PDA

Zobacz pełną wersję : Ponowna infekcja witryny



DeZ
17-05-2013, 12:49
Witam. Kolejny raz w ciągu paru dni padła strona www.maluch-trophy.pl (http://www.maluch-trophy.pl)
Avast pokazuje JS: Decode-AFL. Google też nie pozwala na otwarcie.
Nie ma na niej żadnych wodotrysków nawet formularz kontaktowy usunąłem jakiś czas temu.
Żaden z plików nie miał daty bieżącej choć nie wiem czy to jakiś wyznacznik bo może "przyjaciele" potrafią zmienić zawartość pliku bez zmiany daty. Nie znam się na tym.
Jak się tego diabelstwa pozbyć ??
Mam kilka kopii zapasowych ale nie wiem, czy one też nie są zainfekowane.
W sumie na tym jednym koncie mam 3 strony i wszystkie teraz mają ten sam problem.
Wiem, że ten serwer nie ma najnowszego PHP bo nowa akeeba nie chciała się zainstalować.

Jommla 2.5.11

alex51
17-05-2013, 14:00
Dla php w wersji niższej od 5.3 zalecany jest Akeeba 3.6.12 (https://www.akeebabackup.com/downloads/akeeba-backup/3-6-12/comakeeba-3-6-12-core-zip.raw).
Skoro strony są (cytuję) "bez wodotrysków", to można je postawić na świeżej, czystej instalacji Joomla i przywrócić ich treść na podstawie posiadanych kopii bazy danych. Osobiscie sugerowałbym przeprowadzenie takiej operacji w środowisku lokalnym, by uniknąć ewentualnych problemów z potencjalnie uszkodzonymi tabelami baz danych.

DeZ
17-05-2013, 15:09
Takiego zabiegu jeszcze nie robiłem. Tzn nie raz stawiałem z kopii ale całej witryny. Poza tym jak sprawdzić do której kopii wstecz kod nie jest zainfekowany ?
Czy to, że serwer nie ma najnowszego php ułatwia w jakiś sposób włamania ?

alex51
17-05-2013, 15:29
Miałem na mysli kopie tylko bazy danych, którą można wykorzystać do rekonstrukcji treści witryny, oczywiście w środowisku lokalnym JAMP lub XAMPP. Procedura byłaby taka:
1. Wgranie do katalogu rozpakowaną pczkę instalatora Joomla! 2.5.11.
2. Przygotowanie nowej bazy danych.
3. Instalacja Joomla! 2.5.11 na nowej bazie danych.
4. Wykorzystanie posiadanej kopii bazy danych z witryny do wyciagnięcia z niej tabel kategorii (xxx_category) i treści artykułów (xxx_content) i zaimportowania ich w bazie danych w środowisku lokalnym. Wcześniej, dla porządku trzeba odpowiednie tabele usunąć z tej bazy, by nie utrudniały importowania.
5. Podobnie można importować tabele modułów, menu, użytkowników, szablonów. W zasadzie można też usunać wszystkie tabele z bazy po instalacji na localu i w to miejsce zaimportować całą bazę danych z posiadanej kopii, ale należy sie liczyc z tym, że w bazie danych również mogą być jakieś skutki włamania. Łatwiej jest odtworzyć treść i ją sprawdzić a resztę odtworzyć ręcznie.

W razie problemów mogę pomóc, ale musiałbym mieć dostęp do zaplecza, ftp i PMA (phpMyAdmin).

Co do starszej wersji php, to nie sądzę, by mogło to mieć bezpośredni związek z ułatwianiem włamania.

PS.
Ponieważ strona została zablokowana przez Google, to dostep do zaplecza jest zbyteczny, wystarczy sama kopia bazy danych lub dane do PMA i ftp.

zwiastun
17-05-2013, 15:31
@DeZ: Zapoznaj się z materiałami w dziale Bezpieczeństwo na www.wiki.joomla.pl - zadajesz pytania na poziomie wskazującym na kompletną niewiedzę w tym zakresie.
Nie masz do czynienia z "ponowną infekcją", a z uszkodzeniem dokonanym nie wiadomo kiedy i nienaprawionym.
Postępowanie po włamaniu opisane jest na wiki. W Twoim przypadku, niestety, procedura do wykonania w całości - a więc odtworzenie witryny z czystych plików instalacyjnych i podpięcie bazy danych po jej uprzednim dokładnym sprawdzeniu.

DeZ
17-05-2013, 15:45
Dzięki za odpowiedzi. Ale spytam jeszcze o jedno. Te 3 strony były uruchomione w 3 katalogach ale na tym samym koncie na serwrze.
Czy bezpieczniej jest mieć 3 odrębne konta czy to nie ma znaczenia ?

Zwiastun - wiem, że niewiadomo kiedy stąd pytanie czy da się sprawdzić właśnie "kiedy". Metoda taka na szybko to instalować po kolei z poszczególnych kopii i chyba tak zrobię. W końcu któraś zadziała poprawnie.
Wiki czytałem nie raz ale przyznam, że ostatnio z rok temu :zagubiony: więc pewnie czeka mnie parę niespodzianek.

zwiastun
17-05-2013, 15:58
Materiały w dziale bezpieczeństwo to dla Ciebie teraz lektura obowiązkowa. Nie pytaj o rzeczy oczywiste. Aktualnie to nie Ty zarządzasz swoją witryną ( i swoim kontem), ale włamywacz. A co takiego i kiedy robi oraz w jaki sposób, to jego słodka tajemnica, a dla Ciebie wyzwanie.

Gall Anonim
17-05-2013, 18:45
Jest pewna ciekawostka z tą stroną - żadne ze skanowań zewnętrznych nie wykazuje nic po za czarną listą google
Więc mam propozycje - kup sobie pierwszą lepszą domenę w promocji i podepnij pod tą samą stronę - poczekaj z tydzień nie informując nikogo - bo mam wrażenie że ktoś cię nie lubi i się bawi w brzydki sposób - zgłaszając notorycznie witrynę jako zagrożenie a da się tak zrobić aby "zdrowa witryna" była zablokowana - słowo :-)

DeZ
20-05-2013, 22:43
Się ludzie "bawią" ...
Na razie przenoszę na zupełnie inny serwer.

A z google:

W ciągu ostatnich 90 dni przetestowaliśmy w tej witrynie następującą liczbę stron: 6. Wyświetlanie 5 z nich spowodowało pobranie i zainstalowanie złośliwego oprogramowania ...

Czy w tej witrynie działało złośliwe oprogramowanie? Nie, w ciągu ostatnich 90 dni nie było w tej witrynie złośliwego oprogramowania.

hmmm :hmm: