podmienianie pliku includes/defines.php

[rado85]

Witam,

ostatnio dosyć intensywnie walczę z malware na moich stronach. Postanowiłem zakupić program rs firewall (p.s. jak ktoś potrzebuje pomocy to możemy razem powalczyć).

W każdym razi ejetsem troszkę zawiedizony bo mysłałem że bedzi emnie chroniło przed podmianą plików - no chyba ze ja jeszcze bardzo mało wiem o joomla co jest pradopodobne

w każdym razie co chwilę mam ingerencję w pliku includes/defines.php oraz w administrator/includes/defines.php

teraz w pliku includes/defines.php mam oto taką równicę co do orginału:

w linii 9 defined('_JEXEC') or die;@require_once 'components/com_content/models/forms/form.php';

a powinno być w orginalnym pliku:
defined('_JEXEC') or die;

Czy jest się czym martwić? Czy są sposoby na tą modyfikację?

znalazłem taki artykuł. Może być tutaj pomocne?

[zwiastun]

Dopóki nie usuniesz luki w systemie, a tę masz niewątpliwie, nic Ci nie da ani usuwanie podmienionych plików ani oprogramowanie ochronne.
Przytoczony artykuł, owszem, zawiera parę elementarnych informacji i warto go przeczytać. Ale po polsku napisano na ten temat o wiele więcej i o wiele lepiej.
Sugeruję na początek wrzucić w Google "Witryna po włamaniu"

[rado85]

A myślałem, że już może nie ma się czym przejmować,
dzięki!

[etitek]

Przede wszystkim odinstaluj wszystko co ci jest niepotrzebne. Nie trzymaj komponentów, pluginów, modułów z których nie korzystasz. Sprawdź gdzie może być luka i albo ja załataj albo odinstaluj ten dodatek co ma lukę. Jak znajdziesz jakieś pliki lub kody przeszukaj wszystkie pliki przez ftp i posprzątaj.

[robak142]

a jak już sobie z tym poradzisz to napisz dla potomnych co było przyczyną i jak sobie z tym poradziłeś. Przyda się innym.

[rado85]

Witajcie.

dzięki że się interesujecie.

Niestety nie wiem jak sobie z tym poradzić. to o czym pisze elitek robi mi rs firewall. Poskanował nieorginalne pliki joomla, zasyfionione skrypty i wszystko poczyściłem. Mimo to wrzuca mi się ten nieszczęsny defines.php i z tą linijką defined('_JEXEC') or die;@require_once 'components/com_content/models/forms/form.php';

Dokupiłem admin tools, ale w sumie nic nie pomogło. Niby lepiej chroni witrynę, dostaję alerty jak ktoś próbuje na admina wejść i zaraz blokuje (mnie zablokowało kilka razy )

U hostingodawcy home.pl dowiedziałem się że nie ma żadnych logów napisali jedynie:
"jedyna możliwość, która pozostaje to modyfikacja przez ssh/sftp, lub wykonanie operacji przez skrypt php na serwerze, dla ssh operacji nie logujemy w żaden sposób, również dla procesów przeprowadzanych przez skrypty".

Także pewnie jakiś skrypt to wykonuje. Czy może być tak że ta modyfikacja to nic poważnego tylko powstaje w wyniku normalnego działania witryny ?

[mjmartino]

A podstawowe czynności jak zmiana haseł ftp/mysql/user ?

[rado85]

No tak, tylko tak jak pisałem, tego nie widać w żadnych logach więc to chyba kwestia jakiś skryptów które już tam są na serwerze. Zaznaczam, ze ze stronka nic mi się nie dzieje. Już największy syf wywaliłem, chodzi wszystko dobrze. Tylko nie daje mi spokoju czemu ten jeden plik się wrzuca. I te firewalle, admin tools, rs firewall przed tym nie bronią.

[robak142]

Tak jak napisał @zwiastun jeżeli masz lukę, to kwestia czasu, jak problemy wrócą. Po tym co napisałeś wnoszę, że może to być luka w którymś z modułów, pluginów lub w jakimś komponencie. Pomyśl co instalowałeś ostatnio i z jakiego źródła. Upewnij się, że wszystkie dodatki są aktualne.

[rado85]

Admin tools wyrył mi jakies dziwne wejście na

/component/mailto/?tmpl=component&template=gantry&link=eea745aac6a09 dcbe96f758cb632dfb90a90b34b

Więc jakby to było gdzieś powiązane, bo ta zmiana w defines.php odwołuje się do jakiegoś formularza kontaktowego.

Więc wychodzi jakby to było gantry.