PDA

Zobacz pełną wersję : [Rozwiązane] Atak hakerski na stronę



damianprz
10-04-2019, 09:17
Witam

Strona przestała działać http://zsnienowice.pl (http://zsnienowice.pl/)

Dostałem maila od hostingu:

Strona łączy się do zewnętrznych serwerów:
php-cgi 14225 magdakud 6u IPv4 948638375 0t0 TCP s19.linuxpl.com:35496->staticaicajfajfgd.prohost.pl:http (SYN_SENT)
Prawdopodobnie jest to skutek włamania na stronę i modyfikacji plików.
Wynik skanera antywirusowego umieszczę w pliku wirusy09042019.txt po zakończeniu skanu.

W pliku wirusy09042019.txt mam info:

> ./plugins/system/404log/404log.php:
> {HEX}Malware.Expert.FilesMan.3.UNOFFICIAL FOUND
> ./layouts/libraries/cms/html/bootstrap/mod_config.php:
> {HEX}Malware.Expert.generic.eval.67.UNOFFICIAL FOUND



Czy może ktoś podpowiedzieć za co dokładnie odpowiadają te strony php?
Plik 404log.php ściągam na dysk ale brak dostępu
Z kolei plik mod_config.php otwiera się ale dużo zakodowanej treści
Czy w grę wchodzi w ogóle podmianka plików na oryginalne?

Była próba przywrócenia plików i bazy z 31 marca ale już wtedy był problem
Na Akeebie mam backup z 3 stycznia, trochę stary

Bazyl
10-04-2019, 09:39
Wpisz w wyszukiwarkę: Joomla postępowanie po włamaniu

damianprz
10-04-2019, 10:06
Jak najbardziej będę próbował przywrócić kopię ale jak widać ta hostingowa też zarażona a moja własna stara

Czy jak przywrócę pliki ze stycznia a bazę zostawię aktualną czy strona będzie działać?

Chciałem też podjąć próbę wykasowania treści złośliwych z tych plików.
Do log404.php nie mam dostępu
Plik mod_config.php ma treść mniej więcej taką:
http://oi63.tinypic.com/1euptx.jpg

Bazyl
10-04-2019, 10:13
Czy jak przywrócę pliki ze stycznia a bazę zostawię aktualną czy strona będzie działać?

Być może tak, jeśli infekcja była później...
Widzę, że poruszasz się raczej po omacku.
Myślę, że szkoda Twojego czasu ;-)

damianprz
10-04-2019, 10:34
OK Powiem siostrze żeby ogłosiła śmierć szkolnej strony :)

Bazyl
10-04-2019, 10:37
;-)))))))))))))))))))))

rkonik
10-04-2019, 10:56
Przy takich sytuacjach sprawdzaj wersję nie tylko Joomli ale i wszystkich dodatków które zostały użyte.
Włamanie nie zawsze oznacza że wina leży po stronie joomli a jest to dodatek który inie był aktualizowany.

Też abyś wiedział co się dzieje ze stroną proponuję monitorowanie strony czy pliki nie są w jakiś sposób modyfikowane. To naprawdę ułatwia pracę i szybciej zareagujesz na zagrożenie a nie dopuszczasz do sytuacji że kilka backapów wstecz jest już zainfekowane. W takiej sytuacji trzymanie backupu mija się z celem. Dodatkowo aby zmniejszyć ryzyko utraty dużej ilości informacji ponieważ musisz przywrócić stronę z backapu który jest parę miesięcy wstecz warto robić regularnie backup samej bazy danych. W zależności od ilości zmian na stronie może to być nawet raz dziennie. Wówczas całość waży mniej i łatwiej jest wszystko przywracać.

Przyznasz się jaką wersję Joomli Ci zaatakowali?

damianprz
10-04-2019, 11:07
No pewnie, co mam się nie przyznać
Teraz wyszła 3.9.5 a tam była jeszcze 3.9.4 chyba

Strona nie jest moja tylko siostry, ja jej ją stworzyłem a ona redaguje bo obsługa Joomli jest prosta i nie trzeba być programistą aby używać Joomla
Na innych stronach miałem Akeeba Backup a siostrze to tak kiedyś zainstalowałem gdy się nudziłem i zrobiłem backup - to było właśnie chyba 3 stycznia

Hosting robi kopię plików co tydzień a kopie bazy codziennie 2 tygodnie wstecz
Niestety kopia plików z 31 marca też zainfekowana

Czyli pliki z 3 stycznia i baza z 10 kwietnia zadziałają razem?

Bazyl
10-04-2019, 11:30
Czyli pliki z 3 stycznia i baza z 10 kwietnia zadziałają razem?

Nie możesz sprawdzić po prostu?
Kto może wiedzieć, co się działo między styczniem, a kwietniem...

damianprz
10-04-2019, 11:40
Jestem na etapie kasowania starych plików - sporo zdjęć a w sumie wszystko waży prawie 3GB - długo to trwa
Później wgrywanie plików kopii zapasowej od Akeeba - też prawie 3GB
Dopiero później będę wiedział czy to działa ale chodzi mi o coś innego

Mam pliki strony i mam bazę danych - w międzyczasie nie zmieniam żadnych haseł itd. tylko dodaje artykuły i wrzucam zdjęcia przez FTP.

Czy jeśli bazę danych zostawię a wgram pliki które skopiowałem ręcznie na dysk np miesiąc wcześniej (kopia zapasowa) czy strona powinna działać?
zakładając że nie było żadnych poważnych zmian czy ataków hakerskich
Wiadomo nie będzie tych zdjęć najnowszych i np będzie jakiś artykuł i pewnie wyświetli się ale bez zdjęć - będzie trzeba dograć nowe pliki

I w drugą stronę, jeśli mam pliki i np wrzucę bazę danych - kopia 30 dni do tyłu to czy strona też powinna działać?
Tutaj z kolei zdjęcia nowe byłyby ale nie byłoby nowych artykułów siedzą zawsze w bazie

Bazyl
10-04-2019, 11:57
Jeżeli nic nie siedzi w bazie, to powinno zadziałać, ale - jak sam zauwazyłeś - nie będzie zdjęć.
Ale to do końca nie rozwiązuje Twojego problemu ;-)

damianprz
10-04-2019, 12:05
Jeżeli nic nie siedzi w bazie, to powinno zadziałać, ale - jak sam zauwazyłeś - nie będzie zdjęć.
Ale to do końca nie rozwiązuje Twojego problemu ;-)

Jakoś rozwiązuje bo zdjęcia siostra ma w katalogu na dysku twardym, kwestia dorzucenia brakujących plików na serwer.
Najważniejsza jest tu baza i treść artykułów bo to praca i czas

damianprz
11-04-2019, 08:45
Czy ktoś ma doświadczenie w grywaniu backupu przez Akeeba Kickstart?
Mam problem taki że próbowałem już 3-4 razy i proces się zatrzymuje i stoi
Za każdym razem w innym miejscu.
Podejrzewam że nazwy plików mogą bruździć i serwer nie chce ich przyjąć.
Siostra nazywała pliki np. Święta wielkanocne.jpg czyli używała spacji i polskich znaków - ona jest nieformowalna.

1) Czy można wgrywać pliki kickstartem nie prosto na serwer a rozpakować je na dysk a później ręcznie wrzucać na serwer?

2) jakie powinny być ustawienia kickstarta? może tu mam coś źle
Directly czy ręczne wpisywanie serwera FTP itd?

rkonik
11-04-2019, 18:19
Czytając twoje wpisy ta większość jest zgadywanką.
Przyczyn zatrzymywania się procesu przywracania plików z backapu może być kilka. Najlepiej sprawdź w logach co się dzieje jak rozpakowujesz. Może to być np uszkodzone archiwum, jakieś ograniczenia serwerowe.

Tak możesz przywrócić ręcznie archiwum na swoim kompie. Jeżeli masz plik zip to jest najprościej, wystarczy rozpakować.
W innym przypadku skorzystaj z Akeeba eXtract

damianprz
12-04-2019, 14:29
W porządku, szukam po omacku, moja wiedza w temacie nie jest duża, ok
Ale za kretyn zrobił kickstarta, który zatrzymuje się z jakiegoś powodu nie wyrzucając przy tym błędu dlaczego się to zatrzymuje.

rkonik
12-04-2019, 15:04
Poszukaj w logach serwera może tam znajdziesz informację co się dzieje. W innym wypadku to jest zgadywanka. Przyczyn zatrzymywania się może być wiele bez sprawdzania i czytania logów to błędzisz po omacku i będziesz błądził dalej bo to jest zgadywanka.

terra
13-04-2019, 00:13
zwiększ parametr php.ini upload_max_filesize= i post_max_filesize= np na 20M

adam.lachut
15-04-2019, 15:32
Okazało się że infekcja na tym koncie ciągnęła się (przynajmniej) od prawie 2 lat - to udało się potwierdzić, a z wywiadu wynika że jeszcze wcześniej mogło mieć miejsce privilege escalation na J! <3.6.5.

Dodatkowo trochę mało miejsca: po wrzuceniu plików archiwum akeeba (zainfekowanych) obok istniejącej instalacji brakowało już miejsca na rozpakowanie, więc jeżeli dołożymy do tego zmodyfikowane uprawnienia do niektórych plików (brak zapisu), to problem z odzyskiwaniem z archiwum gotowy :)

Ostatecznie udało się posprzątać, połatać i wykonać aktualną kopię.

A.

damianprz
16-04-2019, 13:48
Dzięki wielkie za pomoc i przybliżenie tematu