Witam,

Mam problem... Zupełnie nie wiem dlaczego, ale jestem ofiarą wielomiesięcznych ataków na moją stronę. Na początku nie zauważyłem, że coś jest nie tak. Czasem strona ładowała się po prostu dłużej. Dopiero kiedy zaczęło mi wywalać błąd 403, 404 i 500 wraz z linkiem do jakiejś rosyjskiej strony, podjęliśmy działania. Okazało się, że ktoś zuploadował nam na serwerze złośliwe skrypty. Pousuwaliśmy co się dało i przejrzeliśmy logi. Masa ataków z różnych adresów IP na zasadzie POST. Po prostu w ciągu minuty generowało kilkadziesiąt zapytań POST z jednego adresu IP. I tak kilka godzin.

Poblokowaliśmy wszystkie adresy itd jakie znaleźliśmy w pliku .htaccess. Pomogło. Na tydzień. Kolejny atak totalnie zniszczył naszą stronę podmieniając wszystkie pliki z index.php w nazwie. Efekt wyglądał wszędzie mniej więcej tak jak tutaj: http://www.konwenty-poludniowe.pl/forum/

Naprawiliśmy to. Po kilku minutach problem się powtórzył, więc znów wywaliliśmy złośliwy kod i nadaliśmy indexom 755 w CMOD. Następnie w .htaccess wrzuciliśmy gigantyczną bazę IP itd spamerów, złych botów i innego szajsu. Spokój trwał dwa tygodnie. Do wczoraj. Znów POSTowe ataki od 3 - 4 dób, ale od wczoraj na stronie wyświetla się komunikat błędu 500 i Internal Server Error, a dziś zmieniło się to na proste Could not connect to server,

Co ciekawe, strona główna i panel admina działają. Nie działa ŻADNA podstrona. Ani jedna...

Proszę sobie oszczędzić odpowiedzi o przenosinach na nowszą wersję Joomli. jesteśmy w trakcie, ale to jeszcze chwilę potrwa. Deadline miał być do końca roku. Niestety strona leży i kwiczy. Jesteśmy redakcją i bazujemy na informacji. Nie możemy informować ludzi, kiedy strona nie działa, a więc tracimy odwiedzających... Ktoś, coś? Jakby potrzebne było cokolwiek, to proszę o odpowiedź w tym temacie... Wersja Joomli to oczywiście najnowsza 2.5

podjęliśmy działania. Okazało się, że ktoś zuploadował nam na serwerze złośliwe skrypty. Pousuwaliśmy co się dało i przejrzeliśmy logi

Ekhm...
Jeśli coś tu jest potrzebne to specjalista, który usunie przyczynę ataku, a nie skutki.
Tak możecie się bawić do końca świata i jeden dzień dłużej :-)

Po Waszych "działaniach" może być to bardzo trudne i należałoby inaczej podejść do problemu.



Deadline miał być do końca roku

Przenosicie Google + Youtube + Facebooka?

Tylko stronę na nowy serwer i Joomlę 3.X. Najnowszą. Dlatego też nie bardzo chce usuwać wszystkiego i wgrywać na nowo, bo mamy tyle ręcznie edytowanych plików, wlasnorecznych skryptów itd. Że nie miałoby to sensu. Strata kilku dni, podczas których i tak robimy nową stronę. Strona jest budowana trochę na MacGyvera. Oczywiście, to też mogło doprowadzić po części do obecnej sytuacji, jednak zarówno na tym forum, jak i angielskim odpowiedniki znalazłem posty ludzi mających dokładnie ten sam problem. Szukam jakiegoś rozwiązania tymczasowego. Cokolwiek, co mogłoby przywrócić funkcjonalność portalu. Na nowej zastosujemy przepisywanie adresów, żeby pozycjonowania nie stracić, ale jak tak dalej pójdzie, to nie będzie już żadnego pozycjonowania...

Odnoszę wrażenie (być może błędnie), że nie bardzo wiesz, o co chodzi w administrowaniu serwisem :-)


MacGyvera.

On na pewno pomoże...

Pozwoliłem sobie po prostu na luźne wyrażenie. Jak na kogoś kto nie wie o co chodzi, osiągnąłem całkiem nieźle wyniki. 1 pozycja w Google w kilkudziesięciu interesujących mnie frazach i słowach kluczowych oraz stały wzrost osób odwiedzających stronę. I to niemały. Chodziło mi po prostu o to, że ręcznie edytowalismy na przykład styl, żeby wyswietlal jedna kolumnę, a nie trzy, co na przykład poskutkowało złym wyświetlanie szybkiej edycji posta z poziomu strony głównej. Ot takie tam drobnostki.

