Witam,
Mam problem z witryną w Joomla 1,5-24PL. Witryna automatycznie przekierowuje się
na stronę LinkBucks(com) Mniej więcej po 30 sekundach braku aktywności na stronie.
Ostatnio dodawałem do strony dodatek - filmy Youtube.
Film był wykonany w darmowym programame VirtualDub.
Bardzo proszę o pomoc jak usunąć przekerowanie. Pozdrawiam
palyga007
04-03-2013, 13:02
Wg mnie trzeba tutaj postępować zgodnie z procedurą przyjetą dla witryn po włamaniu.
Procedura opisana na wiki.joomla.pl w dziale bezpieczeństwo o ile dobrze pamiętam
gorus1
05-03-2013, 09:40
Witam!
Mam dokładnie ten sam problem. Prawdopodobnie to przez trojana jedengo z użytkowników, który wrzucał zdjęcia na stronę przez moduł phoca gallery. Męczę się już z tym parę dni. Czy autorowi udało się z nim uporać?
Bazyl
05-03-2013, 10:02
Czytałeś, co jest napisane post wyżej?
wiki - witryna po włamaniu
trzepiz
05-03-2013, 10:19
Nie dalej jak wczoraj usuwałem skutki takiego ataku. Radzę bardzo dobrze sprawdzić wszystkie pliki. Niestety ja znalazłem sporo gif'ów ze złośliwym kodem.
Przede wszystkim zrobić kopię tej zawirusowanej strony (żeby można ewentualnie później diagnozować co się stało).
Koniecznie sprawdzić daty zmian/modyfikacji wszystkich plików (skrypt można znaleźć tutaj --> http://www.trzepizur.pl/blog/item/149-joomla-hacked-by-hmei7.html)
Aktualizacja Joomla! i wszystkich komponentów. Zmiana haseł do bazy, FTP, konta hostingowego, Panelu Administratora Joomla!.
Koniecznie przeskanować sobie komputer jakimś antywirusem. Odciąć od Joomla! wszystkich innych administratorów na czas prac i sprawdzenia przez nich swoich komputerów.
i jak napisali wyżej koledzy, przeczytać "Witryna po włamaniu"
gorus1
05-03-2013, 20:07
Czytałeś, co jest napisane post wyżej?
wiki - witryna po włamaniu
Tak się składa, że czytałem - poza tym to dwa posty wyżej o tym ktoś podobnie napisał więc nie ma sensu się powtarzać i niepotrzebnie generować posty, chyba że chcesz dać taką radę:
Nie dalej jak wczoraj usuwałem skutki takiego ataku. Radzę bardzo dobrze sprawdzić wszystkie pliki. Niestety ja znalazłem sporo gif'ów ze złośliwym kodem.
Przede wszystkim zrobić kopię tej zawirusowanej strony (żeby można ewentualnie później diagnozować co się stało).
Koniecznie sprawdzić daty zmian/modyfikacji wszystkich plików (skrypt można znaleźć tutaj --> http://www.trzepizur.pl/blog/item/149-joomla-hacked-by-hmei7.html)
Aktualizacja Joomla! i wszystkich komponentów. Zmiana haseł do bazy, FTP, konta hostingowego, Panelu Administratora Joomla!.
Koniecznie przeskanować sobie komputer jakimś antywirusem. Odciąć od Joomla! wszystkich innych administratorów na czas prac i sprawdzenia przez nich swoich komputerów.
, za którą dziękuję użytkownikowi trzepiz, bo skryp "wypier.php" z jego linku to lek na całe zło szczególnie, że na mojej stronie od roku nie było istotnych zmian więc dzięki skryptowi odrazu widzałem, które plki są "nie halo".
Wracając do turtorialu z wiki, to ogólnie konkluzja jest taka, że najbezpieczniej jest usunąć katalog public_html i postawić stronę od nowa, gdzie w przypadku mojej strony nie ma za bardzo sensu. Za to jest sens skorzystać ze skryptu "wypier.php". Ponadto uaktualniłem moduł jceeditor (zachodzi podejrzenie, że to przez niego skrypt dostał się na stronę) oraz samą joomlę.
Jeszcze raz dzięki. Pozdr
divo27
20-03-2013, 22:19
Nie wiem czy już sobie poradziłeś z tym problemem ale mnie dzisiaj spotkało to samo. Mi udało się załatwić to dość szybko.
1. usunołem troszke plików z serwera moje zainfekowane pliki zwały się :
w.php
x.php
z.php
pp1.php
i nie były tylko w katalogu głównym ale również w katalogach komponentów.
/images/stories/susu.php
tego pliku nie znalazłem u siebie, za to znalazłem zainfekowanego gifa o nazwie:
000-aaz.gif
Tak wygląda zainfekowany index.php
to co zaznaczone na czerwono trzeba usunąć
<?php
/**
* @version $Id: index.php 14401 2010-01-26 14:10:00Z louis $
* @package Joomla
* @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
* @license GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/
// Set flag that this is a parent file
define( '_JEXEC', 1 );
a tutaj skrypcik który wykrywa wszystkie zainfekowane pliki wystarczy wkleić do notatnika i zapisać wrzucić na serwer i odpalić http://nazwastrony.pl/nazwa (http://nazwastrony.pl/nazwa)skrypru.php
Dodam tylko, że jest jeszcze drugi przypadek i wówczas najlepiej ściągnąć sobie witrynę na kompa i przejrzeć czy w katalogu głównym nie pojawiły się jakieś dziwne jpgi i gify. To samo należy uczynić z folderem images.
Dodatkowo za pomocą np. Notepada ++ wyszukujemy frazę base64 i patrzymy, w których plikach są jakieś podejrzane wartości typu
Do zdekodowania hasha można posłużyć się tą stroną (http://www.base64decode.org/)
Mnie wykryło obecność plików
p.php
pp.php
mod.php
które oczywiście są do wywalenia
daro822
03-06-2013, 19:06
Mnie też to spotkało moja strona www.parafiawysoka.pl, mam pytanie robiłem backup 2 miesiące temu czy mogę usunać cały katalog i przywrócić strone z backupu, czyw ten sposób usune wirusa?
morphic
03-06-2013, 19:34
Jeśli backup jest stworzony z "czystej" kopii strony to tak. A jeśli kopia zawiera złośliwe pliki, to jedynym wyjściem jest wyczyszczenie katalogów i plików z nadmiarowego kodu.
daro822
03-06-2013, 21:17
Miałem włamanie na strone w kwietniu i informatyk mi wyczyścił ją ze szkodliwego oprogramowania i wtedy zrobiłem backup, wtedy byłoto groźnewłamanie bo strona przypuszczała atak na serwer i administrator ją zablokował aż do usunięcia szkodliwego kodu. Przywrócę ją z backupu bonie znam sie na tyle by znaleść podstawione pliki hakera.
A jeszcze jedno pytanie, może bezpieczniej bedzie jak założe 2 konto użytkownika na komputerze i z niego będe jedynie zaglądał na strone. Bo na tym koncie co teraz w rózne miejsca się wchodzi i mogę coś złapać znowu :/...
zwiastun
03-06-2013, 21:28
Kochany, dokształć się pilnie albo daruj sobie prowadzenie witryny. Administrowanie witryną to odpowiedzialny obowiązek także wobec innych użytkowników serwera i Internetu. Jeśli doprowadzasz przez niewiedzę do zapaskudzenia swojej strony, to rozsiewasz świństwo po Sieci, narażasz innych, a do tego sam nie wiesz, co robisz.
morphic
04-06-2013, 09:12
No zgadzam się z przedmówcą. Jeśli już zdecydowałeś się na prowadzenie strony, to albo podszkol się z jej funkcjonalności, albo powierz prowadzenie pracy komuś, kto się na sprawie zna.
Co do zakładania drugiego konta, to nie widzę w tym większego sensu. Przede wszystkim pozmieniaj hasła do FTP, konta admina i ewentualnie bazy danych. Wówczas w Joomli też musisz pozmieniać hasło do bazy i FTP(jeśli masz obsługę FTP ustawioną od zaplecza). A samo świństwo z tego co pamiętam łapało się przez dziurę w edytorze JCE, chociaż ostatnimi czasy zauważyłem dziwne działanie komponentu Akeeba - najpierw się wywalił komponent do tworzenia kopii zapasowych, a potem pojawiły się w tajemniczy sposób pliki index_backup.php, dziwne wpisy w .htaccess i mnóstwo plików w(8cyfr)n.php zawierających złośliwy kod. Tradycyjnie kod był ukryty poprzez base64, a sam skrypt tym razem nigdzie nie przekierowywał, a rozsyłał spam.