PDA

Zobacz pełną wersję : Kolejny atak, proszę o pomoc !



edriu
16-02-2007, 21:11
Witam serdecznie wszystkich forumowiczów !

Adminuje na stronie o tematyce religijnej i w ciągu 1 miesiąca miałem dwa ataki !!. Pierwszy raz dotyczył jakiś manipulacji w pliku index i powodowało ładowanie strony z innego serwera. rzut ekranu (http://www.fotosik.pl/showFullSize.php?id=184d8c404066a16e). Teraz było jeszcze gorzej ponieważ moje Konto zostalo zablokowane za phishing (probe kradziezy danych). Po wpisaniu adresu następuje przekierowanie na http://www.suspended.page/. Proszę o abyście coś poradzili !! :/. Nie mogę sobie z tym sam poradzić :(.
konto mam na i365.pl
sys. Joomla 1.0.11

Rybik
16-02-2007, 21:52
podaj ustawienia serwera zgodnie z regulaminem forum

stone
16-02-2007, 22:46
Po pierwsz i najważniej register globals na off
Po drugie aktualizacja do nowaszej Joomli
Po trzecie wszystkie katalogi na 755
Po czwarte przeglad składników dodatkowych czy nie ma ich nowszych wersji

edriu
17-02-2007, 00:01
Teraz trudno mi podać ustawienia serwera ponieważ mam przez ten atak dalej zablokowane konto. Po pierwszym ataku zacząłem być bardziej ostrożny, i buszować na forum. Ustawiłem register globals na off w htaccess, zrobiłem wszelkie aktualizacje, ze składników miałem zoom galery rc1, bo rc3 nie mogłem wgrywać zdjęć. Tego nie podaruję i będę starał chodź dojść jak do tego doszło.
Konto mam dalej zablokowane, ale dostałem e-maila że z powodu luki w joomla ich serwer został wyłączony na 2h.

stone
17-02-2007, 20:41
pamiętaj o logach serwera, jak masz do nich dostęp, jak nie to poproś admina

edriu
20-02-2007, 22:02
Z tego co mi się udało wyciągnąć od firmy hostingowej to że "

Witam,
Konto zostanie odblokowane pod warunkiem usuniecia:
/components/secure/nationonline/signon_WP1.php (http://www.mikolaj.i365.pl/components/secure/nationonline/signon_WP1.php)
oraz wszystkich komponentów i dziurawych skryptówza co jest odpowiedzialny ten plik WP1.php ??? i jakie komponenty są najbardziej niebezpieczne ??

stone
20-02-2007, 23:34
cały katalog secure to jest najprawdopobniej tresc obca, do usunięcia. Jeżeli masz cpanel na serwerze ma on scaner virusów, przeskanuj sobie konto Co do dodatkow http://www.forum.joomla.pl/forum/showthread.php?t=4410

edriu
21-02-2007, 00:23
Wreście mi konto odblokowali. tu (http://mikolaj.glogow.pl/logi_od_12_02.txt) są moje ostatnie logi serwera, hmm nie znam się za bardzo na nich może ktoś będzie bardziej wiedział jak doszło do ataku ;/ i przez jaki komponent ??:|

Jedynie co mi przykuło uwagę pojawienie się folderu secure w components.

edriu
21-02-2007, 00:31
Dziękuje Stone za pomoc !

Virscaner pomógł

public_html/administrator/templates/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_gsg/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/phpMod.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/help.phpPHP.Shell
public_html/components/com_extcalendar/extcalendar.phpTrojan.PHP.C99Shell
public_html/components/ebygallery/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/s/nationonline/letter.phpHTML.Phishing.Bank-1046
public_html/components/com_czsubmit/i.jpg.phpTrojan.PHP.C99Shell

Rybik
21-02-2007, 02:53
http://www.narf.shl.pl/hakin9/xss.pdf