Ponowna infekcja witryny
Wyniki 1 do 9 z 9

Temat: Ponowna infekcja witryny

  1. #1
    Bywalec
    Dołączył
    06-04-2008
    Skąd
    Poznań
    Wpisy
    182
    Punkty
    8

    Domyślny Ponowna infekcja witryny

    Witam. Kolejny raz w ciągu paru dni padła strona www.maluch-trophy.pl
    Avast pokazuje JS: Decode-AFL. Google też nie pozwala na otwarcie.
    Nie ma na niej żadnych wodotrysków nawet formularz kontaktowy usunąłem jakiś czas temu.
    Żaden z plików nie miał daty bieżącej choć nie wiem czy to jakiś wyznacznik bo może "przyjaciele" potrafią zmienić zawartość pliku bez zmiany daty. Nie znam się na tym.
    Jak się tego diabelstwa pozbyć ??
    Mam kilka kopii zapasowych ale nie wiem, czy one też nie są zainfekowane.
    W sumie na tym jednym koncie mam 3 strony i wszystkie teraz mają ten sam problem.
    Wiem, że ten serwer nie ma najnowszego PHP bo nowa akeeba nie chciała się zainstalować.

    Jommla 2.5.11

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Wyga alex51 awatar
    Dołączył
    16-01-2007
    Skąd
    Kamień Pomorski
    Wpisy
    3 369
    Punkty
    485

    Domyślny

    Dla php w wersji niższej od 5.3 zalecany jest Akeeba 3.6.12.
    Skoro strony są (cytuję) "bez wodotrysków", to można je postawić na świeżej, czystej instalacji Joomla i przywrócić ich treść na podstawie posiadanych kopii bazy danych. Osobiscie sugerowałbym przeprowadzenie takiej operacji w środowisku lokalnym, by uniknąć ewentualnych problemów z potencjalnie uszkodzonymi tabelami baz danych.

  4. #3
    Bywalec
    Dołączył
    06-04-2008
    Skąd
    Poznań
    Wpisy
    182
    Punkty
    8

    Domyślny

    Takiego zabiegu jeszcze nie robiłem. Tzn nie raz stawiałem z kopii ale całej witryny. Poza tym jak sprawdzić do której kopii wstecz kod nie jest zainfekowany ?
    Czy to, że serwer nie ma najnowszego php ułatwia w jakiś sposób włamania ?

  5. #4
    Wyga alex51 awatar
    Dołączył
    16-01-2007
    Skąd
    Kamień Pomorski
    Wpisy
    3 369
    Punkty
    485

    Domyślny

    Miałem na mysli kopie tylko bazy danych, którą można wykorzystać do rekonstrukcji treści witryny, oczywiście w środowisku lokalnym JAMP lub XAMPP. Procedura byłaby taka:
    1. Wgranie do katalogu rozpakowaną pczkę instalatora Joomla! 2.5.11.
    2. Przygotowanie nowej bazy danych.
    3. Instalacja Joomla! 2.5.11 na nowej bazie danych.
    4. Wykorzystanie posiadanej kopii bazy danych z witryny do wyciagnięcia z niej tabel kategorii (xxx_category) i treści artykułów (xxx_content) i zaimportowania ich w bazie danych w środowisku lokalnym. Wcześniej, dla porządku trzeba odpowiednie tabele usunąć z tej bazy, by nie utrudniały importowania.
    5. Podobnie można importować tabele modułów, menu, użytkowników, szablonów. W zasadzie można też usunać wszystkie tabele z bazy po instalacji na localu i w to miejsce zaimportować całą bazę danych z posiadanej kopii, ale należy sie liczyc z tym, że w bazie danych również mogą być jakieś skutki włamania. Łatwiej jest odtworzyć treść i ją sprawdzić a resztę odtworzyć ręcznie.

    W razie problemów mogę pomóc, ale musiałbym mieć dostęp do zaplecza, ftp i PMA (phpMyAdmin).

    Co do starszej wersji php, to nie sądzę, by mogło to mieć bezpośredni związek z ułatwianiem włamania.

    PS.
    Ponieważ strona została zablokowana przez Google, to dostep do zaplecza jest zbyteczny, wystarczy sama kopia bazy danych lub dane do PMA i ftp.

  6. #5
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    @DeZ: Zapoznaj się z materiałami w dziale Bezpieczeństwo na www.wiki.joomla.pl - zadajesz pytania na poziomie wskazującym na kompletną niewiedzę w tym zakresie.
    Nie masz do czynienia z "ponowną infekcją", a z uszkodzeniem dokonanym nie wiadomo kiedy i nienaprawionym.
    Postępowanie po włamaniu opisane jest na wiki. W Twoim przypadku, niestety, procedura do wykonania w całości - a więc odtworzenie witryny z czystych plików instalacyjnych i podpięcie bazy danych po jej uprzednim dokładnym sprawdzeniu.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  7. #6
    Bywalec
    Dołączył
    06-04-2008
    Skąd
    Poznań
    Wpisy
    182
    Punkty
    8

    Domyślny

    Dzięki za odpowiedzi. Ale spytam jeszcze o jedno. Te 3 strony były uruchomione w 3 katalogach ale na tym samym koncie na serwrze.
    Czy bezpieczniej jest mieć 3 odrębne konta czy to nie ma znaczenia ?

    Zwiastun - wiem, że niewiadomo kiedy stąd pytanie czy da się sprawdzić właśnie "kiedy". Metoda taka na szybko to instalować po kolei z poszczególnych kopii i chyba tak zrobię. W końcu któraś zadziała poprawnie.
    Wiki czytałem nie raz ale przyznam, że ostatnio z rok temu więc pewnie czeka mnie parę niespodzianek.
    Ostanio edytowane przez DeZ : 17-05-2013 15:51

  8. #7
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    Materiały w dziale bezpieczeństwo to dla Ciebie teraz lektura obowiązkowa. Nie pytaj o rzeczy oczywiste. Aktualnie to nie Ty zarządzasz swoją witryną ( i swoim kontem), ale włamywacz. A co takiego i kiedy robi oraz w jaki sposób, to jego słodka tajemnica, a dla Ciebie wyzwanie.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  9. #8
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    Jest pewna ciekawostka z tą stroną - żadne ze skanowań zewnętrznych nie wykazuje nic po za czarną listą google
    Więc mam propozycje - kup sobie pierwszą lepszą domenę w promocji i podepnij pod tą samą stronę - poczekaj z tydzień nie informując nikogo - bo mam wrażenie że ktoś cię nie lubi i się bawi w brzydki sposób - zgłaszając notorycznie witrynę jako zagrożenie a da się tak zrobić aby "zdrowa witryna" była zablokowana - słowo :-)

  10. #9
    Bywalec
    Dołączył
    06-04-2008
    Skąd
    Poznań
    Wpisy
    182
    Punkty
    8

    Domyślny

    Się ludzie "bawią" ...
    Na razie przenoszę na zupełnie inny serwer.

    A z google:

    W ciągu ostatnich 90 dni przetestowaliśmy w tej witrynie następującą liczbę stron: 6. Wyświetlanie 5 z nich spowodowało pobranie i zainstalowanie złośliwego oprogramowania ...

    Czy w tej witrynie działało złośliwe oprogramowanie? Nie, w ciągu ostatnich 90 dni nie było w tej witrynie złośliwego oprogramowania.

    hmmm

Podobne tematy

  1. dziwna infekcja
    przez michalp na forum Sprawy bezpieczeństwa Joomla!
    Odpowiedzi: 17
    Ostatni post/autor: 28-03-2016, 00:47
  2. Strona główna nie działa - Infekcja:JS:Blacole-CY [Expl]
    przez pexerius na forum Bezpieczeństwo
    Odpowiedzi: 2
    Ostatni post/autor: 21-11-2012, 21:33
  3. Ponowna instalacja TinyMCE
    przez Korek1 na forum Instalacja, aktualizacja, migracje
    Odpowiedzi: 9
    Ostatni post/autor: 12-11-2011, 13:44
  4. Ponowna instalacja Joomla
    przez adrian11 na forum Instalacja, aktualizacja, migracje
    Odpowiedzi: 2
    Ostatni post/autor: 23-03-2011, 16:02
  5. ponowna instalacja bez utraty???
    przez nigraS na forum Administracja - ogólne
    Odpowiedzi: 7
    Ostatni post/autor: 08-11-2009, 19:15

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •