Kolejny atak, proszę o pomoc !

**edriu** · 16-02-2007, 20:11

Witam serdecznie wszystkich forumowiczów !

Adminuje na stronie o tematyce religijnej i w ciągu 1 miesiąca miałem dwa ataki !!. Pierwszy raz dotyczył jakiś manipulacji w pliku index i powodowało ładowanie strony z innego serwera. rzut ekranu. Teraz było jeszcze gorzej ponieważ moje Konto zostalo zablokowane za phishing (probe kradziezy danych). Po wpisaniu adresu następuje przekierowanie na http://www.suspended.page/. Proszę o abyście coś poradzili !! :/. Nie mogę sobie z tym sam poradzić

.
konto mam na i365.pl
sys. Joomla 1.0.11

**Rybik** · 16-02-2007, 20:52

podaj ustawienia serwera zgodnie z regulaminem forum

**stone** · 16-02-2007, 21:46

Po pierwsz i najważniej register globals na off
Po drugie aktualizacja do nowaszej Joomli
Po trzecie wszystkie katalogi na 755
Po czwarte przeglad składników dodatkowych czy nie ma ich nowszych wersji

**edriu** · 16-02-2007, 23:01

Teraz trudno mi podać ustawienia serwera ponieważ mam przez ten atak dalej zablokowane konto. Po pierwszym ataku zacząłem być bardziej ostrożny, i buszować na forum. Ustawiłem register globals na off w htaccess, zrobiłem wszelkie aktualizacje, ze składników miałem zoom galery rc1, bo rc3 nie mogłem wgrywać zdjęć. Tego nie podaruję i będę starał chodź dojść jak do tego doszło.
Konto mam dalej zablokowane, ale dostałem e-maila że z powodu luki w joomla ich serwer został wyłączony na 2h.

**stone** · 17-02-2007, 19:41

pamiętaj o logach serwera, jak masz do nich dostęp, jak nie to poproś admina

**edriu** · 20-02-2007, 21:02

Z tego co mi się udało wyciągnąć od firmy hostingowej to że "

Witam,
Konto zostanie odblokowane pod warunkiem usuniecia:
/components/secure/nationonline/signon_WP1.php
oraz wszystkich komponentów i dziurawych skryptów

za co jest odpowiedzialny ten plik WP1.php ??? i jakie komponenty są najbardziej niebezpieczne ??

**stone** · 20-02-2007, 22:34

cały katalog secure to jest najprawdopobniej tresc obca, do usunięcia. Jeżeli masz cpanel na serwerze ma on scaner virusów, przeskanuj sobie konto Co do dodatkow http://www.forum.joomla.pl/forum/showthread.php?t=4410

**edriu** · 20-02-2007, 23:23

Wreście mi konto odblokowali. tu są moje ostatnie logi serwera, hmm nie znam się za bardzo na nich może ktoś będzie bardziej wiedział jak doszło do ataku ;/ i przez jaki komponent ??:|

Jedynie co mi przykuło uwagę pojawienie się folderu secure w components.

**edriu** · 20-02-2007, 23:31

Dziękuje Stone za pomoc !

Virscaner pomógł

public_html/administrator/templates/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_gsg/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/phpMod.phpTrojan.PHP.C99Shell
public_html/components/com_extcalendar/help.phpPHP.Shell
public_html/components/com_extcalendar/extcalendar.phpTrojan.PHP.C99Shell
public_html/components/ebygallery/i.jpg.phpTrojan.PHP.C99Shell
public_html/components/s/nationonline/letter.phpHTML.Phishing.Bank-1046
public_html/components/com_czsubmit/i.jpg.phpTrojan.PHP.C99Shell

**Rybik** · 21-02-2007, 01:53

http://www.narf.shl.pl/hakin9/xss.pdf

Temat: Kolejny atak, proszę o pomoc !

Przybornik

Widok

Kolejny atak, proszę o pomoc !

Reguły pisania