PDA

Zobacz pełną wersję : Włamanie na stronę



etitek
25-10-2014, 09:47
Witam dziś doszło do włamania na moją stronę. Mam wszystkie najnowsze aktualizacje wgrane. Jak mogę szybko wyłapać w jaki sposób się włamano i podmieniono pliki i jak znaleźć zainfekowany kod?

noras
25-10-2014, 10:32
Czym objawia się włamanie? Google zablokowało Ci witrynę? Czy nie możesz wejść na zaplecze bo ktoś zmienił hasło?


Wnioskuje ze to włamanie na stronę i jakiś złośliwy kod. Tak więc:

Pierwsza rzecz to przeczytaj uważnie ten poradnik, z resztą bardzo dobrze napisany http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu

Po przeczytaniu paczka pytań:
1. Robione były backupy?
2. Kiedy robiłeś ostatnią aktualizację treści na stronie? (choć mi o zmiany w treści/galeriach itd anie o aktualizacje systemu)
3. Jeśli pkt 1 negatywna odpowiedź, i pkt 2 powyżej kilku dni. I jeśli strona została dzisiaj zhackowana to możesz próbować z hostingodawcą porozmawiać czy trzymają kopie strony z jakiego okresu i czy mogą przywrócić.

etitek
25-10-2014, 11:00
Został podmieniony plik index.php ale nie wiem czy haker pozostawił jakiś plik ukryty by móc ponownie się włamać. Tam gdzie mam vpsa nie byli wstanie ustalić adresu JP jedynie stwierdził że włamanie musiał nastąpić bezpośrednio ze strony. Aktualizacje mam na bieżąco średnio sprawdzam raz na tydzień bo to jest portal i musi być utrzymany. Stronę odzyskałem w całości. Tylko jak uniknąć ponownych włamań?

Korek1
25-10-2014, 11:22
zabezpiecz tym RS Firewall http://www.rsjoomla.com/joomla-extensions/joomla-security.html powinno pomóc.

etitek
25-10-2014, 12:51
A czy Admin Tools spełni tą samą funkcję co rsjoomla ?

- - - Updated - - -

miałem trojana w Creative Contact Form in.php norton mi to wykrył prawdopodobnie tędy się dostali

Korek1
25-10-2014, 12:53
w wersji płatnej może mieć nawet szersze zastosowanie

Bazyl
25-10-2014, 13:11
Przerobiłeś wszystko: http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu ?

etitek
25-10-2014, 13:42
tak :) miałem component nie aktualny pokasowałem pliki które były wrzucone mam nadzieje że teraz uda się uniknąć takich niespodzianek.

etitek
25-10-2014, 20:32
Mam kolejny atak ma ktoś jeszcze jakieś pomysły ?

Bazyl
25-10-2014, 21:01
Nie zrobiłeś wszystkiego z linku który podałem.
:)

mjmartino
25-10-2014, 21:06
Mam kolejny atak ma ktoś jeszcze jakieś pomysły ?
Widocznie nie zabezpieczyłeś strony po poprzednim ataku...
Samo przywrócenie i aktualizacja bez zabezpieczeń nic nie da, koledzy wyżej proponowali rozwiązania do których trzeba było się zastosować..
A tak będziesz się bawił w kotkę i myszkę oraz co rusz przywracał stronę.

etitek
25-10-2014, 21:35
Zainstalowałem admin tools. Przeskanowałem pliki to co mi wyłapało usunąłem. Resztę zaleceń też wykonałem. Nie wiem czy nie mam jakiegoś boota w plikach jak tego szukać ?

Karol99
25-10-2014, 23:47
miałem component nie aktualny

Zdradź, poproszę, jaki to komponent i w jakiej wersji


Nie wiem czy nie mam jakiegoś boota w plikach jak tego szukać ?

Szukaj po dacie plików - pomoże w tym skrypt o urokliwej nazwie wypier (szukaj wypier.rar).

etitek
25-10-2014, 23:48
Creative Contact Form jak dobrze pamiętam miałem 1.1 obecnie jest 2.0 ale i tak nie pomogło po uaktualnieniu

etitek
26-10-2014, 11:04
Czy może ktoś polecić zestaw darmowy do skanowania joomla po włamaniu ?

noras
26-10-2014, 11:39
Jak już ktoś wyżej napisał, przeczytaj uważnie artykuł po włamaniu. Darmowy zestaw do skanowania plików jest zbędny, totalcommander i lecisz wszystkie foldery sprawdzasz daty modyfikacji plików i już, żaden skaner nie zrobi tego lepiej niż człowiek. Zwróć uwagę na pliki które mają dziwną nazwę "btb_i.php" na przykład.

ps. Ja bym zmienił wszystkie dane dostępowe do hostingu, ściągną stronę na localhost rzeźbiłbym w plikach Notepadpp i wyszukiwaniem w wielu plikach, porównywał pliki z oryginalnymi Joomla, strukturą itd, zajęcie na jakąś godzinę może dwie :D Dodatkowo webmaster Tools od google powinien wskazać Ci jakąś informację co to za syf na stronie. Wtedy google Ci podpowie czego szukać.

