Witam DMC Firewall pokazał mi taki atak

Hack AttemptRequested URI: /components/com_contushdvideoshare/hdflvplayer/download.php?f=../../../configuration.php
Illegal content within 'get' data
'get' data contained '../../../'

po tym ataku okazało się że jak chcę modyfikować jakiś plik w direkct admin google pokazuję mi taki komunikat


8095

Po całej sytuacji skasowałem całą domenę i zacząłem budować stronę od podstaw bez tego komponentu hdflvplayer. Myślałem że wszytko już będzie ok bo praktycznie strona nowa surowa i w pełni zaktualizowana a tu znowu koleś się włamał w identyczny sposób. Pytanie się nasuwa jak to jest możliwe jak nie instalowałem tego komponentu ani nic innego pochodnego.

Czy przed ponownym postawieniem strony widziałeś to (http://wiki.joomla.pl/Witryna_po_w%C5%82amaniu)?

Tak i wszytko od zera stawiałem na nowych ustawieniach. Teraz zrobiłem to samo i zobaczymy co się stanie. Pytanie jest jedno na tym włamaniu miałem tylko zainstalowane K2, JCE, Akeeba beckup, DCM Firewall. I jak on to zrobił.

Pytanie numer
1. Czy to ta sama domena?
2. Jeżeli ta sama to czy została odblokowana - czy też postawiłeś i dalej "kaszana" - czyli nie została odblokowana?
3. Jaki hosting?
4. Jak wygląda stan kompa pod względem zabezpieczeń (może to z niego podbiera informacje).
5. Czy na serwerze masz coś jeszcze?
6. Czy katalogi są separowane?

1. tak to ta sama domena
2. Nie rozumiem do końca tego pytania ale ponownie postawiłem wszytko na nowo.
3. vps netdc
4. komp był formatowany i mam nortona securiti + anti-malware
5. Inne domeny ale na razie nie zainfekowane.
6. Nie rozumiem pytania opisz dokładnie

Jak na mój gust to z rzeczy które wymieniłeś do edytora JCE istnieje możliwość napisania "Exploita" np. w php plus perl . Pozwalającego przejąć kontrolę nad stroną .Co nie znaczy że w Twoim przypadku tak się stało. Zastanawianie się jak to zrobił nic Ci nie da .Zbadaj sprawę pod kątem tego gdzie masz potencjalne luki

Panowie i panie mam pytanie google webmastre nie wskazuje mi żadnych działań ani że strona jest szkodliwa a jedynie pojawia mi się ten komunikat jak próbuję edytować jakiś plik z direkcadmin w przeglądarce chrome. Czy może być zawirusowany direct admin ?

Witam ponownie. Dostaje takie info od google czy dobrze to rozumiem że strony które znajdują się na tym samym serwerze są zainfekowane i zarażają inne strony ?

Bezpieczne przeglądanie

Strona diagnostyczna witryny mojadomena.pl


Jaki jest obecny stan bezpieczeństwa witryny mojadomena.pl?
Ta witryna nie jest obecnie uznawana za podejrzaną.

Co się stało podczas odwiedzin tej witryny przez Google?
W ciągu ostatnich 90 dni przetestowaliśmy w tej witrynie następującą liczbę stron: 1. Wyświetlanie 0 z nich spowodowało pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika. Witryna ta po raz ostatni była odwiedzana przez Google 2015-02-10 i w ciągu ostatnich 90 dni nie znaleziono w niej żadnych podejrzanych treści.Ta witryna działała w następującej liczbie sieci: 1, m.in. AS1 (BIZNESHOST-AS)

Czy ta witryna pośredniczyła w rozpowszechnianiu złośliwego oprogramowania?
Nie wydaje się, aby w ciągu ostatnich 90 dni witryna mojadomena.pl pośredniczyła w zarażaniu jakichkolwiek witryn.

Czy w tej witrynie działało złośliwe oprogramowanie?
Nie, w ciągu ostatnich 90 dni nie było w tej witrynie złośliwego oprogramowania.





