Cytuj
podaj ustawienia serwera zgodnie z regulaminem forum
Witam serdecznie wszystkich forumowiczów !
Adminuje na stronie o tematyce religijnej i w ciągu 1 miesiąca miałem dwa ataki !!. Pierwszy raz dotyczył jakiś manipulacji w pliku index i powodowało ładowanie strony z innego serwera. rzut ekranu. Teraz było jeszcze gorzej ponieważ moje Konto zostalo zablokowane za phishing (probe kradziezy danych). Po wpisaniu adresu następuje przekierowanie na http://www.suspended.page/. Proszę o abyście coś poradzili !! :/. Nie mogę sobie z tym sam poradzić.
konto mam na i365.pl
sys. Joomla 1.0.11
podaj ustawienia serwera zgodnie z regulaminem forum
Po pierwsz i najważniej register globals na off
Po drugie aktualizacja do nowaszej Joomli
Po trzecie wszystkie katalogi na 755
Po czwarte przeglad składników dodatkowych czy nie ma ich nowszych wersji
Teraz trudno mi podać ustawienia serwera ponieważ mam przez ten atak dalej zablokowane konto. Po pierwszym ataku zacząłem być bardziej ostrożny, i buszować na forum. Ustawiłem register globals na off w htaccess, zrobiłem wszelkie aktualizacje, ze składników miałem zoom galery rc1, bo rc3 nie mogłem wgrywać zdjęć. Tego nie podaruję i będę starał chodź dojść jak do tego doszło.
Konto mam dalej zablokowane, ale dostałem e-maila że z powodu luki w joomla ich serwer został wyłączony na 2h.
Ostanio edytowane przez edriu : 18-02-2007 10:46
pamiętaj o logach serwera, jak masz do nich dostęp, jak nie to poproś admina
Z tego co mi się udało wyciągnąć od firmy hostingowej to że "za co jest odpowiedzialny ten plik WP1.php ??? i jakie komponenty są najbardziej niebezpieczne ??Witam,
Konto zostanie odblokowane pod warunkiem usuniecia:
/components/secure/nationonline/signon_WP1.php
oraz wszystkich komponentów i dziurawych skryptów
cały katalog secure to jest najprawdopobniej tresc obca, do usunięcia. Jeżeli masz cpanel na serwerze ma on scaner virusów, przeskanuj sobie konto Co do dodatkow http://www.forum.joomla.pl/forum/showthread.php?t=4410
Wreście mi konto odblokowali. tu są moje ostatnie logi serwera, hmm nie znam się za bardzo na nich może ktoś będzie bardziej wiedział jak doszło do ataku ;/ i przez jaki komponent ??:|
Jedynie co mi przykuło uwagę pojawienie się folderu secure w components.
Dziękuje Stone za pomoc !
Virscaner pomógł
public_html/administrator/templates/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_gsg/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/phpMod.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/help.phpPHP.Shell
public_html/components/com_extcalendar/extcalendar.phpTrojan.PHP.C99Shell
public_html/components/ebygallery/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/s/nationonline/letter.phpHTML.Phishing.Bank-1046
public_html/components/com_czsubmit/i.jpg.phpTrojan.PHP.C99Shell
Reguły pisania