PDA

Zobacz pełną wersję : skrypty php - zhakowana strona



englishwl
11-09-2015, 18:50
witam

odkryłem dzięki wpisaniu w googlu komendy:
site:www.englishwithlucas.com

że moja strona została zhakowana.
2 wyniki w top 10 dotyczą jakiegoś produktu weterynaryjnego, z którym moja strona nie ma nic wspólnego:
1. Polityka Prywatności - Weter - System do ewidencji zwierząt ... (http://englishwithlucas.com/cookies.php)englishwithlucas.com/cookies.php






Program komputerowy dla lekarzy weterynarii, system do ewidencji zwierzat dla lekarzy weterynarii. Prowadzenie książki leczenia zwierząt gospodarskich oraz ...

2.
Regulamin - Weter - System do ewidencji zwierząt dla ... (http://englishwithlucas.com/regulamin.php)englishwithlucas.com/regulamin.php






Program komputerowy dla lekarzy weterynarii, system do ewidencji zwierzat dla lekarzy weterynarii. Prowadzenie książki leczenia zwierząt gospodarskich oraz ...

w jaki sposób usunąć te skrypty? jak zabezpieczyć się na przyszłość przed takimi atakami?
2 rzeczy, które zrobiłem to wymuszenie ssl przy połączeniu ze stroną
I zainstalowanie pluginu jHackGuard.

Ale naprawdę nie mam doświadczenia w radzeniu sobie z usuwaniem ingerencji hackerów w moją stronę.

Proszę o pomoć

L.

Bazyl
11-09-2015, 19:00
Cześć,

http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu

englishwl
11-09-2015, 20:22
bardzo dziękuję, ale szukam bardziej konkretnych porad, co mam zrobić w moim konkretnym przypadku i jak usunąć szkodliwe skrypty ze swojej strony, o czym nie ma informacji w w/w poradniku. Stronę na ile mogłem zabezpieczyłem i skontaktowałem się z dostawcą hostingu. resztę kroków z poradnika - wykonałem.

Gall Anonim
11-09-2015, 22:11
1. Wersja Joomla powinna być zawsze aktualna - a czy taka jest? Czy to jest Joomla 3.4.4?
2. Wszelkie rozszerzenia powinny pochodzić z faktycznie godnych zaufania i sprawdzonych źródeł.
3. Po ataku należy sprawdzić:
integralność plików witryny z wersją Joomla
prawdziwość plików z kategorii media
daty dodania najnowszych plików
przeskanować całość pod kontem składni złośliwego kodu
4. Zainstalować wysokiej jakości zabezpieczenia typu RS Firewall
5. Przebudować niektóre elementy witryny zgodnie z zasadami bezpieczeństwa (umiejscowienie newralgicznych katalogów, przedrostki tabel BD, identyfikatory i struktury haseł użytkowników)
6. Wskazane aby witryna znajdowała się w separowanym katalogu
================================================== =
To tak na szybko z palca.

zwiastun
11-09-2015, 22:31
ale szukam bardziej konkretnych porad, co mam zrobić w moim konkretnym przypadku i jak usunąć szkodliwe skrypty ze swojej strony, o czym nie ma informacji w w/w poradniku.
Wydaje mi się, że oczekiwanie w takim poradniku instrukcji, jak usunąć plik z serwera, to gruba przesada. Ale proszę Cię bardzo: zaznaczyć plik i nacisnąć na klawiaturze klawisz DELETE. Inne rozwiązanie - kliknąć nazwę pliku prawym przyciskiem myszki i wybrać opcję Usuń.

englishwl
11-09-2015, 22:58
Zauważyłem, że zwiastun naprawdę czasami czuje potrzebę bycia niesympatycznym wobec innych i jest osobą wysoce sfrustrowaną.
Nie szukam rad jak włączyć komputer, ani gdzie mam przycisk delete na klawiaturze.

Google ma zaindeksowane 11 sierpnia skrypty (cookies.php, regulamin.php), które przedstawiłem w pierwszym poście i które nie są integralną częścią mojej strony, a wynikiem działań hakera.
Moje pytanie ewidentnie odnosiło się do nich.

Takie komentarze są naprawdę zbędne, nieuprzejme i nic nie wnoszą do dyskusji.
W moim rozumieniu, ideą tego forum jest wzajemne dzielenie się wiedzą i pomaganie innym użytkownikom Joomli.
Takie odpowiedzi są nie na poziomie.

- - - Updated - - -

dziękuję uprzejmie za cenne rady


przeskanować całość pod kontem składni złośliwego kodu

niestety przyznaję, że nie wiem jak to zrobić...
czy mogę prosić o jakieś wskazówki?

