coś zmienia pliki

[alex51]

Problem z którym się tu zwracam powstał w czasie korzystania z joomli w wersji 1.08, a dotyczy nieuprawnionego transeru pliików z zasobów serwera. Najpierw były znikające konta użytkowników, później 150 usuniętych plików a następnie wszystkie plki okazały się niemożliwe do otworzenia, lub jak w przypadku plików Worda, zawierały same "krzaczki". Na dodatek w ciągu 1 nocy transfer przy zamkniętej stronie dla użytkowników, wyniósł 10 GB danych. Pomoc techniczna dostawcy hostingu znalazła pewien plik, który ich zdaniem był odpowiedzialny za te rzeczy. Plik usunięto. W tej sytuacji zrobiłem uaktualnienie Joomla do wersji 1.011, zaktualizowałem komponenty, moduły itd. uruchomiłem stronę i pojawił sie ponownie problem. Nowo wstawiane pliki (najczęściej pdf) po jakimś czasie stają się niemożliwe do otworzenia, po ich usunięciu i ponownym wstawieniu są jakiś czas w porządku a potem problem sie powtarza. Czy ktoś spotkał się z tego rodzaju przypadkiem, czy jest to atak osoby, czy robota? Jak sobie z tym poradzić?

[stone]

1.Po pierwsze aktualizacja Joomli, upewnienie się czy register globals jest na off.
2.potem jezeli masz cpanel skan konta czy nie ma virusów
3.zmiana wszystkich haseł (zarówno dotyczących konta na serwrze baz danych, maili i kont administarota Joomli)
4.ustawienie chmod na katalogi 755 i na pliki 644

[alex51]

1.Po pierwsze aktualizacja Joomli, upewnienie się czy register globals jest na off.

Joomla wczoraj zaktualizowana z wersji 1.08 do wersji 1.011(obie wersje pobierane tutaj), dostawca hostingu wcześniej informował, że register globals jest na off.

2.potem jezeli masz cpanel skan konta czy nie ma virusów

Mam cpanel, ale nie potrafię znaleźć w nim opcji skanowania konta.

3.zmiana wszystkich haseł (zarówno dotyczących konta na serwrze baz danych, maili i kont administarota Joomli

Zmianę haseł zrobiłem jeszcze przed aktualizacją joomla, też wczoraj.

4.ustawienie chmod na katalogi 755 i na pliki 644

Przez ftp sprawdziłem jeszcze raz, więc główny katalog Public_html mam ustawiony na 750, katalogi wchodzące w jego skład są ustawione na 755, a katalog z plikami (Pobieralnia) ma chmod 744. Wszyskie pliki (luźne) mają chmod 644.

Chciałem jeszcze wcześniej, jak miałem Joomla 1.08 porobić zabezpieczenia z wykorzystaniem htpasswd, ale było to niemożliwe z powodu stale pojawiającego się komunikatu błędu, nie pamiętam jego treści. Na zwrócenie uwagi u providera powiedziano mi abym skorzystał z opcji w CPanelu - "Ochrona folderów". Zrobiłem więc hasła dla siebie i moich 2 adminów
na katalog Administrator. Nie wiem czy na inne katalogi też robić, bo jak spróbowałem np. na katalog modules, to użytkownicy zaczęli zgłaszać, że nie mogą zalogować się na stronie ponieważ pojawia się im dodatkowe okno na wpisanie loginu i hasła do katalogu "modules".
Eksperymentowałem też z plikiem htacess, wpisując do niego fragment kodu, znalezionego na tym Forum:

Kod PHP:

# -FrontPage-
########## Begin - Rewrite rules to block out some common exploits
#                             
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

#  zone h 
deny from  .zone-h.org
deny from  .zone-h.com 
deny from  213.219.122
 
# cyber-warrior.org 
deny from  .cyber-warrior.org
deny from  .cyber-security.org
deny from   80.237.211.8 
Deny from 201.244.38
Deny from 83.130.9.178
Deny from 212.138.113.25
Deny from 212.138.113.23
Deny from cache4-1.ruh.isu.net.sa
Deny from 212.138.113.24
Deny from cache3-2.ruh.isu.net.sa
Deny from cache11-4.ruh.isu.net.sa
Deny from 202.8.85.11
Deny from 222.124.11.98
Deny from 62.148.177.26
Deny from 85.88.1.99
Deny from 85.97.67.181
Deny from 62.139.173.167
Deny from 212.138.113.23
Deny from 62.139.173.167
Deny from 82.129.189.97
Deny from 222.124.11.98
Deny from cache5-1.ruh.isu.net.sa
Deny from 82.145.205.194
Deny from pool-71-247-228-228.nycmny.east.verizon.net
Deny from 71.247.228.228
Deny from 202.65.236.122
Deny from 81.215.171.81
Deny from 85.101.138.179
Deny from 196.1.176.50
Deny from 136.red-83-45-120.dynamicip.rima-tde.net
Deny from 213.63.133.117
Deny from 63.94.224.93
Deny from h19.plesklogin.net
Deny from s2.server4user.de
Deny from seki.lunarpages.com
Deny from 82.165.151.41
Deny from fin01.rackglobal.com 
Deny from s21.domenomania.pl
Deny from u15181562.onlinehome-server.com
Deny from dirgencom.drac.net
Deny from esc79.midphase.com

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti* 


[alex51]

Dodam jeszcze dla poparcia przykładem, że wszystkie pliki z Pobieralni wczoraj zostały przeze mnie zmienione (nadpisane) i po wgraniu były dobre, można je było pobierać i normalnie otwierać. Dzisiaj już tak nie jest. Mimo iż strona z poziomu www jest zamknięta dla użytkowników, z widoku transferu w cpanelu zobaczyłem , że od wczoraj od godziny 18.00 do dzisiaj godz. 6:30 tansfer wzrósł o 45 MB, (cała Pobieralnia zajmuje okło 200 MB). Otwierając pliki pdf otrzymuję komunikat: ...program nie może otworzyć...ponieważ nie jest to obsługiwany typ pliku, lub jest uszkodzony...
Próbując otworzyć dokument Worda otrzymujemy takie przykładowe "krzaczki":

Âi FÁĂđ�*&-f8-¤ �*�*‰
,ŹU€¨BL¬› ƒÖĚ [đt;ďŞ˙/Ý/ö{ yI¬ź"
�*kcĄqr‡@´˜§W
ZGĹ3ş6Fpť$ "...bĂ(r)
"㉉Ň× =t˛]Ť‰müŤť
0ËĄpFÜr˙m
4Ňű˙LŰi €ßqP˝(r)ÎKĐp&i+]ŁÄ"ZŔiFˇżĄiß` ˙
^t$/ŕ'�*5[�*'î ôÖ RÜHÍ"nĚž"3(QcÁ
¦ áô -çG
·<Îx Ĺ ‰Ý"˙ Í›Y ˙˝ěŽ¬Ö˙§§LgyI+ô"p˙ ¸ Ë-µBMI€d@â0F}é2ŢÖ
Ř�*Ę#N›â¸ (ţëp+qČ_,Ŕň?¶p"«ŮÂżc˜yŤˆ¦Ş
ŞÍ; cb ¨Ú«GÔHH6Ü˙ =‹7V°·>{=ˇš« ]•%Lýjš
@ŁjQö�*dŚßą ƒ

ĽPŽ
ďŇG*M9_{˙NÇ˙ŰŽö˙ ÝçţA8"‹Ńäˇű-ŮÔ•ÍáKżJ(tm)`Ó˘C8 #

Miał to być fragment nut i tekstu piosenki Volare.
Wszystko to dzieje się samoistnie pod nieobecność użytkowników i 3 adminów.
Każdy z nas (adminów) przeskanował komputer na obecność wirusów i trojanów i nic nie znaleźliśmy.

[stone]

w cpanelu powinienś mieć coś takiego jak virus scan. A patrzyłeś do logów czy coś tam jest niepokojącego?

[alex51]

Niestety nie ma opcji Virus skan, a co do logów, to trochę przekracza mój stopień umiejętności, ale provider twierdzi że są ślady wejścia do ftp, podczas gdy tylko ja miałem tam jedynie uprawnienia. Mam nr IP, miasto z którego było wejście, informację, ze jest to stałe łącze TPSA DSL, a co z tym dalej robić nie powiedziano mi.

[markooff]

Kurcze tu by sie przydal jakis mariaz przegladania logow + cos na ksztalt tripwire - z opcja monitoringu plikow . JEsli masz dowody na toze ktos uzyskiwal polaczenie ftp z nieuprawnionego IP to mozesz (powinienes) zlozyc skarge na tego kogos do biura obslugi (odpowiedzialnej komorki) jego provisera (W tym przypadku bedzie to mail: abuse@tpnet.pl) z podaniem wszsytkich danych ktore uzyskasz od twojego providera.

Pozdrawiam

[alex51]

Dzięki za informację, już tam przekazałem dane, jakie dostałem.

[alex51]

Chciałbym prosić o sprawdzenie poprawności pliku .htacces:

# -FrontPage-
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
# Block out any script trying to base64_encode crap to send via URL
# Block out any script that includes a <script> tag in URL
# Block out any script trying to set a PHP GLOBALS variable via URL
# Block out any script trying to modify a _REQUEST variable via URL
# Send all blocked request to homepage with 403 Forbidden error!
#
########## End - Rewrite rules to block out some common exploits
#ustalenie 'kolejki waznosci' wyswietlania domyslnego pliku
#index w zaleznosci od rozszerzenia
DirectoryIndex index.php index.html index.htm

########## poczatek - Rewrite rules - blokowanie niektorych
#znanych exploitow
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## koniec
########## Begin - Blokowanie dostepu z adresow IP
#
<Files 403.shtml>
order allow,deny
allow from all
</Files>

# zone h - serwer zliczajacy statystyki wlaman
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122
deny from 62.150.154.23

# cyber-warrior.org - serwer zliczajacy statystyki wlaman
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8

#blokowanie dostepu z adresow IP
deny from 85.102.201.9
deny from 85.103.232.27
deny from 62.150.154.23
deny from 217.16.29.51
#

# cyber-warrior.org
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8
Deny from 201.244.38
Deny from 66.55.151.2
Deny from 72.14.194.29
Deny from 83.17.159.216
Deny from 83.17.159.217
Deny from 83.17.159.218
Deny from 83.17.159.219
Deny from 83.17.159.220
Deny from 83.17.159.221
Deny from 83.17.159.222
Deny from 83.17.159.223
Deny from 83.130.9.178
Deny from 212.138.113.25
Deny from 212.138.113.23
Deny from cache4-1.ruh.isu.net.sa
Deny from 212.138.113.24
Deny from cache3-2.ruh.isu.net.sa
Deny from cache11-4.ruh.isu.net.sa
Deny from 202.8.85.11
Deny from 222.124.11.98
Deny from 62.148.177.26
Deny from 85.88.1.99
Deny from 85.97.67.181
Deny from 62.139.173.167
Deny from 212.138.113.23
Deny from 62.139.173.167
Deny from 82.129.189.97
Deny from 222.124.11.98
Deny from cache5-1.ruh.isu.net.sa
Deny from 82.145.205.194
Deny from pool-71-247-228-228.nycmny.east.verizon.net
Deny from 71.247.228.228
Deny from 202.65.236.122
Deny from 81.215.171.81
Deny from 85.101.138.179
Deny from 196.1.176.50
Deny from 136.red-83-45-120.dynamicip.rima-tde.net
Deny from 213.63.133.117
Deny from 63.94.224.93
Deny from h19.plesklogin.net
Deny from s2.server4user.de
Deny from seki.lunarpages.com
Deny from 82.165.151.41
Deny from fin01.rackglobal.com
Deny from u15181562.onlinehome-server.com
Deny from dirgencom.drac.net
Deny from esc79.midphase.com

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
#The next line modified by DenyIP
order allow,deny
#The next line modified by DenyIP
#deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from 195.114.1.112
deny from 83.21.224.29
deny from 83.17.159.218

[alex51]

Mimo aktualizacji Joomla do 1.0.12, przeniesienia na inny serwer, sprawdzenia pod kątem wirusów wszystkich plików znajdujacych sie na serwerze sutuacja ponownie sie powtórzyła. Wszystki pliki wstawiane na serwer w różnym czasie w różnych dniach w niedzielę 1 lipca raptownie zmieniły swoją datę i godzinę na 01.07.2007 godzina 11:27 do 11:29. Oczywiście są teraz całkowicie zepsute, niemożliwe do otworzenia. Dodam dla przypomnienia, ze Dostęp do katalogu administracyjnego jest zabezpieczony przez htpasswd, plik htaccess ma sugerowane przez Państwa wpisy, hasła są regularnie zmieniane. Chciałbym zapytać co można jeszcze zrobić aby uniemożliwia tego rodzaju ataki, które są jak widać celowymi działaniami mającymi zniszczyć moją stronę;
http://gramsam.pl
Przypuszczam, ze ktoś bardzo złośliwy, prawdopodobnie zarejestrował się u mnie i w jakis, nieznany mi sposób włamuje się na serwer iw jakiś sposób uszkadza wszystkie pliki, czyniąc je nieprzydatnymi. Wszystkie katalogi Joomla są ustawione na 755, pliki na 644, plik configuration.php na 444. Widać nie stanowi to żadnego kłopotu dla włamywacza.
Bardzo proszę o pomoc, jestem prawie załamany, a to co robię na swojej stronie w niczym nikomu nie powinno przeszkadzać, wręcz przeciwnie.