Zobacz pełną wersję : Kolejny atak, proszę o pomoc !
Witam serdecznie wszystkich forumowiczów !
Adminuje na stronie o tematyce religijnej i w ciągu 1 miesiąca miałem dwa ataki !!. Pierwszy raz dotyczył jakiś manipulacji w pliku index i powodowało ładowanie strony z innego serwera. rzut ekranu (http://www.fotosik.pl/showFullSize.php?id=184d8c404066a16e). Teraz było jeszcze gorzej ponieważ moje Konto zostalo zablokowane za phishing (probe kradziezy danych). Po wpisaniu adresu następuje przekierowanie na http://www.suspended.page/. Proszę o abyście coś poradzili !! :/. Nie mogę sobie z tym sam poradzić :(.
konto mam na i365.pl
sys. Joomla 1.0.11
podaj ustawienia serwera zgodnie z regulaminem forum
Po pierwsz i najważniej register globals na off
Po drugie aktualizacja do nowaszej Joomli
Po trzecie wszystkie katalogi na 755
Po czwarte przeglad składników dodatkowych czy nie ma ich nowszych wersji
Teraz trudno mi podać ustawienia serwera ponieważ mam przez ten atak dalej zablokowane konto. Po pierwszym ataku zacząłem być bardziej ostrożny, i buszować na forum. Ustawiłem register globals na off w htaccess, zrobiłem wszelkie aktualizacje, ze składników miałem zoom galery rc1, bo rc3 nie mogłem wgrywać zdjęć. Tego nie podaruję i będę starał chodź dojść jak do tego doszło.
Konto mam dalej zablokowane, ale dostałem e-maila że z powodu luki w joomla ich serwer został wyłączony na 2h.
pamiętaj o logach serwera, jak masz do nich dostęp, jak nie to poproś admina
Z tego co mi się udało wyciągnąć od firmy hostingowej to że "
Witam,
Konto zostanie odblokowane pod warunkiem usuniecia:
/components/secure/nationonline/signon_WP1.php (http://www.mikolaj.i365.pl/components/secure/nationonline/signon_WP1.php)
oraz wszystkich komponentów i dziurawych skryptówza co jest odpowiedzialny ten plik WP1.php ??? i jakie komponenty są najbardziej niebezpieczne ??
cały katalog secure to jest najprawdopobniej tresc obca, do usunięcia. Jeżeli masz cpanel na serwerze ma on scaner virusów, przeskanuj sobie konto Co do dodatkow http://www.forum.joomla.pl/forum/showthread.php?t=4410
Wreście mi konto odblokowali. tu (http://mikolaj.glogow.pl/logi_od_12_02.txt) są moje ostatnie logi serwera, hmm nie znam się za bardzo na nich może ktoś będzie bardziej wiedział jak doszło do ataku ;/ i przez jaki komponent ??:|
Jedynie co mi przykuło uwagę pojawienie się folderu secure w components.
Dziękuje Stone za pomoc !
Virscaner pomógł
public_html/administrator/templates/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_gsg/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/phpMod.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/help.phpPHP.Shell
public_html/components/com_extcalendar/extcalendar.phpTrojan.PHP.C99Shell
public_html/components/ebygallery/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/s/nationonline/letter.phpHTML.Phishing.Bank-1046
public_html/components/com_czsubmit/i.jpg.phpTrojan.PHP.C99Shell
http://www.narf.shl.pl/hakin9/xss.pdf
vBulletin® v4.2.5, Prawa przedruku © 2024 vBulletin Solutions, Inc. Wszystkie prawa zastrzeżone.
Tłumaczenie: Polskie Centrum Joomla!