że ręcznie edytowalismy na przykład styl, żeby wyswietlal jedna kolumnę,
Bez urazy ale żadna rewelacja - twórcy witryn robią to często, gęsto.
A tak na poważnie.
Nie ma opcji ktoś wstrzyknął .....
Jest tylko jedna opcja - niezależnie od tego, jak, gdzie, kiedy i dlaczego - zawsze jest to wina administratora :-)
Przykłady:
Dziurawy hosting - bo administrator na to pozwolił.
Brak kontroli nad dostępami bo właściciel witryny ......... - bo administrator na to pozwolił.
Dziurawe skrypty - - bo administrator na to pozwolił
Włamanie przez nowo odkrytą lukę - bo administrator na to pozwolił - z reguły dobrze zabezpieczona i aktualizowana na bieżąco witryna - obroni się - jest kilka dobrych zabezpieczeń komercyjnych, jest kilka tricków destandaryzujących wrażliwe miejsca witryny.
I co byś nie napisał - zawsze wina administratora - i to nie jest żart, tylko moja osobista ocena.
Ataki DDos- :-) Zabezpieczenia są tak fajne że miałem witrynę która w nocy otrzymała ponad 800 000 wejść - obroniła się ponieważ po każdych 10 w zbyt krótkim czasie automat blokował IP - ono się zmieniało, automat blokował itd.
Finalnie zablokowałem Rosję bo nie była mi do niczego potrzebna.
To tyle z refleksji na temat (powyższy).
================================================== ==
Swoją drogą:
Który hosting?
Dwa miesiące na przejście z 2.5.26 do 3.4.4 oraz naniesienie poprawek i czyszczenie to szmat czasu :-) Zdążysz :-) o ile osoby decyzyjne - będą podejmować decyzje :-)

Szukanie pomocy na forum CMS-u, którego używam. I na co ja liczyłem? Fajnie, ale ja nie szukam winnych. Ba, nawet przyznałem, że to może być po części moja/nasza wina. Nasza, bo mamy trzech informatyków, ale z doskoku. Wiecie, normalna praca, życie prywatne i jak zostanie coś czasu, to pokodują. Ja szukam ROZWIĄZANIA. takiego jak choćby automat, o którym wspomniałeś. W czym mi miała pomóc Twoją wypowiedź? Miała pokazać jakim jestem c***owym adminem, bo zepsułem stronę? No i fajnie. A teraz szukam pomocy w naprawienia tego, a nie wypominania mi.

ręcznie edytowalismy na przykład styl, żeby wyswietlal jedna kolumnę, a nie trzy, co na przykład poskutkowało złym wyświetlanie szybkiej edycji posta

Czyli miałem rację ;-)

- - - Updated - - -


jak zostanie coś czasu, to pokodują

Proszę rozwiązanie: dziękujesz tym trzem, zatrudniasz jednego.
Proste?

No to czytasz bez zrozumienia - zwróciłem uwagę na ewidentne i standardowe błędy a ty odniosłeś to do siebie - i słusznie ale czy wyniosłeś z tego właściwą naukę? Przejmowałem witryny z takim chaosem że się w głowie nie mieści - i szło na udry z właścicielami albo jest po mojemu, albo wcale - finalnie tylko raz klient zrezygnował. W pozostałych przypadkach - witryny, oczyszczone, zmigrowane i ... święty spokój (no może po za jednym przypadkiem gdzie to trwa, trwa i trwa :-) - to właśnie podstawa mojej uwagi o decyzyjności).
Na wiki masz opisane działania po włamaniu - dodaj do tego analizę problemu i możliwe przyczyny aby sytuacja nie powtórzyła się w przyszłości - trzech dochodzących informatyków - jak dla mnie masakra.

Proszę rozwiązanie: dziękujesz tym trzem, zatrudniasz jednego.
Proste?

Fakt, zapomniałem, że sram pieniędzmi przecież :-). Wybaczcie kolokwializm.



Czyli miałem rację ;-)

Dobrze geniuszu. To teraz się popisz i powiedz co można zrobić w mojej sytuacji. Bo jak na razie tylko grasz cwaniaczka.

