Shackowali joomlę.. nie wiem co robić, błagam o pomoc!

[inkos]

A jeżeli pliki tego starego serwisu zostały na FTP usunięte, odtworzenie serwisu powiedzie się i tak, tak? Bo skoro to takie proste, to zbuduję teraz serwis na Joomli 1.51, wyłoże 20 zł i przekopiuje teksty.

Jeśli backup został wykonany prawidłowo i zostanie prawidłowo odtworzony to jeśli baza danych nie została naruszona to wystarczy to do uruchomienia strony. Jesli dobrali się także do bazy to i ją trzeba będzie odtworzyć. Oczywiście strona będzie aktualna na chwilę wykonania backupu.

Inna ważna kwestia to logi z Twojego serwera gdyż będzie w nich informacja przez co turcy dostali się do Ciebie. Ważna jest także data modyfikacji pliku index.php który mieści się w głównym katalogu Twojego serwera - to jest data włamu do Ciebie.

Poza odtworzeniem danych poproś administratora o logi od serwera nie tylko z Twojego konta ale i te zapisane w głównym logu serwera.

Z Joomlą 1.5.1 może być niestety tak iż niektóre z dodatków które teraz używasz moga nie działać prawidłowo (nawet w trybie Legacy) więc zastanów się czy nie lepiej zostać na 1.0.14.

[s1ntex]

inkos - Spoko, ale ja potrzebuję tylko komentarze, repozytorium plików więc jakieś dodatki znajdę.

[inkos]

inkos - Spoko.

W takim razie czekamy na efekty odtworzenia i pełne informacje jaki konkretnie dodatek którego używałeś (albo sama Joomla) był powodem tej "wizyty" tureckich "specjalistów" od zabezpieczeń.

[s1ntex]

Wybaczcie, że tak się podpinam, ale zainstalowałem już J! 1.51, i próbuje wgrać szablon, i wgrywam plik .zip z plikami szablonu i mam komunikat:

Warning! - Failed to move file

Cóż robię źle? Proszę o pomoc!

Nie było pytania.. tak to jest jak się pyta, a później szuka.

[zwiastun]

Bezpieczeństwo: najbezpieczniejsza jest zawsze - z założenia - wersja aktualna, 1.0.13 JIE (lub - bez polskiego admina 1.0.14 - na wydanie JIE trochę przyjdzie poczekać, priorytet obecnie ma dokończenie 1.5.1).

Nie musisz polegać na tym, co poniżej napiszę, ale wedle mnie:
Bezpieczne to co dobrze sprawdzone. Miesiąc testowania stabilnego 1.5 to dopiero początek drogi. Zysk, stawiasz od razu na czymś, co będzie rozwijane. Zagrożenie - chyba nie wierzysz w to, że wszystkie luki w systemie zostały już wykryte i usunięte.
W każdej chwili możesz dokonać migracji na 1.5. Co prawda, nie jest bezstratna, ale trzeba mi było wczoraj godziny, żeby migrować polskie wydanie JIE 1.0.13 i doprowadzić do stanu, jak w oryginale.

2. Docman i Remository są już w wersji dla 1.5, ale masz podobną historię. To są nowości, a z nowościami w przypadku oprogramowania rozsądniej jest względnie ostrożnie (względnie, bo trzymanie witryny na J.1.0.12 choć było wydanie nowsze, rozsądne nie była).
Przypuszczam, że dziura znalazła się w Jooget (oparty na starym dziurawym AkoGallery). Z tego, co przeglądałem kod, nie dostrzegłem, by poza podstawowymi poprawkami zadbano o bezpieczeństwo związane z faktem, że komponent służy do przesyłania plików). Ale to tylko przypuszczenie. Jeśli te same turki, które mi spenetrowały joomlaboard, to równie dobrze atak mógł mieć miejsce przez Twoje Fireboard, oparte na tej samej podstawie, choć znacznie zmienione.

Tak, czy siak, trzeba to odkryć!
A co z register globals? Były wyłączone, czy nie? A może jakiś inny dodatek, którego nie wymieniłeś.

PS. Ta propozycja podziękowania to oczywiście był żart. Ale zasadniczo ich qrackerstwo (to q na początku umyślnie) ma naprawdę także swoje dobre strony.

[KOKO]

może pomogę może nie ale zawsze jakaś wskazówka
wczoraj miałem atak na joomle 1.0.11 pl admin pl
chłopaki się podpisały jako

HACKED BY SOVALYE Ownz !! Your Security GeT dOwn
Where The security is none?
Greetz:BY_FATýH & REDMýN & STARTURK
Join us !!
HACKED BY SOVALYE we are: BY_FATýH & REDMýN & STARTURK

co się okazało - wrzucili sobie skrypt pod pierwszy link w menu głównym START który wygląda tak

Kod HTML:

defaced by sovalye
location="http://site.mynet.com/by.sovalye/hacked.html"

Nie pomagało nadpisanie plików index i index2.php i inne znane mi akcje.
Rozwiązaniem było wyłączenie modułu mainmenu no i potem zastąpienie innym.
Nie wiem przez co poszedł atak ale z komponentów jakie mam to Acobook PaxxGallery Joomap i Dockman. Po przeglądnięciu statystyk najwięcej odwołań było do paxxgallery.

Pozdrawiam
KOKO

[inkos]

Kolejny przypadek ataku grupy z tego samego kraju.

Nie wiem przez co poszedł atak ale z komponentów jakie mam to Acobook PaxxGallery Joomap i Dockman. Po przeglądnięciu statystyk najwięcej odwołań było do paxxgallery.

W takim razie winowajców mamy czterech: starszą wersję Joomla, Akobook, paxxgallery oraz na koniec najważniejszego czyli Ciebie ;) gdyż w porę nie zaktualizowałeś tego co powinieneś aby zapewnić podstawowy poziom bezpieczeństwa swojej Joomla. Napisz jaką miałeś konfigurację serwera czy np. register globals było on.

Przeglądnij forum i zobacz ile jest postów choćby Zwiastuna i innych użytkowników którzy przy rozwiązywaniu różnych problemów wskazują też potrzebę aktualizacji do nowszych wersji Joomla? W tym wątku widać iż nie wszyscy wzięli sobie te rady do serca.

[KOKO]

ja swoje witrynki aktualizuje na bieżąco a Zwiastuna czytam jak poranną obowiązkową gazetkę ta stronka była kiedyś pod moim nadzorem i nic się nie działo, teraz zmienił się admin (rotacja kadrowa w szkole hehe) i problemy się zaczęły. Ale telefon w awaryjnych sytuacjach potrafią znaleźć do mnie

A pisząc że shakowali mnie kierowałem się sentymentem autora. ;)

pozdrawiam
KOKO

[s1ntex]

Bartekkk 17:52:15
Skasowal niedawno kopie z tamtego okresu, za pozno sie obejrzelismy :/

I po serwisie..

[inkos]

Bartekkk 17:52:15
Skasowal niedawno kopie z tamtego okresu, za pozno sie obejrzelismy :/

I po serwisie..

:confused::confused::confused::confused: Hm... Można jaśniej????