PDA

Zobacz pełną wersję : Ostrzezenie! strona hackerska z ktorej atakuja Joomla



leonidas
13-03-2007, 00:15
Witam serdecznie,

Dzisiaj wieczorem przed chwilka mialem wizyte z tureckiego IP ktory dokonuje ataków , co sie okazalo oprocz IP wyskoczylo mi w statystykach caly adres komponentu ktory chyba dziala jak robot i chcial sprawdzic czy nadal moja strona jest shackowana jak wiadomo hackerzy organizuja sobie rozne konkursy kto wiecej shackuje stron i pozniej takie roboty to sprawdzaja na szczescie usunalem komponent z ktorego mnie zaatakowano i zastosowalem odpowiednie inne zaradcze metody ochrony podaje link strony wersja angielska na ktorej najprawdopodobniej odbywaja sie tego rodzaju konkursy i co poniektorzy uzytkownicy tej strony atakuja : http://www.zone-h.org/ , ponadto podaje caly link komponentu ktory wlasnie pochodzi z tej strony i ktory chcial sie wlamac na moja stronke badz dokonac tylko ogledzin ostatniego ataku: http://www.zone-h.org/component/option,com_attacks/Itemi... tylko tyle adresu niestety widac nie ma pelnej sciezki mimo wsyztsko mysle ze jakos sie to przyda (co ciekawe co nacisnieciu tej sciezki wyskauje strona gdzie pisze ze w dniu dzisiejszym nie zidentyfikowano zadnego ataku

Co o tym sadzicie czy ta moja informacja sie do czegos przyda i warto bylo ja zamieszczac?

pozdrawiam

Dylek
13-03-2007, 00:54
zone-h bylo chyba wspomiane przy okazji opisu blokowania z wykorzystaniem .htacccess

wronahau
19-07-2007, 15:35
Oto moje logi:
85.107.141.85 abhaya.eu - [19/Jul/2007:12:51:28 +0200] "GET /index.php?option=com_expose&Itemid=57 HTTP/1.1" 200 0 "http://www.google.com.tr/search?q=%22index.php%3Foption%3Dcom_expose%22site :.eu&hl=tr&start=20&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:51:34 +0200] "GET /administrator/components/com_expose/uploadimg.php HTTP/1.1" 200 846 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:51:35 +0200] "GET /administrator/templates/khepri/css/template.css HTTP/1.1" 404 319 "http://abhaya.eu/administrator/components/com_expose/uploadimg.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:01 +0200] "POST /administrator/components/com_expose/uploadimg.php HTTP/1.1" 200 537 "http://abhaya.eu/administrator/components/com_expose/uploadimg.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:04 +0200] "GET /administrator/components/com_expose/uploadimg.php HTTP/1.1" 200 846 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:05 +0200] "GET /administrator/templates/khepri/css/template.css HTTP/1.1" 404 319 "http://abhaya.eu/administrator/components/com_expose/uploadimg.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:22 +0200] "GET /components/com_expose/expose/img/phpshell.php.jpg HTTP/1.1" 200 5539 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:22 +0200] "GET /components/com_expose/expose/img/phpshell.php.jpg?img=1 HTTP/1.1" 200 310 "http://abhaya.eu/components/com_expose/expose/img/phpshell.php.jpg" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:22 +0200] "GET /components/com_expose/expose/img/phpshell.php.jpg?img=2 HTTP/1.1" 200 310 "http://abhaya.eu/components/com_expose/expose/img/phpshell.php.jpg" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:37 +0200] "POST /components/com_expose/expose/img/phpshell.php.jpg HTTP/1.1" 200 6181 "http://abhaya.eu/components/com_expose/expose/img/phpshell.php.jpg" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:38 +0200] "GET /components/com_expose/expose/img/phpshell.php.jpg?img=2 HTTP/1.1" 200 310 "http://abhaya.eu/components/com_expose/expose/img/phpshell.php.jpg" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:52 +0200] "GET /components/com_expose/expose/img/phpshell.php.jpg?img=1 HTTP/1.1" 200 310 "http://abhaya.eu/components/com_expose/expose/img/phpshell.php.jpg" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
85.107.141.85 abhaya.eu - [19/Jul/2007:12:52:52 +0200] "GET /components/com_expose/expose/img/phpshell.php.jpg?img=2 HTTP/1.1" 200 310 "http://abhaya.eu/components/com_expose/expose/img/phpshell.php.jpg" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Tak więc widać że Expose gallery była dziurawa (podmienili mi tylko plik index.php na swój).
Po ataku moja strona wyglądała tak:
http://casamaya.ovh.org/images/hack.gif
Pytani: Czy mam więc blokować ten IP 85.107.141.85? Wpisać go w .htaccess czy to coś da? Oczywiście odinstalowałem już Expose gallery.
Zainteresowanym udostępnie szczegółowe logi.

leonidas
19-07-2007, 19:56
Po pierwsze ja masz ustawione na serwerze register globals?, po drugie mozesz sprobowac dodac do htacces blokade tego IP, poza tym wywal ten komponent i zainstaluj najnowsza wersje albo jakis inny bezpieczniejszy

pozdrawiam

wronahau
19-07-2007, 20:00
Register Globals mam na OFF, komponent też już wywaliłem, IP zaraz zablokuję...