@Alchelor - nie szalej - nie obrażaj się :-) i innych.
1. Podałeś hosting? - o którą to informację prosiłem.
2. Byłeś na WIKI - i wyszukałeś postępowanie po włamaniu?
- tam jest wszystko opisane - i tutaj najszybciej można to przykleić zamiast pisać od nowa - tylko po co skoro możesz to przeczytać na WIKI?
Pzdr

Swoją drogą:
Który hosting?
Dwa miesiące na przejście z 2.5.26 do 3.4.4 oraz naniesienie poprawek i czyszczenie to szmat czasu :-) Zdążysz :-) o ile osoby decyzyjne - będą podejmować decyzje :-)

Tego wcześniej nie widziałem. Nie zdążę. Sam pracuje tak, że ledwo mi starcza czasu na samą pracę portalu, a co dopiero rozgrzebanie tego. Informatyk nr 1 i 2 studiują i pracują i czasu obecnie mają bardzo mało. A z migracja były potężne problemy, bo bazy nie chciało w ogóle przyjąć. Nad tym babraliśmy się kilka dni w trójkę. Trzeci informatyk natomiast programowe trzy dosyć duże moduły, więc nie ma czasu na inne rzeczy. Tylko dlatego praca stoi. I dlatego też pisze tutaj, bo sprawa pali. Jestem nawet w stanie zleci komuś część roboty za jakieś nieduże pieniądze. Nieduże jak nieduże w sumie. Zależy od punktu widzenia. Dla mnie spore, dla mojego kierownika grosze. Nie moja wina, że nie zarabiam 10 tysięcy miesięcznie, a na każdy grosz pracuje w pocie czoła, gdzie portal, to w tym momencie druga praca. Taka specyfika branży medialnej.

Z tym geniuszem to przesadzasz, z cwaniaczkiem napewno :-D
Odpowiedź dostałeś w moim pierwszym poście.

Żegnam

Na home.pl.

Czytałem wiki. Ocenilem to na 4 dni roboty. Przy siedzeniu non stop, 2 dni. Równie dobrze mogę zrobić nową stronę wtedy, ale wciąż mnie blokuje najważniejszy moduł, który jest niedokończony, a obsługuje główną funkcję portalu. Jak tylko go skończymy, będzie można olać starą stronę.

- - - Updated - - -

PS. Pisze z pracy z telefonu, dlatego nie zawsze zdołam od razu na wszystko odpowiedzieć.

- - - Updated - - -


Odpowiedź dostałeś w moim pierwszym poście.

Właśnie szukam specjalisty na tym forum? God...

1. Czy możesz odzyskać (masz) chodzącą kopię?
2. Czy masz (jesteś w stanie zainstalować) akeeba backup?
3. Jeżeli - 2 lub 3 na tak - musisz mieć kopię którą przeniesiesz na instalację lokalną - najlepiej za pomocą akeeba backup w wersji ZIP
4. Odtworzenie na komputerze lokalnym - polecam Jamp'a
5. Przeskanowanie narzędziami do wyszukiwania złośliwych skryptów i świadome (kontrolowane usunięcie zainfekowanych plików) oraz wykonanie reszty procedur z WIKI.
6. Uzupełnienie usuniętych plików z oryginałów - ze 100% pewnych źródeł (komercyjne rozwiązania jeśli są mają być od ich twórców a nie jakiś tam pobieralni).
Wykonasz te działania - będzie hulało - zrób kopię zapasową, i spróbuj zrobić migrację- nie będzie hulało - odezwij się.

- - - Updated - - -


blokuje najważniejszy moduł, który jest niedokończony, a obsługuje główną funkcję portalu. Jak tylko go skończymy, będzie można olać starą stronę.

1. Uchyl rąbka tajemnicy?
2. Czyszczenie da się zrobić w ciągu kilku godzin (zazwyczaj).
3. Z migracją - to zależy od witryny.
4. Nie szkoda ci indeksów w google? - chyba że to mała witryna i wystarczą przekierowania ale wówczas z migracją raczej nie powinno być problemu - no chyba że rzeczywiście masz tam jakieś mega specyficzne cudo :-)

- - - Updated - - -

AAA
- niezależnie od wszystkiego - pomyśl o przyszłości i właściwym zabezpieczeniu witryny - tak pod względem dostępności osób trzecich jak i zabezpieczeń - to naprawdę mniejszy koszt niż realna strata później.