Karol99
26-10-2014, 16:23
Pisałem o wypier - on pokaże Ci pliki na serwerze w kolejności dat modyfikacji. A wszystko to napisano we wspomnianym artykule...

etitek
27-10-2014, 20:10
DMC Firewall pokazuje mi coś takiego może mi ktoś pomóc o co chodzi z wieloma kontami administracyjnymi i brakiem 13 archiwum ?

You have multiple 'administrator' folders within your web-space!

Server

Server PHP Version:5.3.28 - Latest version of PHP:5.4.11!

More than 10 files have been modified on your server within the last 3 days!

13 Archives found on your server!

pkosela
28-10-2014, 00:11
1. Nie kontami, a folderami "administrator" - standardowo jest jeden.
2. 13 archiwów znaleziono na serwerze - standardowo Joomla nie tworzy plików archiwów.
3. Poza wyjaśnieniem powyższych, zająłbym się pilnie tym, że ponad 10 plików zostało zmodyfikowanych w ciągu ostatnich trzech dni.

Jdwind
28-10-2014, 01:27
1. ....
4. I ponownie pozmieniałbym hasła do bazy, panelu i konta.

etitek
28-10-2014, 07:29
A gdzie mam tego szukać ?

Bazyl
28-10-2014, 09:15
tak

...odpowiedziałeś, że przerobiłeś wszystko z linku, który podałem, a teraz okazuje się, że nie.
Nawet, gdy ktoś Ci podpowie, jak zmienić hasło do bazy danych (nie ma pomocy hostingodawcy?!), może się okazać, że za dwa dni znowu napiszesz, że włam.
I tak możesz pisać jeszcze do wiosny...

Masz dwie opcje: przerobić wszystko z linku do postępowania po włamaniu lub zlecić to komuś.

etitek
28-10-2014, 13:57
Staram się zaoszczędzić czas to nie jest strona która ma 30mb tylko 3GB zanim plik po pliku przelecę to 1000 razy mi to rozwalą dlatego proszę o podpowiedzi gdzie mogę szukać by szybko rozwiązać problem.

zwiastun
28-10-2014, 14:09
Szybko można się podrapać za uchem :) Robiłeś już szybko i wyszło, jak wyszło.
Przeszukać, niestety, trzeba wszystko i jeszcze więcej. Sprawdzić należy wszystkie pliki, które uległy modyfikacji nie będącej wynikiem działania administratora.
Przeczytaj raz jeszcze uważnie artykuł i przyjmij tez do wiadomości, że choć nie święci garnki lepią, to nie wszyscy są garncarzami, chirurgami, inżynierami, itd.

noras
28-10-2014, 14:12
Już dawno byś zaoszczędził czas jak byś przeczytał dobrze artykuł. Nikt nie będzie wstanie wskazać gdzie dokładnie masz szukać zmodyfikowanych/zainfekowanych plików, z reguły włamy są ukrywane i rozpraszają pliki na ftpie w różnych katalogach (tak aby ktoś potem musiał poświęcić czas i to przerobić). Najprościej jest totalcommanderem analizować daty modyfikacji plików. A witryna która zajmuje około 3gb to nie jest dużo :)

Podpowiedź: nie musisz listować plików graficznych, więc można je przefiltrować (totalcommander ma możliwość filtracji plików).

