Poderzewam włamania na witrynę.

[ramiro]

Witam.
Administruję witryną, na którą (moim zdaniem) są włamania. Wczoraj wszedłem na witrynę aby zaktualizować witrynę i komponenty. Zainstalowałem najnowszą akeeba backup. Mimo iż wcześniej miałem zainstalowaną J! 2.5.3 nie wykrywał mi jej jako zaktualizowanej mimo wyczyszczenia casche. Zainstalowałem Admin Tools'a i nim wykonałem aktualizację Joomla!.
Coś mnie tknęło i wszedłem z ciekawości sprawdzić działania innych administratorów. Żaden z nich (a jest ich jeszcze 2) nie był na stronie około miesiąca czasu, zaś na stronie znajdował się jeszcze jeden użytkownik:
Załącznik 5222
Mimo, iż od samego początku było 3 administratorów tej witryny, teraz nagle znalazł się jeszcze jeden.
Użytkownik (super administrator) ten który widnieje w załączniku miał do mojego loginu dodane "hnO4_" tak samo do adresu e-mail, adres rejestracji i ostatniej wizyty również jak w moim przypadku. Usunąłem użytkownika.
Przejrzałem pliki poprzez FTP. Chmody pliku configuration.php były zmienione na 444. Poprawiłem na 644. Zmieniłem poprzez Admin Tools'a ID administratora. Dodałem hasło .htaccess i .htpasswd około 10 znakowe. Zmieniłem hasło i login do administratora. Dodałem 20 - 25 znakowe hasło do admin tools'a. Dzisiaj staram się wejść na witrynę jest, przechodzę poprzez .htpasswd i jest ok, ale gdy chcę wejść poprzez panel administracyjny login i hasło wpisuje poprawnie mimo to panel logowania widzę nadal nic więcej. Nie mogę się zalogować mimo, iż nie wyświetla mi błędu o loginie ani haśle.
Zalogowałem się poprzez FTP plik configuration.php znów jest ustawiony w chmody na 444.

Sprawdziłem mój komputer. Hijakithis nie wykrył nic szczególnego mimo odznaczenia wszystkich ukrytych plików i folderów. Kilka wpisów usunąłem ale to głównie ask. Combofix nie usunął nic szczególnego i nie wykazał zbyt wiele interesujących wpisów. Wniosek najprawdopodobniej komputer jest czysty. Antywirus włączony i aktualizowany na bieżąco.

W pierwszej kolejności muszę odblokować hasło do administratora ale co dalej?
Panowie i panie bardzo proszę o pomoc.

[zwiastun]

@ramiro, postępowanie po włamaniu jest opisane na wiki. Nikt Ci tu raczej nic nowego nie doradzi.
http://wiki.joomla.pl/index.php/Witr..._w%C5%82amaniu

[ramiro]

Tak rozumiem i dziękuje za przypomnienie. Stawiałem raczej na to, że moglibyście mi podpowiedzieć co jeszcze można zrobić, albo na co zwrócić uwagę.

[PeFik]

Po czy Przed ?

jak się upewnisz, że masz czystą Joomla - instalujesz komponent do ochrony stron, wcześniej zmieniając hasło do FTP i super administratora.

[Karol99]

Użytkownik (super administrator) ten który widnieje w załączniku miał do mojego loginu dodane "hnO4_" tak samo do adresu e-mail, adres rejestracji i ostatniej wizyty również jak w moim przypadku.

Nie przesądzając czy włamanie rzeczywiście miało miejsce, czy też nie - zwracam uwagę, że takie konto pojawia się, gdy w Admin Tools wykonasz zmianę ID superadministratora. W wyniku jest tworzone nowe konto i identycznych danych i nowym (innym) numerze id, a do tego z dotychczasowym id do nazwy i adresu e-mail dopisywany jest losowy przedrostek w tym rodzaju i ten uzytkownik zostaje wyłączony.

Ponadto moim zdaniem chmod 444 dla configuration.php jest jak najbardziej prawidłowy (wydaje mi się, że tak właśnie ustawia go Admin Tools, ale nie mam pewności).

[Jdwind]

444 dla configuration jest jak najbardziej w porządku, ale włamanie miałeś, więc musisz zrobić to, o czym napisał Zwiastun i PeFik.

[ramiro]

Witam.
Przepraszam wszystkich za to, że tak długo nie odpisywałem. Firma hostingowa sprawdziła logi i nie zauważyli nic szczególnego. Ja również sprawdzałem logi i nie zanotowałem niepożądanych połączeń. Zrzuciłem lokalnie i testuje. Skoro nic nie znalazłem zacząłem sprawdzać inne aplikacje. Myśl podsunął @Karol99 i faktycznie okazuje się, że błąd leży po stronie Admin Tool's. Po zabezpieczeniu witryny i zmianie ID administratora program utworzył użytkownika do logowania. Użytkownik był z odpowiednim przedrostkiem, jednak był wyłączony, tak jak wskazuje screen z pierwszego postu. Chmody również zostały zmienione przez AT.

