Atak na Joomlę , naprawa, zabezpieczenie i co dalej cz.2

[jan1975]

Witam,

Dotyczy http://www.mpolska.eu i subdomen.

Po batalii z wirusami i zabezpieczeniem witryn na stronie głównej i subdomeneach wydawać by się mogło że wszystko jest ok.

Problem pojawia się w odniesieniu do wstrzykiwania niechcianych plików w różnych katalogach zarówno na domenie głównej jak i na subdomenach.

Jak temu dodatkowo zaradzić. Obecnie używam dodatku "spadaj" ale nie zabezpiecza mnie to w 100 % .

Taki mam komunikat : poniżej

Po tym ostatnim ataku pojawiły mi się pliki w katalogu /administrator/components/com_menus/layouts/joomla/searchtools/default/.X1-unix

Jak to wyplewić cholerstwo. Joomla zaktualizowana, komponenty i dodatki też.

Czy ma ktoś problem podobny?


Atak na witrynę metodą POST 2016.01.23 13:49 Z adresu: http://www.mpolska.eu/ IP: 95.181.252.138 Referer: Wysłane z komputera Metoda POST Agent }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O :17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnect Handlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8 :"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"f eed_url";s:162:"eval(chr(101).chr(99).chr(104).chr (111).chr(34).chr(120).chr(121).chr(105).chr(110). chr(105).chr(122).chr(100).chr(97).chr(34).chr(59) );JFactory::getConfig();exit";s:19:"cache_name_fun ction";s:6:"assert";s:5:"cache";b:1;s:11:"cache_cl ass";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"ini t";}}s:13:"\0\0\0connection";b:1;}\xf0\xfd\xfd\ xfd Connection: TE, close
Dane post featured=>2
limit=>26


Atak na witrynę metodą POST 2016.01.25 1:35 Z adresu: http://www.mpolska.eu/ IP: 89.31.140.19 Referer: Wysłane z komputera Metoda POST Agent WordPress/4.3.2; http://www.xn--sthetikstudio-9eb.com Connection:
Dane post 11=>ZWNobyAidGVzdHdvcmR2YmpkZ3VlaSI7
featured=>2
limit=>26

[zwiastun]

Obecnie używam dodatku "spadaj" ale nie zabezpiecza mnie to w 100 % .

Dodatek Spadaj jest wartościowy. Ale gdzie przeczytałeś, że jest to jakiś cudotwórca chroniący witrynę przed włamaniami. Na dodatek w 100%.

Po batalii z wirusami i zabezpieczeniem witryn na stronie głównej i subdomeneach wydawać by się mogło że wszystko jest ok.

Niestety, wydawałoby się, ale nie jest.
Bo witryna nie została
a) naprawiona
b) zabezpieczona odpowiednio
Skoro sam nie dałeś rady, po prostu zleć fachowcom, bo przypuszczam, że nikomu już chyba na tym forum nie chce się tysiące razy powtarzać jednego i tego samego na temat włamań.

[mjmartino]

Tak jak pisze zwiastun jeśli coś again Ci dopisuje na serwer znakiem tego że luka nadal występuje i strona nie jest odpowiednio zabezpieczona.
Ściągnij kopie strony i przeskanuj antymalware lub poproś hostingodawce aby Ci stronę przeskanował

[k@m!l]

Możesz też zainstalować w Admintoolsa. Najlepiej w wersji pro. Zainstaluj, skonfiguruj zaporę aplikacji sieciowych, skonfiguruj i wygeneruj htaccessa, zintegruj z HoneyPot i możesz czuć się znacznie bezpieczniej. Aczkolwiek - to również nie gwarantuje 100% bezpieczeństwa, ale znacznie je podnosi. Poza tym w admintoolsie jest skaner plików php, więc też można w nim wyłapać zmodyfikowane pliki. Także na przyszłość polecam skorzystanie z tego.
Poza tym, staraj się korzystać zawsze z najnowszej wersji Joomli oraz wszystkich dodatków, a także staraj się mieć ustawioną na serwerze odpowiednią wersję PHP (przynajmniej 5.5).
Poza tym x2, warto też zainstalować na czysto gdzieś na boku na nowo joomlę (w tej samej wersji co zaatakowana strona) i doinstalować do niej wszystkie dodatki jakie masz na stronie (też w tych samych wersjach jak na stronie). Później przez jakieś narzędzie do porównywania plików (przykładowo WinMerge) można porównać oba katalogi(jako "lewy" katalog wskazujesz ten z czystą wersją, a "prawy" katalog to kopia strony). I łatwo znajdą się wszystkie zmodyfikowane pliki.