Ps. Jeśli szkoda Ci czasu na taką operację to możesz komuś to zlecić w dziale Zlecenia.

zwiastun
28-10-2014, 14:49
@noras: zmartwię Cię, trzeba także sprawdzić "pliki graficzne", które wcale nie musza być plikami graficznymi, a jedynie mieć rozszerzenie jak plik graficzny. Złośliwy kod, co na pewno wiesz, umieszczany bywa także w plikach typu GIF. O umieszczaniu złośliwego kodu np. w plikach CSS pisał kiedyś PeFik. Tak że "wszystko" znaczy wszystko i jeszcze więcej, bo również trzeba sprawdzić otoczenie katalogu dokumentów.

noras
28-10-2014, 15:15
@zwiastun - fakt masz rację. Pliki graficzne mogą, nie myśli się o tym na co dzień :)

trzepiz
28-10-2014, 20:56
Samodzielne "czyszczenie" strony i jej zabezpieczanie bez sporej wiedzy jaką trzeba by mieć aby zrobić to poprawnie, to jak wstawianie po włamaniu do mieszkania nowych drzwi antywłamaniowych, w których mocowania śrub są od strony korytarza ... :)


Czasem szkoda czasu, szkoda nerwów, no i szkoda strony, której pozycja po oznaczeniu przez google jako "zainfekowana" może znacznie spaść.

etitek
29-10-2014, 21:56
Przewaliłem kody znalazłem zainfekowane skrypty tylko nadal nie wiem gdzie szukać administratorów nadal mi pokazuję że mam ich wiele.

zwiastun
29-10-2014, 22:01
Jakich administratorów? Wrzuć sobie ten komunikat do translatora Google i przetłumacz na język polski, skoro nie rozumiesz, co znaczy "administrator folders", to może GT Ci wyjaśni.

etitek
29-10-2014, 22:11
You have multiple 'administrator' folders within your web-space!

zwiastun
29-10-2014, 22:13
A po co to tutaj umieściłeś? Tu nie ma Google Translatora. Ja umiem czytać.

etitek
29-10-2014, 22:24
Możesz pomóc lub wskazać gdzie mogę to znaleźć ?

zwiastun
29-10-2014, 22:32
Ale co? Komunikat Ci mówi, że wewnątrz przestrzeni dyskowej, w której są pliki Twojej witryny masz wiele folderów nazwanych administrator.

etitek
29-10-2014, 22:47
no właśnie a nie powinien być jeden ?

zwiastun
29-10-2014, 23:05
Nie gniewaj się, ale z takimi kompetencjami naprawdę powinieneś poważnie rozważyć przekazanie sprawy do załatwienia przez fachowców. Powiem więcej, to już nawet nie jest kwestia kompetencji w sensie wiedzy, umiejętności i doświadczenia, ale po prostu logicznego myślenia. Skoro otrzymujesz niepokojące ostrzeżenie, że masz za dużo folderów administracyjnych w przestrzeni dyskowej swojej witryny, to nad czym się jeszcze zastanawiasz? Nie jesteś nowicjuszem. Nieraz pewno instalowałeś Joomla, a więc pewno musiałeś rozpakować pakiet instalacyjny. Ile w nim jest folderów nazwanych administrator? Nie wiesz, jakie foldery mają być w instalacji witryny? To jak chcesz odpowiedzialnie, kompetentnie zbadać, co zrobił włamywacz w systemie plików, skoro nie wiesz, co w tym systemie plików ma być?

Zrobisz, co zechcesz, ale - choć daleki jestem od zniechęcania kogokolwiek do podejmowania wyzwań - dobrze radzę, byś rozważył, czy to Ty powinieneś doprowadzać tę witrynę do porządku. Moja ocena tylko na podstawie tego, co zostało napisane w tym wątku brzmi: jeśli komuś nie wystarczają informacje i porady zawarte w artykule "Witryna po włamaniu", to kolejny 10-stronicowy artykuł tez mu problemu nie rozwiąże. W artykule jest kompendium wiedzy dla osób, które nie są w tej mierze ekspertami, ale chcą się zmierzyć z problemem. Jeśli to kompendium nie wystarcza, to znaczy, że zadanie przekracza możliwości "zawodnika" (przynajmniej na tym etapie jego rozwoju), z czym tez trzeba się umieć pogodzić. Ja również nie umiem budować samolotów, śpiewać arii operowych, wiązać węzłów żeglarskich czy zrobić sobie smartfona albo wymienić płytę główną w zepsutym telefonie, choć to jest podobno banalnie proste.

pkosela
30-10-2014, 00:17
no właśnie a nie powinien być jeden ?
Czytasz czasami odpowiedzi w swoim wątku?

etitek
30-10-2014, 19:11
Sorki że pytam o tak ponoć banalne sprawy ;) Ale jest jeden mały kłopot tak jak piszesz mam tylko jeden folder administrator a pokazuje mi że jest ich wiele. Szukałem po folderach czy jest gdzieś głębiej jakiś folder o nazwie administrator ale nie znalazłem.