Próbuję walczyć bez odtwarzania witryny z kopii danych. Jak pisałem powyżej usunąłem użytkownika utworzonego poprzez Admin Tool's. Chciałem go przywrócić, albo znaleźć ID z jakim został przypisany. Mimo, iż nie znalazłem w BD próbowałem go przywrócić poprzez dodanie rekordu i losowego ID. Nic to nie pomogło. Innym pomysłem było wyłączenie AT z poziomu BD (pomysł Gall Anonim'a, który starał się mi pomóc za co publicznie serdecznie dziękuje), jednak trochę to dziwne ale i to nie pomogło. W BD w #_extensions wyłączam odpowiednio poniższe wiersze:

System - Admin Tools

plugin

admintools

system

0

0

1

admintools

component

com_admintools

1

0

0

Jak widać wartość wskazuje na wyłączony. Mimo to przy próbach logowania do PA brak reakcji. Nie wyskakuje błąd ani hasła, ani loginu, ale także nie loguje do PA. Przypominam zabezpieczyłem Admin Tool's mocnym hasłem. Podejrzewam, że mimo próby wyłączenia z bazy danych AT hasło, które zostaje wpisywane przy pracy z AT nadal blokuje pełen dostęp do wyłączenia komponentu - chociaż to bardzo dziwne wg mnie.
Czy możecie spojrzeć na to ze swojej strony, może po prostu coś przeoczyłem zapomniałem.

P.S. Po zrzuceniu na komputer lokalny i usunięcia z BD wszystkich wpisów AT nic to nie pomaga. Wiem nie powinno się tak robić ale chciałem spróbować.
Czy w takim razie zostaje mi już tylko napisanie do firmy hostingowej o usunięcie całego katalogu public_html (tak na wszelki wypadek) i wykonanie wszystkie od początku, bądź przywrócenie z kopii zapasowej?

Jeszcze jedna sprawa. Baza danych w joomla zwykle wygląda następująco np przedrostek_menu czyli #_menu. Jednak w bazie danych na hostingu wygląda to trochę inaczej. Część wpisów w bazie ma są jakby łączyły je 2 przedrostki przed modułem. Część bazy danych normalnie czyli, początek bazy danych posiada wartości:

ccc_ccccc_extensions

zaś nie później jest drugi wpis z wartościami:

ccccc_extensions

[Karol99]

Coraz bardziej powątpiewam w to, czy było to włamanie. Gdyby było, to skutki raczej byłyby inne - modne ostatnio przekierowanie na rosyjskie serwery, podmiana treści, instalacja szkodliwego skryptu...

Jak rozumiem z ostatniego postu, praktycznie jedynym niewyjaśnionym - a dolegliwym - problemem jest brak możliwości zalogowania na zaplecze. Takie przypadki już się zdarzały i były opisywane na forum. Zagadkowo jednak w tym kontekście wyglądają te przedrostki w bazie

Ciekawy przypadek (na cudzej stronie) rozpracował np. palyga007. Sprawdź może i u Ciebie ten sposób zadziała. BTW sprawdź też w bazie, czy plugin autentication jest włączony...

PS Czy przy eksperymentach na serwerze lokalnym z usuwaniem wpisów Admin Tools usunąłeś też utworzone przez to rozszerzenie pliki .htaccess i .htpwd z katalogu administrator?

[ramiro]

Coraz bardziej powątpiewam w to, czy było to włamanie. Gdyby było, to skutki raczej byłyby inne - modne ostatnio przekierowanie na rosyjskie serwery, podmiana treści, instalacja szkodliwego skryptu...

Pisałem, że "Ja również sprawdzałem logi i nie zanotowałem niepożądanych połączeń." Wytłumaczyłem wcześniej, najprawdopodobniej nie jest to włamanie. Jak pisałem w pierwszym poście podejrzewałem je, ale nie mówiłem, że jest to na pewno. Gwoli wytłumaczenia ;)

Jak rozumiem z ostatniego postu, praktycznie jedynym niewyjaśnionym - a dolegliwym - problemem jest brak możliwości zalogowania na zaplecze. Takie przypadki już się zdarzały i były opisywane na forum. Zagadkowo jednak w tym kontekście wyglądają te przedrostki w bazie

Tak problemem jest brak możliwości logowania do PA. Normalna podmiana hasła zakodowanego MD5 administratora w rekordzie #_users tu nic nie pomoże.

Rozumiem, że chcesz pomóc i starasz się gdybać mimo wszystko, jednak to nie w tą stronę. Mimo wszystko dzięki za próbowanie

[Karol99]

Sorry, w poprzednim poście widać rozpisałem się za bardzo i Cię znudziłem

Gdybyś doczytał następne dwa akapity - to były tam konkretne rady...