Dziwne pliki na ftp blokada strony

[morelo]

Witam jais czas temu serwerownia zblokowała mi strone na pytnie czemu rozsyłny spam.
Zalogowałem sie na fto a am takie dziwne pliki np
eg752_plik.jpg
http://img20.otofotki.pl/obrazki/eg752_plik.jpg
pousuwałem pliki zmieniłem hasła i mineły 2 tygodnie to samo
mam joomle 1.5.26

jak ie zabezpieczyć przed tym prosze o pomoc ewentualnie link

[zwiastun]

http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu

[morelo]

zwiastun
Dziękuje zapoznałem sie z tym i musze przyznać ze zrobiłem sporo co tam zostało opisane i mam 3 konta na tym serwerze i z wszystkimi był problem tego samego typu blokada i info ze spam rozsyłany wszedze joomla 1.5.26 i info by uaktualić do 2.5. Przyznam że na innym serwerze też mam strony też na 1.5 i nie ma żadnych problemow czy to czasem nie wina serwerowni?

[Bazyl]

zrobiłem sporo co tam zostało opisane

Powinieneś zrobić wszystko + migracja do 2.5.

[zwiastun]

Niestety, "prawie" robi ogromną różnicę.
Najpewniej
- nie odkryłeś źródła - sposobu włamania i nie zabezpieczyłeś przed ponownym włamaniem, bo gdybyś je wykrył i zastosował odpowiednie zabezpieczenie, to włamanie raczej by się nie powtórzyło,
- nie usunąłeś wszystkich zakażonych lub niebezpiecznych plików.
- pozostałeś na zhakowanym serwerze - wprawdzie w artykule na www.joomla.pl nie ma chyba mowy, by się przenieść na inny serwer, ale jest taka wskazówka w krótszym tekście na wiki, do którego odsyłał Cię Bazyl
- nie zainstalowałeś wydanej całkiem niedawno poprawki do 1.5.26, naprawiającej lukę w komponencie Media, umożliwiającą nieautoryzowane, a proste przesyłanie plików na serwer
- nie przebudowałeś witryny, w tym nie unowocześniłeś do nowszej wersji np. 2.5,
- nie zabezpieczyłeś odpowiednimi narzędziami witryny po usunięciu i naprawie skutków włamania.
Nawet jeśli wykonywałeś te działania, to po prostu nieskutecznie, nie w pełni, niedokładnie, "prawie"

A piszesz, że zrobiłeś wszystko.

[morelo]

Niestety, "prawie" robi ogromną różnicę.
Najpewniej
1 nie odkryłeś źródła - sposobu włamania i nie zabezpieczyłeś przed ponownym włamaniem, bo gdybyś je wykrył i zastosował odpowiednie zabezpieczenie, to włamanie raczej by się nie powtórzyło,
2 nie usunąłeś wszystkich zakażonych lub niebezpiecznych plików.
3 pozostałeś na zhakowanym serwerze - wprawdzie w artykule na www.joomla.pl nie ma chyba mowy, by się przenieść na inny serwer, ale jest taka wskazówka w krótszym tekście na wiki, do którego odsyłał Cię Bazyl
4 nie zainstalowałeś wydanej całkiem niedawno poprawki do 1.5.26, naprawiającej lukę w komponencie Media, umożliwiającą nieautoryzowane, a proste przesyłanie plików na serwer
5 nie przebudowałeś witryny, w tym nie unowocześniłeś do nowszej wersji np. 2.5,
6 nie zabezpieczyłeś odpowiednimi narzędziami witryny po usunięciu i naprawie skutków włamania.
Nawet jeśli wykonywałeś te działania, to po prostu nieskutecznie, nie w pełni, niedokładnie, "prawie"

A piszesz, że zrobiłeś wszystko.

Nigdzie nie napisałem że zrobiłem wszystko! ani "prawie" tylko sporo a to ogromna różnica

1 na 90% ftp hasła zmieniłem i tyle
2 usunołem wywaliłem wszystko z ftp i wgrałem kopie z przed roku
3 tak na razie ten sam serwer
4 1.5.26 (security patch) o to chodzi? to zainstalowałem jesli o coś inne to o co?
5 nie i na razie zostaje 1.5
6 dokładnie jakie narzędzia?

[zwiastun]

Tonu Twojej wypowiedzi nie rozumiem. Uzmysławiamy Ci, że na pewno nie zrobiłeś wszystkiego, a zrobić musisz wszystko. Zrobiłeś na "pół gwizdka", masz efekt na "pół gwizdka".
Przecież jeśli Ci piszemy, że czegoś nie zrobiłeś, to nie po to, byś dyskutował, czy sporo to mniej lub więcej niż prawie, tylko po to, byś zrobił, co należy.

1 na 90% ftp hasła zmieniłem i tyle

Mogę tylko pogratulować Ci dobrego samopoczucia.

2 usunołem wywaliłem wszystko z ftp i wgrałem kopie z przed roku

I co z tego, że wgrałeś kopię sprzed roku. Nawet jeśli była czysta, to tylko jeden z elementów przywracania witryny po włamaniu

3 tak na razie ten sam serwer

To Twój wybór, Twoja decyzja. Nie dziwna, skoro nie wiesz, jak nastąpiło włamanie, nie masz pewności, bo skąd, czy inne konta na tym serwerze też nie są pozarażane. Może Ci to trudno zrozumieć, ale napastnik wie o Twojej witrynie i Twoim serwerze wystarczająco dużo i korzysta z tej wiedzy. Zmiana serwera jest jednym z możliwych, choć niekoniecznych zabiegów. Ale skoro zawiodły wszystkie inne zabezpieczenia, to zmiana serwera i przebudowanie witryny jest kolejnym, które należy wykonać, jeżeli chce się rzeczywiście rozwiązać problem.

1.5 nie i na razie zostaje 1.5

To też Twój wybór. Zdaj sobie tylko sprawę, że skoro nie potrafisz tej wersji wystarczająco zabezpieczyć, a do tego ignorujesz w gruncie rzeczy zalecenia dotyczące postępowania po włamaniu, to problemu nie rozwiążesz. I kolejne posty ani na tym, ani na żadnym innym forum nic Ci nie pomogą. Nikt Ci czarodziejskiej różdżki nie da, bo jej nie ma.

6 dokładnie jakie narzędzia?

Tzn. co? - mam Ci jeszcze raz tu przepisać artykuł, który już czytałeś? Mam za Ciebie przejrzeć JED i znaleźć jeszcze inne, jeśli wymienione w artykule Ci nie odpowiadają?

Dziękuję za uwagę.

[morelo]

Jeszcze jedno prosze nie wysyłać mi pw z info naprawie to za tyle i tyle itp isrp na razie jes ok jak będą problemy to jest dział zlece to tam będzie info.

[zwiastun]

Kto Ci wysyła tego typu informacje?
Proszę zgłaszać takie sytuacje administracji. Uczestnicy forum, którzy pozwalają sobie na wysyłanie tego typu wiadomości na PW w przypadku postów nieumieszczonych w dziale "Zlecę" naruszają fundamentalna zasadę tego forum - to jest forum społeczności, na którym podpowiadamy sobie, jak można rozwiązać problem. Jedynym przypadkiem, gdy można oferować swoje usługi, są odpowiedzi na ogłoszenia w dziale zlecę.

Jeśli ktoś tego nie doczytał w regulaminie, niechaj nie szuka. Regulamin nie jest podręcznikiem dobrego zachowania!

PS
Twój post pod moją odpowiedzią może sugerować innym, że otrzymałeś taką ofertę ode mnie. Zważ następnym razem konsekwencje tego, co robisz.

[morelo]

Spokojnie to nie zwiastun ale dostałem taką pw

//usunięta zbędna informacja//