innego, na innych jednostkach i porównuje. Ten drugi jest free lecz wg. mnie też dosyć dobry jak na darmową wersję. Odpowiadam po co używam free - aby porównać i w późniejszym czasie ewentualnie zaoszczędzić.

Jeśli chodzi o TC i kompa, to ta jednostka jest wyłącznie do pracy - jak w każdej pracy są przerwy na głupoty :P
TC używam od czasów, gdy dinozaury panowały na ziemi i uważam, że jest on OK i nigdy nie miałem z nim problemow. Dinozaury już wymarły i może czas zmienić TC na coś innego? Nie wiem..robaczymy.

Pozdrawiam

mila
23-04-2012, 12:51
@JooDo, Poradziłeś sobie z problemem? Jeśli tak to może napiszesz co było przyczyną - ku przestrodze. Ja obstawiam, że Twój problem wziął się stąd, że w TC miałeś zapisane hasła do FTP serwera (o czym zresztą wspominał już nikszal).

zwiastun
23-04-2012, 17:32
Tyle, że problem nie wziął się z TC, a ze słabej ochrony komputera (dostało się doń oprogramowanie szpiegowskie) oraz z postępowania użytkownika, który a) mógł przechowywać hasła b) na dodatek niezaszyfrowane

PeFik
24-04-2012, 00:07
1) Robi się pełny backup
2) zmienia hasła do FTP
3) zgrywa kopię na dysk - przeszukuje antywirusem , potem ręcznie - w zależności od efektu są odpowiednie działania.
4) sugeruje zainstalować komponent do ochrony RSFirewall lub inny

---------- Post dodany o 23:07 ---------- Poprzedni post był o 23:06 ----------

p.s.

Mało nie trafiłem w sądzie - ale to inna historia.
Opowiedz proszę.

ramiro
24-04-2012, 19:45
Opowiedz proszę.
Pefik bawisz się w Indiana Jones'a?
spójrz na datę: 24-01-2012 :)

PeFik
25-04-2012, 12:26
Tak, bo mnie zaciekawiło. styczeń 2012 to jeszcze nie archeologia.

jaromiko
26-05-2012, 18:24
Od kliku dni mam ten sam problem, na sewrerze pojawiają się dograne katalogi z których jest rozsyłany fałszywy mailing, teraz zaktualizowałem skrypt joomla do 1.5.26 - zobaczymy co bedzie dalej.

Karol99
26-05-2012, 20:04
Oto lektura (i zadania...) dla Ciebie: http://wiki.joomla.pl/index.php/Witryna_po_w%C5%82amaniu

jaromiko
26-05-2012, 23:55
Karol99 OK przeczytałem więc przeistaluje skrypt, mam tutaj do kolegów jeszcze jedno pytanie czy spotkał się ktoś z was z przypadkiem kiedy usługodawca hostingu ze względu na fakt iż był atak na stronę starszył was wypowiedzeniem umowy hostingu ? Pytam juz bardzo konkretnie bo jutro bedziemy o tym dyskutować na forum dla kadry managerskiej bo pierwszy raz o takim cyrku słyszę jak żyję.

Gall Anonim
27-05-2012, 00:16
kiedy usługodawca hostingu ze względu na fakt iż był atak na stronę starszył was wypowiedzeniem umowy hostingu
1.Na jakiej podstawie?
2. Jaka jest pewność do zabezpieczeń usługi? A może ktoś rąbnął im dane dostępowe do hostu?
3. Zażądaj logów z hostu
4. Czy macie jakąś durną klauzulę przenoszącą całą odpowiedzialność na usługobiorcę?
a. Jeśli tak to kto u was podpisuje umowy?
b. Jeśli tak - to jak się mają do tego zapisu w umowie zabronione przez UOKiK klauzule?
Pytanie ostatnie.

bo jutro bedziemy o tym dyskutować na forum dla kadry managerskiej
Co to ma być ? Jakim cudem jutro jest forum dla kadry managerskiej? Zachowanie ciągłości funkcjonowania systemu - tak.
Ale chyba nie managerska burza mózgów jutro - nawet hipery corpo nie pracują - jeśli to nie jest pomyłka (a faktycznie chodziło o poniedziałek) pierwsze co bym zrobił to złożył wypowiedzenie - i przy okazji masz problem z głowy :podstep: - chociaż mam nadzieję że walnąłeś się w dniach.
Pzdr

Werian89
29-05-2012, 21:41
@jaromiko (http://forum.joomla.pl/member.php?4607-jaromiko)
Jakiego klienta FTP używasz?

palyga007
29-05-2012, 21:49
Werian89

Tak zapobiegawczo.. bez wywodów na temat TC poproszę...