Drugi komunikat po wejściu w AS1 (BIZNESHOST-AS)

Bezpieczne przeglądanie

Strona diagnostyczna witryny AS1 (BIZNESHOST-AS)


Co się stało podczas odwiedzania przez Google witryn w tej sieci?
W ciągu ostatnich 90 dni przetestowaliśmy w tej sieci następującą liczbę witryn: 7445, a 80 z nich, m.in. k2-net.pl/, nks.com.pl/, mawazo.pl/, zawierało treści, których wyświetlanie spowodowało pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika.
Po raz ostatni witryna w tej sieci była testowana przez Google 2015-02-20, a ostatni przypadek wykrycia w niej podejrzanych treści miał miejsce 2015-02-20.
Czy w tej sieci działały witryny pośredniczące w dalszym rozpowszechnianiu złośliwego oprogramowania?
W ciągu ostatnich 90 dni wykryliśmy w tej sieci następującą liczbę witryn: 6, m.in. tablicemedyczne.pl/, badminton.waw.pl/, zabawkiedu.pl/, które, jak się wydaje, pośredniczyły w zarażeniu następującej liczby innych witryn: 10, np. tablicamedyczna.pl/, tadoros.net/, polishopen.eu/.
Czy w tej sieci działały witryny rozpowszechniające złośliwe oprogramowanie?
Tak, w ciągu ostatnich 90 dni w tej sieci działały witryny rozpowszechniające złośliwe oprogramowanie. Wykryliśmy następującą liczbę witryn: 5, m.in. przykładowo nafnaf.com.pl/, lamigo-sklep.pl/, angrybirds.info.pl/, które zainfekowały następującą liczbę innych witryn: 8, m.in. przykładowo tor-medica.pl/, goo.gl/lFzkMn/, sh.st/.

mnie dwa razy też ktoś się dobierał ostatnio do dwóch stron, pozmieniałem zabezpieczenia, mam nadzieję ze teraz będzie lepiej bo kurde już główkuję co tu stosować... :/

Ja cały czas mam problemy. Zblokowałem już kilka krajów by nie słali bootów. Tu na forum tak naprawdę nikt jeszcze nie podał jakiegoś darmowego zestawu co razem dobrze działa. Ostatnio rozmawiałem z specjalistą od stron to jasno dał mi do zrozumienia żeby uciekać z joomla i wordpressa bo hakerzy nad tymi cmsami najbardziej pracują.

Ostatnio rozmawiałem z specjalistą od stron to jasno dał mi do zrozumienia żeby uciekać z joomla i wordpressa bo hakerzy nad tymi cmsami najbardziej pracują
To taki specjalista, jak z koziej... trąba!

Ostatnio rozmawiałem z specjalistą od stron to jasno dał mi do zrozumienia żeby uciekać z joomla i wordpressa bo hakerzy nad tymi cmsami najbardziej pracują.
Spraw mi przyjemność i podaj namiar na tego specjalistę - z chęcią posłucham co ma do powiedzenia.
Hakerzy od lat pracują nad wszystkim co się znajduje w sieci tylko wytłumacz mi jakim cudem ze znanych mi developerów nikt osobiście nie miał takich problemów - owszem spotkałem się ze stronami po ataku ale zawsze było to spowodowanie niefrasobliwością i luzackim podejściem administratorów/klientów.
Całkiem niedawno jeden z moich klientów zadzwonił do mnie z informacją iż pojawiają mu się jakieś dziwne teksty po rosyjsku na stronie i co się okazało?
Pobrał szablon komercyjny za free z jakiejś nie godnej zaufania stronki zamiast zapłacić parę gorszy producentowi. Szablon miał dorzucony złośliwy kod który aktywował się dopiero przy określonej ilości opublikowanych artykułów. A spec od stron najlepiej niech odłączy się od internetu bo nad włamami do kompów hakerzy notorycznie pracują (co zresztą widać na statystykach ataków z komputerów zombie).
Tak więc czekam na namiar na specjalistę :-)

Po pierwsze poproś hostingodawce o przeskanowanie konta, bo jak był włam równie dobrze mógł wyjść poza katalog domeny itd.

Serwer mam już wyprowadzony tylko jak widzę ile mam ataków brute force dziennie to mnie to przeraża. Musiałem zblokować kilka państw ale i tak to nie pomaga zbytnio bo przenoszą się na inne państwa i dalej puszczają booty. Aktualizacje mam cały czas wykonywane na bieżąco bo codziennie jestem na panelu administracyjnym. Nie to żebym narzekał na joomla bo ogólnie bardzo lubię ten system ale fakt faktem dużo jest ataków na joomla. Wczoraj próbowali mi chyba coś wstrzyknąć bo miałem próbę ataku. To jest definitywnie atak na jakąś lukę w com_hdflvplayer na szczęście nie mam tego komponentu ale pytanie nasuwa się czy mogą coś wprowadzić za pomocą tego kodu.

Hack Attempt
Requested URI: /component/contushdvideoshare/player/15//components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php
Illegal content within 'get' data
'get' data contained '../../../'

drugi atak

Requested URI: //components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php
Illegal content within 'get' data
'get' data contained '../../../'

Nie to ataki bootów które szukają zwyczajnie luk w komponentach, jeśli go nie posiadasz to możesz spać spokojnie.
Jeśli wiesz jaki IP dokonuje ataku dodaj do .htaccess

JP cały czas się zmieniają i tu jest problem.

Jeśli strona nie wykazuje objaw zainfekowania.. wiec póki co jesteś bezpieczny.
Za jakiś czas powinno się trochę uspokoić, aczkolwiek nie myśl że jesteś bezpieczny bo tak nie jest. Pilnuj doglądaj poprawiaj a będzie lepiej.

Tylko że ten problem trwa od listopada 2014 :) Cały czas mam wrażenie że ktoś na mnie poluje bo na tym serwerze mam inne strony i nie są tak atakowane jak dwie które są powiązane z informacjami medialnymi. Policja nie była wstanie namierzyć adresów JP bo wszystko było z poza uni i dali sobie dupy siana więc jestem tylko zdany na siebie. Coraz bardziej zastanawiam się czy nie dać tego jakiejś firmie by czuwała na moim bezpieczeństwem.

To puść sita przez Cloudflare lub innego CDNa co oferuje security ;)

Oficjalnie mam wdrożone zabezpieczenia ale jak one działają to licho go wie. A możecie polecić dobrego vpsa z dobrymi zabezpieczeniami ?

Witam ponownie mam pytanie a zarazem prośbę do zespołu joomla. Joomla musi mieć jakąś lukę w bezpieczeństwie bo kolejny raz DMC firewal zablokował oficjalnie ale jak widać nie do końca. Dodam ze jest to czysta instalacja i nie posiada żadnych dodatków poza zabezpieczeniem. Po tym ataku otrzymuję komunikaty o próbie wyłudzenia.

Requested URI: //components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php
Illegal content within 'get' data
'get' data contained '../../../'

Joomla musi mieć jakąś lukę w bezpieczeństwie
Drogi Kolego.
I owszem - być może jest w Joomla jakaś niewykryta luka w zabezpieczeniach. Idealnych rozwiązań nie było, nie ma i nie będzie.

Ale jeśli nawet, to:
Po pierwsze: Twój post niczego do sprawy nie wnosi!
Zbadałeś? Co wykryłeś? Skąd takie przypuszczenie? Skąd pewność, że to nie serwer jest dziurawy?

Po drugie: Oświadczasz, że czysty Joomla, żadnych dodatków poza zabezpieczeniem, a ten com_hdflvplaayer to z czystego Joomla?


Requested URI: //components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php
A jeśli jest to tylko próba ataku na taki adres (bo nie masz u siebie takiego komponentu), to poproś panów od konfiguracji firewalla, żeby go dokonfigurowali, bo blokowanie Joomla tylko dlatego, że ktoś się próbuje włamać, to raczej kiepski pomysł. Takich ataków na nieistniejące w serwisie adresy każdy serwis postawiony na Joomla przezywa... nie będę podawał liczby, bo jest ich na pewno niemało.

Po trzecie: Gdy już rzeczywiście uda Ci się wykryć jakąś lukę w zabezpieczeniach Joomla, to nie biegaj po forach z jęzorkiem :), tylko zgłoś swoje odkrycie do zespołu ds. błędów albo jeszcze lepiej zespołowi ds. bezpieczeństwa. To jedyna sensowna droga reakcji na takie sytuacje.

Faktycznie co do trzeciego punktu to sorki nie pomyślałem. Co do komponentu nie mam takiego i wygląda że atak w ciemno ale chyba przechodzi jak pojawia się komunikat o wyłudzeniu.

chyba przechodzi jak pojawia się komunikat o wyłudzeniu
Nie wiem, o czym piszesz. Takich ataków mam w logach AkeebaTools codziennie dziesiątki. To, że są odnotowane nie oznacza, że "przechodza" czy że się powiodły.

