Witam. Posiadam joomle 1.5, jakiś czas temu walczylem za infekcją strony polegającej na podzmieni plików htacces. Robak sprawdzal czy na strone wchodzi bot google jeśli zarejestrował jego ip podawał mu dane dziwnych stron linków itp.
Więcej tutaj http://tom-mcgee.com/blog/archives/4143 .

Usunełem z serwera katalogi w ktorych znajdowały sie te śmeici

com_artforms
com_joomlawatch
com_remository
com_seciurityimages

w katalogach znajdowaly sie rary z plikami tekstowymi zaiw2erajace linki, pliki graficzne które nie mają nic wspolnego z templatka i całą joomla. oraz plik htacces zawierajacy wpis


RewriteBase /

########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section


a w htacces w głównym folderze joomli był


RewriteEngine ON
RewriteCond %{HTTP_USER_AGENT} .*Googlebot.*
RewriteRule .* http://libodil.com/ [R=301,L]

##
# @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
# @package Joomla
# @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##


################################################## ###
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
################################################## ###

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
# mod_rewrite in use

RewriteEngine On
#DirectoryIndex index.html

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a ********** tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)

RewriteBase /

########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section





Dzisiaj po tych operacjach ( nie sparwdzalem czy wszytsko dziala prawidlowo po usuwanie plików) zauważyłem błąd poczas edycji/tworzenia nowego artykułu

Ogólnie brak arkusza do stworzenia go jak na screenie ( z wyjątkeim czarnych prstokątów gdzie jest tytuł i alias)

link podczas tworzenia artykuły wygląda tak : domena.pl/administrator/index.php?option=com_content&sectionid=-1&task=edit&cid[]=36


Pytanie główne gdzie szukać przyczyny tego i jak to naprawić ?



Pozdrawiam

---------- Post dodany o 12:12 ---------- Poprzedni post był o 11:08 ----------

nie mogę już edytować posta a zapomniałem o istotnej rzeczy, w joomli niema zainstalowanych takowych komponentów jak
com_artforms
com_joomlawatch
com_remository
com_seciurityimages

a na stronie www wszystkie artykuły wyświetlają się prawidłowo
Proszę mod o scalenie mojego postu albo edycje

Pozdrawiam

---------- Post dodany o 12:31 ---------- Poprzedni post był o 12:12 ----------

Wrzucałem backup ktory wykonałem przed ingerencją w zainfekowaną stronę i nie poprawiło to błędu jaki jest w artykułach. Ten sam problem pojawia sie w momencie edycji tworzenia sekcji i kategorii

---------- Post dodany o 12:45 ---------- Poprzedni post był o 12:31 ----------

Próbowałem nadpisać com_content z innej joomli ( 1.5) gdzie działa wszystko prawidłowo ale w niczym to nie pomogło. Nie mam już pomysłu jak to naprawić

Ja bym spróbował zainstalować stronę z backupu lokalnie/na innym serwerze/w podkatalogu na innej bazie i tam eksperymentował

Piszesz

niema zainstalowanych takowych komponentów jak

Nie ma, bo: nie było, były ale odinstalowałeś, były ale usunąłeś ich katalogi? Jesli to trzecie - to zapewne pozostały ich ślady w bazie danych (a może nie tylko). W takim wypadku działając na kopii próbowałbym odinstalowywać i zobaczyć co się dzieje.

Katalogi o ktorych pisałem wyżej nie były instalacjami joomli. Były to po prostu utworzone katalogi z złośliwym kodem w różnych katalogach struktury joomli np. com_joomlawatch znajdował sie w modułach . Mają nazwe upodobnioną do Joomlowskich modułów/komponentów

Witryna została uszkodzona. To, że usunąłeś katalogi ze złośliwym kodem, nie oznacza jeszcze, że naprawiłeś witrynę. Odtworzenie witryny po bandyckich napadach nie polega na posprzątaniu i pozamiataniu widocznego bałaganu. Metodyka odtwarzania witryny po uszkodzeniu została opisana na wiki.

Witryna została uszkodzona. To, że usunąłeś katalogi ze złośliwym kodem, nie oznacza jeszcze, że naprawiłeś witrynę. Odtworzenie witryny po bandyckich napadach nie polega na posprzątaniu i pozamiataniu widocznego bałaganu. Metodyka odtwarzania witryny po uszkodzeniu została opisana na wiki.

Zgadza sie ale rozmawialem z osoba która dodaje sobie artykuły i mówiła że działało to po mom sprzątaniu.

Druga sprawa robak raczej nie miał powodu do "uzewnętrzniania sie" bo jego celem było ciche działanie.

Obstawiam że jest to spowodowane czymś innym

To Twój problem, chcesz, posłuchasz, nie chcesz, nie posłuchasz. Ja dochowałbym wszelkich wymagań, a więc - krótko mówiąc - odtworzyłbym witrynę z czystych świeżo pobranych pakietów instalacyjnych. Nie liczyłbym na to, że udało mi się wyłapać wszystkie szkody poczynione przez napastnika.

To Twój problem, chcesz, posłuchasz, nie chcesz, nie posłuchasz. Ja dochowałbym wszelkich wymagań, a więc - krótko mówiąc - odtworzyłbym witrynę z czystych świeżo pobranych pakietów instalacyjnych. Nie liczyłbym na to, że udało mi się wyłapać wszystkie szkody poczynione przez napastnika.

Tu nie chodzi że podważam Twoją wiedzę. Boje się że nie ruszy to na nowo a ja zostane z ręką w nocniku.


Spróbuje to zrobić na subdomenie jak Gal mi proponował i zaraz poszukam na wiki o odtwarzaniu po ataku. ale inna osoba na forum temat niej miała to samo i bez ataku. no ale racja lepiej zrobić czysta wersje z samego względu na atak.


PS: są jakieś komponenty robiące to samo co ten wbudowany ? i korzystające z instniejących już artykułów oraz ich ustawien ?

Do publikacji artykułów? na 1.5 np. wd_submit - jest w naszej plikowni

tak chodzi o publikacje a raczej kompletne przejęcie tego co jest juz opublikowane i tworzenie nowych itp. Przejecie wszytskich zadań od com_content

To np. k2

oki sprawdzę to dzięki za zainteresowanie tematem. muszę narazie dać możliwość tworzenia artów bo kampanie wykupione :)

---------- Post dodany 22-05-2012 o 08:51 ---------- Poprzedni post był 21-05-2012 o 21:48 ----------

Zainstalowałem K2, niestety gdy kliknę aby utworzyć nowy artykuł pojawia sie białe tło nie zawierające formularzy eh zaczynam mieć tego dość

---------- Post dodany o 09:26 ---------- Poprzedni post był o 08:51 ----------

A więc juz wiem ze problem leży w bazie danych. Ściągnełem sobie mov'AMP wrzuciłem na instlake joomli w nim zawartą baze danych z mojej strony ( bez plików z ftp serwera) i problem z artykułami już wystąpił. Teraz pytanie jak odbudować baze. postaram się uzyskać backup bazy od hostingu sprzed kilku dni

Aw zamień tego movAmpa na następcę - JAMPa. MOvamp jest trochę przestarzały