Gall Anonim
11-09-2015, 23:46
W sieci znajdziesz sporo skanerów online które służą do tego celu, ponad to RS Firewall również szuka niektórych struktur składni typowych dla złośliwego kodu, są skanery identyfikujące również pliki typu images nie będące obrazami - częsta metoda ataku, niektóre z programów antywirusowych do kompów o szerokim spektrum działania mają takie mechanizmy ale to akurat już dość kosztowne zabawki.
Osobiście skupiłbym się na skanerach online dla stron, gdzieś tam jest skrypt bodajże na stronie Trzepiza służący do sprawdzania dat plików, no i RS Firewall - tyle że stronkę to masz chyba odrobinę przestarzałą. Przejrzyj jeszcze przez listowanie pliki gif jpg i png pod kontem nazw jeśli nie znajdziesz skanera weryfikującego ich prawdziwość.

zwiastun
12-09-2015, 00:01
W moim rozumieniu, ideą tego forum jest wzajemne dzielenie się wiedzą i pomaganie innym użytkownikom Joomli.
Takie odpowiedzi są nie na poziomie
Masz słuszne przekonanie. Ale gdy piszesz, że w przeczytanym przez Ciebie artykule nie ma informacji, jak usunąć niechciane złośliwe pliki, to piszesz, niestety irytujące bzdury, wynikające albo z nieuwagi przy czytaniu albo ze złej woli. Moją osobowość proponuję pozostawić w spokoju, zająć się swoją jeśli masz psychologiczne zapędy, i zastanowić się czasem, dlaczego otrzymujesz taką a nie inną odpowiedź. Suponowanie mi w jakiejkolwiek formie, że nie jestem pomocny, jest najzwyczajniej w świecie obraźliwe.

Poniżej cytat z artykułu, w którym według Ciebie nie ma konkretnych podpowiedzi, jak wykryć pliki naruszające integralność serwisu i je usunąć. Postaw się na chwilę w skórze autora jedynego takiego, póki co, pełnego opracowania po polsku, i odczytaj swój post, na który zareagowałem oczywistym żartem, bo chyba nie sądzisz, że podejrzewam Cię o brak umiejętności skasowania pliku.

Zbadaj wszystkie podejrzane pliki

Jeśli nie masz zainstalowanego rozszerzenia monitorującego zmiany w plikach albo zostało ono uszkodzone, skorzystaj ze skryptu wypier.zip [w oryginale link do skryptu], za pomocą którego wygenerujesz listę ostatnio dodanych i zmodyfikowanych plików. Wyodrębnij z paczki plik wypier.php i prześlij go na serwer do głównego katalogu, a następnie uruchom, wywołując w przeglądarce adres: http://twoja_domena.pl/wypier.php. Po stworzeniu listy usuń ten plik z serwera!

Pliki podejrzane to te spośród ostatnio zmodyfikowanych lub dodanych, które prawdopodobnie nie zostały zmienione lub dodane w wyniku typowych działań administracyjnych.

Podejrzane są więc wszystkie pliki w domyślnych katalogach Joomla, które zostały zmienione po ostatnio dokonywanej aktualizacji oprogramowania. Podejrzane są wszystkie pliki dodane do standardowych katalogów Joomla później, niż zostały zainstalowane. Oczywiście, mogły one być dodane w wyniku aktualizacji oprogramowania, ale trzeba to sprawdzić.

Szczególnie dokładnie przejrzyj katalogi, do których przesyłane są grafiki, pliki multimedialne i różne dokumenty (foldery w katalogach /images i /media).

Sprawdź logi serwera

Jeśli dzienniki zdarzeń przechowywane są w bezpiecznej lokalizacji, do której napastnik nie miał dostępu, można będzie z nich odczytać, kiedy, gdzie i w jaki sposób napastnik zdobył dostęp do Twojej witryny, jakie luki wykorzystał. Nawet jeśli nie masz żadnego doświadczenia w czytaniu logów, przejrzyj je. Najpewniej w ciągu kilku minut nauczysz się je czytać. Są to pliki tekstowe. Każde zdarzenie odnotowane jest w jednym wierszu (akapicie). Zwykle mają standardowy format CLF (Commomn Log Format). Oto przykładowy wpis:

127.0.0.1 - - [12/Oct/2012:23:47:26 +0200] "GET /phpinfo/index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 HTTP/1.1" 200 2524
W kolejności od lewej mamy tu następujące informacje: IP serwera zgłaszającego żądanie, prawie zawsze puste zastępniki (- -), data i czas zgłoszenia żądania według uniwersalnego czasu koordynowanego(UTC), plik lub inny zasób żądany od serwera (to pole składa się z trzech sekcji - metody, zasobu i protokołu), kod stanu HTTP, rozmiar przesłanego pliku.

Przeskanuj witrynę

Aby upewnić się, że na serwerze nie ma złośliwego oprogramowania, skorzystaj ze skanerów dostępnych w sieci, np.:

skaner witryn Joomla
www.unmaskparasites.com,
sitecheck.sucuri.net.
www.skan.bezpiecznypc.pl.

Jdwind
12-09-2015, 17:56
Jest jeszcze https://www.virustotal.com/ chyba nawet w posiadaniu google, o ile dobrze pamiętam.