Strona stwarza zagrożenie! Co jest ;/
Wyniki 1 do 4 z 4

Temat: Strona stwarza zagrożenie! Co jest ;/

  1. #1
    Przeglądacz bebzon_hc awatar
    Dołączył
    25-05-2008
    Skąd
    Rawicz
    Wpisy
    82
    Punkty
    11

    Domyślny Strona stwarza zagrożenie! Co jest ;/

    Witam! Mam mały problem...
    Strona jest postawiona na joomli 1.5 (wiem, że to niezbyt dobrze ;/ ) i była zaatakowana 3 dni temu za pomoca SQLi. Google uznało stronę jako stwarzającą zagrożenie. W ten sam dzień zostały usunięte wszystkie zainfekowane pliki i wywalone podejrzane iframe. Poprosiłem google o ponowną weryfikację. Na następny dzień dostałem wiadomość od googli, że wszystko jest ok. Jednak informacja w przeglądarkach (np. firefox - czerwony ekran) wyśtępuje nadal. Co mam jeszcze zrobić? Przeleciałem wszystko w necie odnośnie zabezpieczeń i wykonałem wszystko tylko ta informacja zostaje ;/
    Jakie porady?

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    Mimo wszystko sprawdź stronę przez skanery online - to że "wyczyściłeś" stronę to jedno, ale jaką masz pewność że usunąłeś "dziurę" faktycznie - to drugie. Może nastąpił już ponowny atak.
    Sprawdź proszę dokładnie.
    Napisz dokładnie któą masz wersję Joomla 1.5.???
    Napisz jakie masz zabezpieczenia.
    Napisz czy ID administratora to 62 - czy inne, czy dalej admin to admin?
    Pzdr

  4. #3
    Przeglądacz bebzon_hc awatar
    Dołączył
    25-05-2008
    Skąd
    Rawicz
    Wpisy
    82
    Punkty
    11

    Domyślny

    Stronę skanowałem na:
    http://www.unmaskparasites.com
    http://sitecheck.sucuri.net/scanner/
    https://www.sparktrust.com
    i wszystko wypada pozytywnie...

    Przeglądałem również za pomocą: http://aw-snap.info/file-viewer/

    Wersja joomla to: Joomla! 1.5.26 Stable

    ID administratora to nie 62 i nie ma użytkownika admin.

    Plik .htacces blokuje dostęp do wszystkich katalogów. Ustawienia CHMOD są ustawione na pliki 644 i foldery 755.

    Jak doszło do ataku?
    Kiedy się zorientowaliśmy zgłosiliśmy to do hostingu i otrzymaliśmy logi z ataku. Na moje ktoś skorzystał z luki w komponencie com_tag i standardowego przedrostka jos_ w bazie danych (przedrostek został już zmieniony jak i wszystkie hasła do serwerów). Odwoływał się również do szablonu templates/rhuk_milkyway, oraz do szablonów w folderze administrator templates/khepri (wszystkie zbędne szablony zostały usunięte). i w taki sposób wyciągnął login i hasło do pierwszego w kolejce użytkowników (tabeli jos_usera) głównego administratora.

    Oto exploit z loga:
    GET /index.php/?checked=rnd16sec&option=com_tag&controller=tag&ta sk=add&article_id=-260479/**//*!union*//**//*!select*//**/concat(username,0x3a,password,0x3a,usertype)/**//*!from*//**/jos_users/**/&tmpl=component

    GET /templates/rhuk_milkyway/css/template.css HTTP/1.1" 404 238 "http://ADRESWWW.PL/index.php/?checked=rnd16sec&option=com_tag&controller=tag&ta sk=add&article_id=-260479/**//*!union*//**//*!select*//**/concat(username,0x3a,password,0x3a,usertype)/**//*!from*//**/jos_users/**/&tmpl=component

    - - - Updated - - -

    Zapomniałem dodać, że wrzucił również plik o nazwie rist.php do katalogu tmp (który również został usunięty). Był również dziwny plik w folderze administrator/includes o nazwie header.php oraz footer_h.php.

  5. #4
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    Daj na priv (PW) adres strony

Podobne tematy

  1. Strona nie jest znajdowana przez wyszukiwarkę google
    przez ted na forum Optymalizacja, wydajność
    Odpowiedzi: 10
    Ostatni post/autor: 26-01-2013, 22:38
  2. Czy ta strona jest bezpieczna
    przez Sanktum na forum Bezpieczeństwo
    Odpowiedzi: 4
    Ostatni post/autor: 10-06-2012, 00:22
  3. Strona główna nie działa, reszta jest OK
    przez arek66 na forum Bezpieczeństwo
    Odpowiedzi: 6
    Ostatni post/autor: 29-05-2011, 20:54
  4. gdzie jest ta strona.... prosze o pomoc
    przez Dakota na forum Rozszerzenia - problemy z obsługą, zarządzaniem
    Odpowiedzi: 0
    Ostatni post/autor: 04-05-2008, 02:34
  5. Strona nie działa, a jest zainstalowana
    przez TrickmaN na forum Instalacje (Joomla!, składników)
    Odpowiedzi: 4
    Ostatni post/autor: 17-12-2007, 17:03

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •