znów infekcja - spam wysyłany ze strony - Strona 2
Strona 2 z 2 PierwszyPierwszy 12
Wyniki 11 do 15 z 15

Temat: znów infekcja - spam wysyłany ze strony

  1. #11
    Przeglądacz
    Dołączył
    18-03-2018
    Wpisy
    34
    Punkty
    2

    Domyślny

    no własnie...na to też wpadłem, że samo wylaczenie opcji komentowania moze nic nie dac. bo pliki zwiazane z komentarzami jako takie beda nadal istniec na serwerze tworzac potencjalna mozliwosc dostepu..
    w katalogu (bez deinstalacji ) zmienilem chwilowo nazwe "com_jcomments" oraz "com_mailto" na inne... czy to moze zablokowac dostep ?

    dzialam dalej..

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #12
    Przeglądacz
    Dołączył
    18-03-2018
    Wpisy
    34
    Punkty
    2

    Domyślny

    wyłączenie mozliwości komentarzy nic nie dało... w kilka sekund po odblokowaniu znów nastapiła akcja wysyłki.. prawdopodobnie zmiana nazw plików była zbyt późna.. teraz wszystko, co nosi nazwy jcomments wylatuje z serwera i popatrze co dalej
    ( przepraszam za ten opis krok po kroku ale komus moze sie przyda ... ostatecznie nie każdy jest zaawansowanym w specyfice tak joomli jak i dzialania skryptow php czy podobnych ..)

  4. #13
    Przeglądacz
    Dołączył
    18-03-2018
    Wpisy
    34
    Punkty
    2

    Domyślny

    czy taki wpis w pliku : $link->setVar('return', base64_encode($returnURL));

    oznacza obca ingerencje ?

  5. #14
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    27 315
    Punkty
    1142

    Domyślny

    nie można tego stwierdzić na podstawie pojedynczego wiersza oderwanego od kontekstu. To oznacza tylko, że masz tutaj zakodowaną za pomocą base64 zmienną $link (dokladniej - polecenie jej rozkodowania)
    Korzystaj i ciesz się!
    ===============
    Zwiastun
    Biblioteka Elektronicznej Dokumentacji Joomla!

  6. #15
    Przeglądacz
    Dołączył
    18-03-2018
    Wpisy
    34
    Punkty
    2

    Domyślny

    jasne...samo base64 jeszcze niczego zlego nie wywołuje , jest to faktycznie aplikacja do kodowania i rozkodowania.... powoli sie człek doucza- po przeczytaniu kilku artykułów słowa base64 wywoływały u mnie dreszcze - jeszcze przy okazji tego wpisu: czy w takim razie "eval" jest tym wyróznikiem ? czy to tez nie musi byc jednoznaczne ?

    ale o czym innym chcialem ..
    nie mając dostępu do strony musialem jakos zablokować ( tak przynajmniej mi sie wydaje, ze zablokowac ) lancuch wywolywany przez "obcy" kod ..( index.php/component/jcomments ) wszystkie nazwy plikow i katalogow zawierajace fraze jcomments zostaly zmienione... to samo zostalo dokonane w bazie danych.
    Zostaly telko nazwy w wersji probnej strony w oddzielnym katalogu ale trasc tego katalogo zostala przeniesiona na glębszy poziom ( czyli zeby do niej trafic nalezaloby jeszcze pokonac dwa dodatkowo wgrane katalogi , bo do drugiego zostala przeniesiona cala zawartosc... ( czyli wersja oryginalna : public_html/katalogX... i tu treść... a w chwili obecnej : public_html/ dodatkowy1/dodatkowy2/katalogX .. i tu tresc )


    Czy z doswiadczenia wynika wam, ze na razie - jako wstepne dzialania - takie rozwiazanie powinno zablokowac dzialanie zlosliwego skryptu ?...
    Licze sie z tym, że "cos jeszcze zostalo w katalogach pierwotnych lecz traktuje to jako test czyli proba eliminacji czegos zeby określic w ktorym obszarze tkwi zło...

    Jeszcze jedno mnie zastanowilo. Wczoraj po pewnych naszych dzialaniach firma hostngowa uruchomila strone na krotko ( opis wyzej , w poprzednich postach ) i zostal wylowiony z kolejki zapis , że nastapil atak w postaci komentarza. Info bylo, ze komentarz zostal ulokowany na stronie ( czyli w tabeli jcomments bazy danych ) lecz po wejsciu z panelu klienta i sprawdzeniu bazy nie stwierdzilismy w tej tabeli obecności tajkowego rekordu ..... Firma hostingowa niczego nie kasowała w bazie danych , my też..Czy istnieje taka możliwość w związku z tym, że komentarz sie nie zapisał , gdyz odpowiednio wczesniej nastapila blokada dostepu czy tez mozna sie doszukiwac tutaj drugiego dna czyli zapis w logach jest fejkiem a skrypt i tak robi swoje i to calkiem inaczej niz sugerowalby to ow zapis odwracając celowo naszą uwage ?...

Strona 2 z 2 PierwszyPierwszy 12

Podobne tematy

  1. Infekcja strony Joomla 1.5 - ganteng
    przez kleik na forum Bezpieczeństwo
    Odpowiedzi: 4
    Ostatni post/autor: 02-12-2016, 17:53
  2. Infekcja strony - link widziany tylko dla google
    przez bialy88 na forum Bezpieczeństwo
    Odpowiedzi: 1
    Ostatni post/autor: 21-09-2016, 00:21
  3. Odpowiedzi: 4
    Ostatni post/autor: 08-06-2016, 14:04
  4. Infekcja strony
    przez Tor_ na forum Bezpieczeństwo
    Odpowiedzi: 3
    Ostatni post/autor: 28-05-2013, 12:11
  5. Kunena 1.6.1 - problem wywołany templatką strony
    przez mjura na forum Komunikacja: fora, czaty, poczta, biuletyny
    Odpowiedzi: 10
    Ostatni post/autor: 24-11-2010, 01:04

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •