PDA

Zobacz pełną wersję : Kompletny pad witryny. czy to atak czy jakiś błąd?



wujek_zed
23-12-2015, 15:32
Cześć!

Spotkała mnie dziś niemiła sytuacja.

Zamiast strony www widzę jedną linię kodu:


<center><form method=post><input style='margin:0;background-color:#FfF;border:1px solid #fFf;' type=password name=xhbcoqsp></form></center>

NA witrynie nie było nic robione. tzn kilka dni temu był update do 3.4.6 i wszystko było OK. Nagle strona przestała działać. dziś zrobiłem up do 3.4.7 ( admin działa bez problemu)

ale na stronie nic poza tą jedną linią.

Nie widzę znamion żadnego ataku, ale też nie jestem aż tak obeznany w temacie.

Ktoś ma pomysł co to może być?

Z góry dziękuję.

Pozdrawiam


Piotr

moje
24-12-2015, 01:00
A link do strony?

wojtasxx4
29-12-2015, 11:07
Dokładnie mam to samo - ten sam kod. Jak przywróciłeś dostęp do admina?

wojsmol
29-12-2015, 11:31
wojtasxx4 Jaki hosting oraz wersja Joomla?

wojtasxx4
29-12-2015, 13:31
home.pl - wersja przed updatem 3.4.6

wojsmol
29-12-2015, 14:31
wujek_zed To samo pytanie co do wojtasxx4

wojtasxx4
29-12-2015, 15:03
Podejrzewam, że to jakiś hack - bo strona biała, ale jak się podświetli to jest miejsce do wpisania hasła, obecnie przyglądam się plikom, przygotowuję kopię zapasową do przywrócenia strony.

wojsmol
29-12-2015, 15:16
wojtasxx4 Atak jest bardzo możliwy, przez to, że kod w obu przypadkach jest taki sam szukam punktów wspólnych.Obaj zapoznajcie się z tym (http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu) artykułem.

KID
29-12-2015, 16:34
Dokładnie mam to samo. Nie działa ani front (http://pro-wital.pl/) ani zaplecze.
Przeszukanie całego serwisu po frazie "xhbcoqsp" oczywiście nie daje żadnego wyniku.
Jutro odtwarzam witrynę z kopii. Na razie włożony jest jamss do głównego. Praktycznie w całości podmieniony został katalogi libraries cześć komponentów i modułów. Nic to nie dało.

wojsmol
29-12-2015, 17:02
@KID Podaj hosting i wersję Joomla.

KID
29-12-2015, 17:49
Hosting Digital Ocean
Ubuntu 15.04 (GNU/Linux 3.13.0-24-generic x86_64)
System information as of Tue Dec 29 10:45:51 EST 2015
System load: 0.02 Processes: 89
Usage of /: 45.5% of 19.56GB Users logged in: 0
Memory usage: 53% IP address for eth0: 162.243.68.137
Swap usage: 18%


Joomla ver 3.4.8
http://pro-wital.pl/jamss.php

Stoi tam parę innych serwisów, ale pozostałe działają okej. Problem jest tylko z tym jednym. W ostatnich dniach był atak jquery.min.php ale z tym dałem sobie radę. Tutaj zgłupiałem...

wojsmol
29-12-2015, 19:50
@KID jams pokazuje niespodzianki według wzorców #21 i #1, dodatkowo podmień szablony frontu i zaplecza.

wojtasxx4
29-12-2015, 21:37
Podmieniłem wszystko co było możliwe na nowe pliki, nie wyświetla dalej admina ani strony - tylko ten formularz na hasło.

wojsmol
29-12-2015, 21:50
wojtasxx4 Przydałby se adres strony, możesz podesłać na PW.