1. Mam całą stronę postawioną od nowa na 3.x. baza jest nietknięte, trzeba tylko dograć najnowszy content.
2. Mam Akeebę.
3. Migracja jest już właściwie zrobiona, ale rozwiązanie, które opisałeś nie wyłączy strony na czas remontu... Mógłbym wtedy ją postawić od nowa w jakieś dwa dni max... Dziękuję...

1. Chodzi o moduł do wydarzeń. Lista wydarzeń z wejściem do widoku konkretnego plus kilka opcji. Właściwie prosta baza danych w formie tabelki z obsługą dat i kilkoma drobnymi ulepszeniami.
2. Spróbuję wg. Tego co napisałeś wyżej.
3. Migracja już zrobiona. Zostały poprawki do CSSa ogólnego, wgrać potrzebne moduły, w tym ten niezbędny i przepisać URLe. Tylko nie ma kiedy...
4. Zastosuje przepisywanie na pozycjach kalendarza, bo będą nieco inne linki niż w joomli 2.5. Inny moduł zupełnie. A to nasza główna siła, to jest najlepiej pozycjonowane i tych informacji się głównie szuka u nas. Reszta powinna zostać taka sama po pełnej migracji, bo domena pozostanie bez zmian.

Co do aaa. Mamy zamiar dodać kłódkę (https) i myślimy nad CloudFlare. Co do innych zabezpieczeń, to mogę coś poszukać na necie, ale przyznaję, nie znam się na tym. Tak jak kiedyś nic nie wiedziałem o przygotowaniu. Dalej mistrzem nie jestem, ale jak pisałem, pozycjonowanie mamy niezgorsze. Można poprawić, ale to jak jakaś kasa będzie, to kogoś zatrudnię.

Wreszcie ktoś serio pomógł. Bardzo, bardzo dziękuję! Może coś z tego wyjdzie. Mam nadzieję. I tak, nie jestem orłem i nie mam najlepszej ekipy, ale to są ludzie, którzy za darmo poświęcają swój czas, wiedzę i pieniądze, żeby to działało i się rozwijało. W stronę dużo nie inwestowalismy, bo... Działała. No i informatycy często liczą sobie straszne pieniądze, a my wykładamy z własnej kieszeni. Sam portal prawie nie generuje zysków, bo też próbujemy zmienić. Anyway, przepraszam za agresywna reakcje, ale jak ktoś mi pisze, żebym zwolnił ludzi, bez których to wszystko by nie istniało, to mnie krew zalała.

żebym zwolnił ludzi, bez których to wszystko by nie istniało, to mnie krew zalała
tylko że gdzieś został popełniony błąd którego źródłem (nie koniecznie świadomym) może być każdy - również oni ponieważ złośliwy kod mógł się dostać pośrednio z ich komputerów - a akurat studenci nie mają zazwyczaj dostatecznie zasobnych kieszeni i młode priorytety - więc i źródła softu różne a i doświadczeniem bywa różnie.
Sugestia:
Wyczyścić - witrynę.
- jedna osoba z dostępem do ftp
- jeden super user
- akeeba backup - pro - automatyczna kopia = > cron => częstotliwość wynikająca z aktywności zmian
- admin tools pro - indeksacja plików
- rsfirewall - blokady zbędnych IP - nie blokować USA!!!, konfiguracja do rozpracowania
- ukrycie ścieżki dostępu do zaplecza
- zastanów się czy rejestracja samodzielna jest potrzebna - ja nie - wyłączyć, jak tak - wymóg hasła min 8 znaków, min dwie duże litery, min dwie małe, min dwie cyfry, min dwa znaki specjalne + capcha
- komponent szyfrowania haseł w locie /klawiatura - witryna/ - dostępny za free
separacja katalogu - home na to pozwala
To tak na szybko - powinno wystarczyć jak będziesz miał legalne źródła i dbał o aktualizacje oraz kopie zapasowe

Edit:
Nie wiem w ogóle czy wyczyszczenie plików pomoże. Trzeba jakoś zablokować te wywołania. Od kilku dni coś usilnie wywołuje media/php/inst.php
Taki plik oczywiście nie istnieje. Mam jakieś 40 wywołań na minutę... To o czym mówimy tylko wyczyścić to, bo już udało im się napić. Ale co z atakami ddos?