Atak turków - dziwny przypadek, prosze o pomoc

[leonidas]

Witam serdecznie,
Wczoraj w godzinach popołudniowych nastąpił atak na mój serwis, od razu przyaznaje się, że mam nieaktualny silnik joomla bvo wersja 1.08 pl, oraz kilka komponentów także by pasowało zaktualizować - częściowo moja wina. Miałem odpowiednie RG, zapore w htaccess, odpowiednie chmody i kilka innych zabezpieczeń, jednak to i tak było za mało - wiadomo brak aktualizacji tak się mści.
Teraz do rzeczy - atak wygląda następująco,
1) został podmieniony plik index.php i wgrany dodatkowo index.html - więc dokonałem nadpisania plików nowo sciągnietymi z paczki joomla,
2) turek wykasował mi dodatkowo wszystkie pliki poza folderami znajdujące się zaraz po wejsciu przze klienta FTP na serwer, zostawiając tylko zmieniony jak już wcześniej napisałem index.php. - więc wgrałem na nowo z paczki joomla brakujące pliki - niestety to nic nie dało
3) ponadto nie moge zalogowac się do panelu administratora - bład serwera 404.
4) i co najlepsze na koniec - a mianowicie, po wpisaniu adresu strony już po wgraniu nowych plików z paczki zamiast prawidłowego adresu strony np: www.adresstrony.pl wyskakuje następujący www.adresstrony.pl/installation/index.php i tutaj dziwadło - ponieważ następuje przekierowanie na folder installation i plik index.php, którego tak naprawde nie mam na serwerze - więc czyżby w ktorymś z plikó turek dokonał przekierowania ? jednak gdyby tak zrobił to czemu po nadpisaniu ze zdrowej paczki joomla brakujących i zainfekowanych plikó przekierowanie nadal następuje ??
Prosze o pomoc bo naprawde nie wiem jak sie za to zabrac
z góry dziekuje i pozdrawiam serdecznie

[inkos]

Wczoraj w godzinach popołudniowych nastąpił atak na mój serwis, od razu przyaznaje się, że mam nieaktualny silnik joomla bvo wersja 1.08 pl, oraz kilka komponentów także by pasowało zaktualizować - częściowo moja wina.

Coż przykro to powiedzieć. Ten atak to po części Twoja wina. Atak turków na nie tylko polskie strony w Joomla był opisywany jakiś czas temu w Internecie. Gdybyś wtedy zaktualizował Joomle i sprawdził czy nie masz dziurawych komponentów (jakie zainstalowałeś? - podaj liste) może udałoby się go w twoim przypadku uniknąć. RG chmody i inne zabezpieczenia nie zmieniły samej Joomla która w tej wersji ma kilka poważnych problemów związanych z bezpieczeństwem.

Nie piszesz gdzie masz hosting i jakie miałeś komponenty. W chwili obecnej pozostaje Ci przeglądnięcie logów z serwera - może tam być wskazówka przez co nastąpił atak. To tak na przyszłość aby mieć pewność co jest dziurawe i czego nie warto używać. Zaglądnij też na główne forum Joomla forum.joomla.org do wątku Security. Są tam umieszczane wszystkie podstawowe informacje o bezpieczeństwie Joomla a także aktualne problemy użytkowników i ich rozwiązania.

Zamiast wgrywać pliki z oryginalnej paczki poproś swojego dostawcę hostingu o odtworzenie wszystkich plików i bazy sprzed ataku (o ile takie dane istnieją). A jeśli masz taki backup u siebie to po prostu wgraj wszystkie pliki i bazę na serwer. Łatanie pojedyńczych plików nic nie da.

Najlepszym wyjściem byłoby odtworzenie z backupu obecnej wersji strony (nie utraciłbyś swoich danych) i natychmiastowy update do najnowszej wersji Joomla 1.0.13 ktora i tak niedługo też trzeba będzie zaktualizować do wersji 1.0.14 która jest już "w produkcji". Odtworzenie samych danych i starej wersji Joomla i brak aktualizacji może skończyć się ponownym atakiem za kilka dni.

Coż działaj i na przyszłość śledź zmiany i nowości jakie pojawiają się w samej Joomli a także wykorzystywanych przez ciebie rozszerzeniach.