[Rozwiązane] Atak hakerski na stronę
Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 19

Temat: Atak hakerski na stronę

  1. #1
    Bywalec
    Dołączył
    26-01-2011
    Wpisy
    177
    Punkty
    10

    Domyślny Atak hakerski na stronę

    Witam

    Strona przestała działać http://zsnienowice.pl

    Dostałem maila od hostingu:

    Strona łączy się do zewnętrznych serwerów:
    php-cgi 14225 magdakud 6u IPv4 948638375 0t0 TCP s19.linuxpl.com:35496->statica
    icajfajfgd.prohost.pl:http (SYN_SENT)
    Prawdopodobnie jest to skutek włamania na stronę i modyfikacji plików.
    Wynik skanera antywirusowego umieszczę w pliku wirusy09042019.txt po zakończeniu skanu
    .

    W pliku wirusy09042019.txt mam info:

    > ./plugins/system/404log/404log.php:
    > {HEX}Malware.Expert.FilesMan.3.UNOFFICIAL FOUND
    > ./layouts/libraries/cms/html/bootstrap/mod_config.php:
    > {HEX}Malware.Expert.generic.eval.67.UNOFFICIAL FOUND




    Czy może ktoś podpowiedzieć za co dokładnie odpowiadają te strony php?
    Plik 404log.php ściągam na dysk ale brak dostępu
    Z kolei plik mod_config.php otwiera się ale dużo zakodowanej treści
    Czy w grę wchodzi w ogóle podmianka plików na oryginalne?

    Była próba przywrócenia plików i bazy z 31 marca ale już wtedy był problem
    Na Akeebie mam backup z 3 stycznia, trochę stary

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Senior Bazyl awatar
    Dołączył
    02-08-2008
    Skąd
    Skierniewice
    Wpisy
    7 423
    Punkty
    549

    Domyślny

    Wpisz w wyszukiwarkę: Joomla postępowanie po włamaniu

  4. #3
    Bywalec
    Dołączył
    26-01-2011
    Wpisy
    177
    Punkty
    10

    Domyślny

    Jak najbardziej będę próbował przywrócić kopię ale jak widać ta hostingowa też zarażona a moja własna stara

    Czy jak przywrócę pliki ze stycznia a bazę zostawię aktualną czy strona będzie działać?

    Chciałem też podjąć próbę wykasowania treści złośliwych z tych plików.
    Do log404.php nie mam dostępu
    Plik mod_config.php ma treść mniej więcej taką:

  5. #4
    Senior Bazyl awatar
    Dołączył
    02-08-2008
    Skąd
    Skierniewice
    Wpisy
    7 423
    Punkty
    549

    Domyślny

    Cytat Wysłane przez damianprz Zobacz wiadomość
    Czy jak przywrócę pliki ze stycznia a bazę zostawię aktualną czy strona będzie działać?
    Być może tak, jeśli infekcja była później...
    Widzę, że poruszasz się raczej po omacku.
    Myślę, że szkoda Twojego czasu ;-)

  6. #5
    Bywalec
    Dołączył
    26-01-2011
    Wpisy
    177
    Punkty
    10

    Domyślny

    OK Powiem siostrze żeby ogłosiła śmierć szkolnej strony

  7. #6

  8. #7

    Domyślny

    Przy takich sytuacjach sprawdzaj wersję nie tylko Joomli ale i wszystkich dodatków które zostały użyte.
    Włamanie nie zawsze oznacza że wina leży po stronie joomli a jest to dodatek który inie był aktualizowany.

    Też abyś wiedział co się dzieje ze stroną proponuję monitorowanie strony czy pliki nie są w jakiś sposób modyfikowane. To naprawdę ułatwia pracę i szybciej zareagujesz na zagrożenie a nie dopuszczasz do sytuacji że kilka backapów wstecz jest już zainfekowane. W takiej sytuacji trzymanie backupu mija się z celem. Dodatkowo aby zmniejszyć ryzyko utraty dużej ilości informacji ponieważ musisz przywrócić stronę z backapu który jest parę miesięcy wstecz warto robić regularnie backup samej bazy danych. W zależności od ilości zmian na stronie może to być nawet raz dziennie. Wówczas całość waży mniej i łatwiej jest wszystko przywracać.

    Przyznasz się jaką wersję Joomli Ci zaatakowali?

  9. #8
    Bywalec
    Dołączył
    26-01-2011
    Wpisy
    177
    Punkty
    10

    Domyślny

    No pewnie, co mam się nie przyznać
    Teraz wyszła 3.9.5 a tam była jeszcze 3.9.4 chyba

    Strona nie jest moja tylko siostry, ja jej ją stworzyłem a ona redaguje bo obsługa Joomli jest prosta i nie trzeba być programistą aby używać Joomla
    Na innych stronach miałem Akeeba Backup a siostrze to tak kiedyś zainstalowałem gdy się nudziłem i zrobiłem backup - to było właśnie chyba 3 stycznia

    Hosting robi kopię plików co tydzień a kopie bazy codziennie 2 tygodnie wstecz
    Niestety kopia plików z 31 marca też zainfekowana

    Czyli pliki z 3 stycznia i baza z 10 kwietnia zadziałają razem?

  10. #9
    Senior Bazyl awatar
    Dołączył
    02-08-2008
    Skąd
    Skierniewice
    Wpisy
    7 423
    Punkty
    549

    Domyślny

    Cytat Wysłane przez damianprz Zobacz wiadomość
    Czyli pliki z 3 stycznia i baza z 10 kwietnia zadziałają razem?
    Nie możesz sprawdzić po prostu?
    Kto może wiedzieć, co się działo między styczniem, a kwietniem...

  11. #10
    Bywalec
    Dołączył
    26-01-2011
    Wpisy
    177
    Punkty
    10

    Domyślny

    Jestem na etapie kasowania starych plików - sporo zdjęć a w sumie wszystko waży prawie 3GB - długo to trwa
    Później wgrywanie plików kopii zapasowej od Akeeba - też prawie 3GB
    Dopiero później będę wiedział czy to działa ale chodzi mi o coś innego

    Mam pliki strony i mam bazę danych - w międzyczasie nie zmieniam żadnych haseł itd. tylko dodaje artykuły i wrzucam zdjęcia przez FTP.

    Czy jeśli bazę danych zostawię a wgram pliki które skopiowałem ręcznie na dysk np miesiąc wcześniej (kopia zapasowa) czy strona powinna działać?
    zakładając że nie było żadnych poważnych zmian czy ataków hakerskich
    Wiadomo nie będzie tych zdjęć najnowszych i np będzie jakiś artykuł i pewnie wyświetli się ale bez zdjęć - będzie trzeba dograć nowe pliki

    I w drugą stronę, jeśli mam pliki i np wrzucę bazę danych - kopia 30 dni do tyłu to czy strona też powinna działać?
    Tutaj z kolei zdjęcia nowe byłyby ale nie byłoby nowych artykułów siedzą zawsze w bazie

Strona 1 z 2 12 OstatniOstatni

Podobne tematy

  1. Atak na stronę utworzyło nowe podstrony
    przez Jedrzowski na forum Bezpieczeństwo
    Odpowiedzi: 1
    Ostatni post/autor: 22-11-2017, 13:53
  2. Atak na stronę - zlecenie usługi
    przez Agni na forum Bezpieczeństwo
    Odpowiedzi: 1
    Ostatni post/autor: 15-12-2015, 11:47
  3. Atak hakerów na stronę www.
    przez ats2008 na forum Administracja - ogólne
    Odpowiedzi: 2
    Ostatni post/autor: 04-07-2013, 23:05
  4. Atak na stronę SEJEAL
    przez fredy1 na forum Bezpieczeństwo
    Odpowiedzi: 2
    Ostatni post/autor: 24-01-2013, 23:39
  5. Atak na stronę, prosze o pomoc w poprawnym rozpatrzeniu logów
    przez Mitek na forum Sprawy bezpieczeństwa Joomla!
    Odpowiedzi: 4
    Ostatni post/autor: 06-08-2009, 19:15

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •