Włamania na Joomla

[JooDo]

Witam. Jesatem nowym użytkownikiem forum. Zalogowałem się bo już mam dosyć! Mało nie trafiłem w sądzie - ale to inna historia.

Mówiąc krótko! Używam Joomla 1.5.25 od dość dawna, a od około 2 mies. temu ktoś najwyraźniej się na mnie i na moje serwisy uwziął! Co nie wprowadzę serwisu czy to na J. 1.5 czy na 1.7 to ten serwis pada.. jest hakowany i nie można się na niego zalogowwać. IP. hakera śmiga po całym świecie.. jest raz z malty raz z czech, a raz z pensylwania... z pensylvanii najczęściej i właśnie z tamtąd był pierwszy atak. Przecież nie mogę blokować wszystkich krajów bo to jest paranoja.


Jak wyżej wspomniałem używam J 1.5.25, ale po ataku na jeden z portali zmieniłem na J 1.7 - nic nie dało! Gdzie są dziury? Nie wiem. Wszystko niby wygląda normalnie, ale to pozory. Klienci uważają, że odpierniczam lipe... i zaczynam się zastanawiać.. czy to Joomla jest tak dziurawa czy ten haker ma jakieś tylne wejście.

Pozdrawiam.

Do administracji;
Jeśli temat był to przepraszam, że dubluję - proszę tam przenieść.

[Gall Anonim]

Jasne,
tyle że może napisz jakie zastosowałeś zabezpieczenie?
a. na którym ID jest administrator
b. czy administrator to ktoś inny niż admin
c. czy masz "schowane" logowanie do zaplecza
d. czy masz przynajmniej plugin autorstwa Joli = "Spadaj"
e. czy masz jakiekolwiek zabezpieczenie logowania użytkowników = n.p capcha
f. czy masz zmieniony standardowy panel rejestracji użytkowników i zablokowany standardowy'
g. czy masz założony np komponent do "mocniejszego" szyfrowania haseł
h. czy robisz regularnie kopię zapasową
Może masz coś innego - to napisz co?
Ja stawiam również na to że masz jakieś rozszerzenie z "dziwnego/niesprawdzonego" źródła
Pzdr

[nikszal]

Dorzucę jeszcze kilka rad.

1. Przeskanuj swój komputer dobrym antywirusem.
2. Zainstaluj blokadę ogniową.
3. Zmień hasła do FTP i bazy.
4. Usuń hasła z klienta FTP. Zapisz je w notesie, w papierowym notesie.

EDIT

To że IP hakera jest głównie z USA wcale nie znaczy, że tą osobą nie jest np. Twój sąsiad.

[Jdwind]

Dokładnie, to przypomina dowcip* - baba u lekarza: panie doktorze, gdzie się dotknę palcem tam mnie boli, co to może być? Ma pani palec złamany

[JooDo]

Witam.

Nie pisałem o zabezpieczeniach bo moim zdaniem to jest rzeczą oczywistą, że trzeba " jakieś " mieć.
Na jednym z portali był to dodatek " spadaj " oczywiście była robiona kopia zapasowa. Był ukryty config.. co uważam również za zabezpieczenie. Samo logowanie było podstawowe / modyfikowane. Być może w tym był błąd.

Komputer się skanuje codziennie ( takie mam ustawienia ) , firewall jest ustawiona. Jeśli jeszcze chodzi o zabezpieczenia to raz w tygodniu były zmieniane przyrostki. Wszelkie dodatki, których używam wg. mnie nie są przypadkowe bo są ze strony http://extensions.joomla.org/ Wiwm, że i tam trafia się " dziadostwo" ale dobierając coś.. chyba każdy stara się dobierać rzeczy, które zdały już wcześniej egzamin u nas lub u kolegów.

Jeszcze o skanowaniu... skanowane były wszystkie serwery po każdym ataku i to jest bardzo uciążliwe bo zagraża nie tylko tym serwisom na joomla, ale takze innym, które dzierżawiom na serwerze hosting.

Jeśli chodzi o IP atakującego to oczywiście wiem, że to możę być mój sąsiad...Sprawdzalem ostatnio szczelność niektórych serwerów i jest wiele takich z których można korzystać bez problemu. Są to zwłaszcza prywatne, małe serwery, słabo zabezpieczone pod które można się podpiąć lub odbić.

ad.
a. początkowo 62, potem zmienione
b. administroator ( nazwa ) był user-em, admin ( nazwa nie istniała ). Jeśli doprze zrozumiałem pytanie
c. logowanie było, lecz fikcyjne
d. akurat dodatek " Spadaj " był zainstalowany oraz przekierowanie logowanie. Logowanie na linku
e. capcha - niestety.. nie, a wiem, że powinienem
f. nie
g. tak.. był to komponent, którego nazwy nie pamiętam, ale był on bardzo rozbudowany i nadawał hasło i login przez Restrict Area dla zaplecza, prócz tego zmieniał przyrostek i ma wiele innych funkcji.
h. kopia zapasowa oczywiście jest

niszkal uważasz, że TC może mieć " wadę " tzn.. włamania mogą być przez TC?

Jdwind, a mi to bardziej przypomina bardziej film: " Nic nie widziałem, Niec nie słyszałem "

Pozdrawiam

Pozdrawiam

[nikszal]

niszkal uważasz, że TC może mieć " wadę " tzn.. włamania mogą być przez TC?

Czy to jest pytanie retoryczne? Poszperaj trochę na forum na temat TC.
Jeśli to wina TC, to najprawdopodobniej masz również "syf" na dysku swojego komputera.

Komputer się skanuje codziennie ( takie mam ustawienia )

Ja miałem na mysli dobrego (komercyjnego) antywirusa, a nie skanowanie "czymś tam". Codzienny skaning nie jest całościowy i bardzo wiele zależy od konfiguracji samego antywirusa, bo być może pomija niektóre typy plików.

[JooDo]

nikszal przepraszam, za niepoprawne napisanie Twojego loginu - wszystko z rozpędu.

Skan komputera jest całościowy, a poczta skanuje się non stop. Po zakończonej pracy o odpowiedniej godzinie komputer się skanuje, potem zostaje wyłączony i czeka na kolejny dzień pracy. Skanowanie całego komputera. Wiem, że to jest uciążliwe, ale pod koniec dnia i tak już nie mam ochoty do pracy więc może się skanować, a ja powoli kończę rozbebrane rzeczy. Antyvir jest dość dobry, płatny, nowa wersja. Używam tez innego, na innych jednostkach i porównuje. Ten drugi jest free lecz wg. mnie też dosyć dobry jak na darmową wersję. Odpowiadam po co używam free - aby porównać i w późniejszym czasie ewentualnie zaoszczędzić.

Jeśli chodzi o TC i kompa, to ta jednostka jest wyłącznie do pracy - jak w każdej pracy są przerwy na głupoty
TC używam od czasów, gdy dinozaury panowały na ziemi i uważam, że jest on OK i nigdy nie miałem z nim problemow. Dinozaury już wymarły i może czas zmienić TC na coś innego? Nie wiem..robaczymy.

Pozdrawiam

[mila]

@JooDo, Poradziłeś sobie z problemem? Jeśli tak to może napiszesz co było przyczyną - ku przestrodze. Ja obstawiam, że Twój problem wziął się stąd, że w TC miałeś zapisane hasła do FTP serwera (o czym zresztą wspominał już nikszal).

[zwiastun]

Tyle, że problem nie wziął się z TC, a ze słabej ochrony komputera (dostało się doń oprogramowanie szpiegowskie) oraz z postępowania użytkownika, który a) mógł przechowywać hasła b) na dodatek niezaszyfrowane

[PeFik]

1) Robi się pełny backup
2) zmienia hasła do FTP
3) zgrywa kopię na dysk - przeszukuje antywirusem , potem ręcznie - w zależności od efektu są odpowiednie działania.
4) sugeruje zainstalować komponent do ochrony RSFirewall lub inny

---------- Post dodany o 23:07 ---------- Poprzedni post był o 23:06 ----------

p.s.

Mało nie trafiłem w sądzie - ale to inna historia.

Opowiedz proszę.