Nie wiem czy uważnie czytasz co piszę ale jasno zaznaczyłem że po tym ataku zacząłem dostawać komunikaty o wyłudzeniu.8244

@etitek - krótko - masz regularny bałagan - gdzie - nie wiem - z domeną i jej wcześniejszymi problemami (nie wyczyszczono wpisów w bazach domen powodujących zagrożenie), z hostingiem - czart raczy wiedzieć co masz i co miałeś, z kompem który może działać jako zombiak w bardzo różny sposób lub całą masą innych możliwości. Prawda jest taka że: postawię czystą instalację Joomla - na hostingu będącym w mojej dyspozycji - na domenie kupionej wczoraj i zostawię na miesiąc - jestem przekonany że nic się specjalnego nie wydarzy no chyba że nadepnę komuś na odcisk i narobi syfu na konto danej domeny w sieci - to się akurat da zrobić nawet na domenę na której jest czysta strona html (swoją drogą może postaw sobie czystą stronę html - stawiam na to że efekt będzie tai sam jak obecnie). Jak dla mnie problem jest całkowicie w innym miejscu.

Gall Anonim trochę przesadzasz. Posiadam portal informacyjny więc może i komuś nacisnąłem na ogon i mnie gnębi :) Co do stron było czyszczone wszytko spędziłem masę czasu nad tym i też sprawdzali to moi dostawcy serwera. Komputer był formatowany kupiony dysk nowy i dodatkowo wdrożyłem kolejne zabezpieczenia :) Nie to żebym się czepiał ale dziś rozmawiałem z policjantem który prowadzi moją sprawę dotyczącą włamania i sam stwierdził że gdzieś w joomli musi być luka bo dużo ma spraw z własnie joomla i konsultował to z jakimś tam swoim macherem bo właśnie dostał kolejną sprawę z Rzeszowa co koleś ma joomla. Dostawca też proponował żebym zmienił na jakiś autorki system mniej znany niż joomla czy word press. Nie jestem za tym by zmieniać system bo mam ponad 3,5 gb i dodatkowo musiałbym sam jak i innych co pracują uczyć a na to nie mam czasu. Wspierajcie swoich użytkowników a nie karcie ich ludzie uczą się cały czas na błędach a nie każdy jest programistą i świetnie wyspecjalizowanym informatykiem. :)

@etitek - dałem propozycję - zrób to i nie pisz kocopałów o rzeczach o których niestety nie masz faktycznie pojęcia - utworzyłem szereg witryn na Joomla, a w tym również takie które były obiektem ataków celowych i jakoś tak wszystkie się obroniły bez większych problemów. Od 6 lutego masz ten sam problem w sposób nieustający - podajesz te same informacje a jakoś nie widzę do tej pory domeny o którą chodzi - na wszelki wypadek prześlij mi ją na PW jeśli masz odwagę. Postaw czystą stronę jak napisałem albo uciekaj z netu do pseudo specjalistów którzy nie wiedzą o czym piszą. Z kolei wszelkie naprawy po łamaniach jakie dokonywałem zawsze wynikały z ignorancji lub luźnego podejścia do tematu administratorów.
Mam wrażenie że raczej bawisz się w czarny PR lub ci się nudzi i szukasz problemu wszędzie tylko dokładnie nie tam gdzie trzeba. Czekam na domenę - na PW - jest to warunek kontynuowania wątku.

na pw dostałeś wiadomość

Wiem - odpowiedź powinna być już na PW

Gall Anonim dzięki za pomoc a tak dla tych co tu są pierwszy raz nie zrażajcie się takimi tematami do joomla bo na innych systemach jak wordpress lub drupal jest dokładnie tak samo. Joomla obecnie jest najbardziej rozbudowana jak i ma chyba najwięcej dodatków dostępnych za darmo dlatego trzymam się rękami i nogami jej ;) a i pamiętajcie jak ktoś wyłapię jakąś lukę w zabezpieczeniach nie ogłaszaj tego tak jak ja to zrobiłem bo potem reszta hakerów to może szybko podłapać i polecieć więcej witryn. Taka mała dygresja z mojej strony hakerzy włamują się do największych na świecie serwerów gdzie są strzeżone przez sztab ludzi a co dopiero do naszych małych witrynek :)

Witajcie,
ja tak a propos ostatniej fali włamań do witryn.
I mnie to dotknęło, właśnie stawiam nowego Joomla! 3.4.4 - po wgraniu na serwer widzę świetnie wyglądający interfejs i nie mogłem nie pomyśleć o tych, którzy go zrobili.
Wprawdzie to domena "chlebowa" i krew mnie zalewa, że znów walka o pozycję podstron ...
Ale co tam, pomimo stresu dziękuję wszystkim pracującym nad Joomla!
Zazdroszę Wam wiedzy i zdejmuję beret z głowy przed wszystkimi pracującymi nad rozwojem Joomla!
Dziękuję.