Włamanie na stronę

[zwiastun]

Ostatnio rozmawiałem z specjalistą od stron to jasno dał mi do zrozumienia żeby uciekać z joomla i wordpressa bo hakerzy nad tymi cmsami najbardziej pracują

To taki specjalista, jak z koziej... trąba!

[Gall Anonim]

Ostatnio rozmawiałem z specjalistą od stron to jasno dał mi do zrozumienia żeby uciekać z joomla i wordpressa bo hakerzy nad tymi cmsami najbardziej pracują.

Spraw mi przyjemność i podaj namiar na tego specjalistę - z chęcią posłucham co ma do powiedzenia.
Hakerzy od lat pracują nad wszystkim co się znajduje w sieci tylko wytłumacz mi jakim cudem ze znanych mi developerów nikt osobiście nie miał takich problemów - owszem spotkałem się ze stronami po ataku ale zawsze było to spowodowanie niefrasobliwością i luzackim podejściem administratorów/klientów.
Całkiem niedawno jeden z moich klientów zadzwonił do mnie z informacją iż pojawiają mu się jakieś dziwne teksty po rosyjsku na stronie i co się okazało?
Pobrał szablon komercyjny za free z jakiejś nie godnej zaufania stronki zamiast zapłacić parę gorszy producentowi. Szablon miał dorzucony złośliwy kod który aktywował się dopiero przy określonej ilości opublikowanych artykułów. A spec od stron najlepiej niech odłączy się od internetu bo nad włamami do kompów hakerzy notorycznie pracują (co zresztą widać na statystykach ataków z komputerów zombie).
Tak więc czekam na namiar na specjalistę :-)

[mjmartino]

Po pierwsze poproś hostingodawce o przeskanowanie konta, bo jak był włam równie dobrze mógł wyjść poza katalog domeny itd.

[etitek]

Serwer mam już wyprowadzony tylko jak widzę ile mam ataków brute force dziennie to mnie to przeraża. Musiałem zblokować kilka państw ale i tak to nie pomaga zbytnio bo przenoszą się na inne państwa i dalej puszczają booty. Aktualizacje mam cały czas wykonywane na bieżąco bo codziennie jestem na panelu administracyjnym. Nie to żebym narzekał na joomla bo ogólnie bardzo lubię ten system ale fakt faktem dużo jest ataków na joomla. Wczoraj próbowali mi chyba coś wstrzyknąć bo miałem próbę ataku. To jest definitywnie atak na jakąś lukę w com_hdflvplayer na szczęście nie mam tego komponentu ale pytanie nasuwa się czy mogą coś wprowadzić za pomocą tego kodu.

Hack Attempt
Requested URI: /component/contushdvideoshare/player/15//components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php
Illegal content within 'get' data
'get' data contained '../../../'

drugi atak

Requested URI: //components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php
Illegal content within 'get' data
'get' data contained '../../../'

[mjmartino]

Nie to ataki bootów które szukają zwyczajnie luk w komponentach, jeśli go nie posiadasz to możesz spać spokojnie.
Jeśli wiesz jaki IP dokonuje ataku dodaj do .htaccess

[etitek]

JP cały czas się zmieniają i tu jest problem.

[mjmartino]

Jeśli strona nie wykazuje objaw zainfekowania.. wiec póki co jesteś bezpieczny.
Za jakiś czas powinno się trochę uspokoić, aczkolwiek nie myśl że jesteś bezpieczny bo tak nie jest. Pilnuj doglądaj poprawiaj a będzie lepiej.

[etitek]

Tylko że ten problem trwa od listopada 2014 Cały czas mam wrażenie że ktoś na mnie poluje bo na tym serwerze mam inne strony i nie są tak atakowane jak dwie które są powiązane z informacjami medialnymi. Policja nie była wstanie namierzyć adresów JP bo wszystko było z poza uni i dali sobie dupy siana więc jestem tylko zdany na siebie. Coraz bardziej zastanawiam się czy nie dać tego jakiejś firmie by czuwała na moim bezpieczeństwem.

[mjmartino]

To puść sita przez Cloudflare lub innego CDNa co oferuje security ;)

[etitek]

Oficjalnie mam wdrożone zabezpieczenia ale jak one działają to licho go wie. A możecie polecić dobrego vpsa z dobrymi zabezpieczeniami ?