Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
Opet hacknuta Joomla
18. bře 2013 10:03 - 18. bře 2013 10:04 #105618
Ahoj,
potreboval bych poradit od nekoho, kdo se v tom vyzna. Mam pravdepodobne asi zase hacknutou Joomlu. Ted jsem psal na hosting, protoze se nejde dostat ani na web, ani na FTP, proste nikam. Zjistil jsem to ted. Jedna se o stejny web, jako minule. Minule ale web fungoval a udelali si z nej rozesilac emailovyho spamu. Sice na tom webu neni nic dulezite, ale je na stejne IP a stejnem hostingu, jako dalsi, dulezitejsi weby a tak bych potreboval nejak vypatrat, jak se tam dostavaji a nejak se proti tomu branit. Nechci totiz mit hacknuty i weby, na kterych mne zalezi.
V jednom z logu je tohle
a v dalsim tohle
Programovani atd. nerozumim, ale myslim, ze nemusim byt zadny odbornik a tohle bude asi ono, co udelalo problem.
Mam aktualizovane snad vse.
Mohl byste nekdo poradit, pripadne nasmerovat jak a kam zamerit pozornost?
Dik.
potreboval bych poradit od nekoho, kdo se v tom vyzna. Mam pravdepodobne asi zase hacknutou Joomlu. Ted jsem psal na hosting, protoze se nejde dostat ani na web, ani na FTP, proste nikam. Zjistil jsem to ted. Jedna se o stejny web, jako minule. Minule ale web fungoval a udelali si z nej rozesilac emailovyho spamu. Sice na tom webu neni nic dulezite, ale je na stejne IP a stejnem hostingu, jako dalsi, dulezitejsi weby a tak bych potreboval nejak vypatrat, jak se tam dostavaji a nejak se proti tomu branit. Nechci totiz mit hacknuty i weby, na kterych mne zalezi.
V jednom z logu je tohle
Code:
[Mon Mar 18 07:05:43 2013] [error] [client 31.184.244.18] PHP Warning: Unknown: failed to open stream: Permission denied in Unknown on line 0
[Mon Mar 18 07:05:43 2013] [error] [client 31.184.244.18] PHP Fatal error: Unknown: Failed opening required '/var/www/vhosts/xxxxxxx/httpdocs/components/.6rgixg.php' (include_path='.:/usr/share/pear:/usr/share/php') in Unknown on line 0
a v dalsim tohle
Code:
31.184.244.18 - - [18/Mar/2013:07:05:43 +0100] "POST /components/.6rgixg.php HTTP/1.1" 500 263 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.16) Gecko/20120421 Gecko Firefox/11.0"
Programovani atd. nerozumim, ale myslim, ze nemusim byt zadny odbornik a tohle bude asi ono, co udelalo problem.
Mam aktualizovane snad vse.
Mohl byste nekdo poradit, pripadne nasmerovat jak a kam zamerit pozornost?
Dik.
18. bře 2013 10:22 - 18. bře 2013 10:29 #105620
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
Odpověď od karel
Zkušený uživatel
Rozlišujte co už na FTP je (pokus o spuštění), a jak se "to" na FTP dostalo.
S tím, co už na FTP je, už moc nenaděláte - to už je pozdě...
Měl byste řešit, jak se "to" tam dostává.
Pokud to je časově "často" (není to ten samý web, co jste "vy"řešil před týdnem?), nebude problém si projít aspoň ručně logy za posledních X dní (máte k dispozici?)
S tím, co už na FTP je, už moc nenaděláte - to už je pozdě...
Měl byste řešit, jak se "to" tam dostává.
Pokud to je časově "často" (není to ten samý web, co jste "vy"řešil před týdnem?), nebude problém si projít aspoň ručně logy za posledních X dní (máte k dispozici?)
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
18. bře 2013 10:28 - 18. bře 2013 10:29 #105621
Odpověď od radek
Zkušený uživatel
no ja prave potrebuju resit to, jak se to tam dostalo a nyni mam i konecne logy, protoze tehdy to bylo mesic stare. Je to web, kde jsme pred cca tydnem prisli na to, ze pred mesicem tam nekdo vnikl a udelal z toho rozesilac spamu. Potrebuju ale vedet na co se zamerit. V logu je podezrele jen to, co jsem sem dal. Teda aspon mne to prijde divny.
Ja muzu celej web klidne smazat, o to vubec nejde. Jde o to, abych zjistil jak se tam co dostava a hlavne aby to nepreslo na dulezity weby, tady je mne to uplne jedno. To smazu a nainstaluju znovu. Jinak ja tady hacknuti nikdy neresil, jen jsem se minuly tyden ptal co s tim delat, ze se mne neco podobne stalo - ve vlakne o hacknuti.
Jinak FTP jede, je znefunkcnena "jen" domena. Kdyz se totiz pripojuju na FTP pres IP, tak se tam bez problemu dostanu.
Ja muzu celej web klidne smazat, o to vubec nejde. Jde o to, abych zjistil jak se tam co dostava a hlavne aby to nepreslo na dulezity weby, tady je mne to uplne jedno. To smazu a nainstaluju znovu. Jinak ja tady hacknuti nikdy neresil, jen jsem se minuly tyden ptal co s tim delat, ze se mne neco podobne stalo - ve vlakne o hacknuti.
Jinak FTP jede, je znefunkcnena "jen" domena. Kdyz se totiz pripojuju na FTP pres IP, tak se tam bez problemu dostanu.
18. bře 2013 10:31 - 18. bře 2013 10:32 #105622
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
Odpověď od karel
Zkušený uživatel
tak si zjistěte kdy byl soubor vytvořen/upraven, a okolo toho času projděte všechny dostupné logy (ftp, http, ...)
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
18. bře 2013 10:36 #105623
Odpověď od radek
Zkušený uživatel
to uz delam a jedine co jsem zjistil je to, co jsem sem dal. FTP zustalo netknuto i podle logu hostingu. Nahrali jen do TMP nejaky soubory a jeden z nich i do components. Jinak se vse zda ok. Takze jak zjistit, pres co se tam dostali?
18. bře 2013 10:49 #105624
Odpověď od radek
Zkušený uživatel
Po smazani toho souboru web normalne jede. Musel jsem ale take promazat DNS cache u me v PC. Psal jsem totiz amosovi a u nej to jelo bez problemu. Je to cely jakysi divny. Ja to prece jen asi smazu. Ja to chtel nechat, ze se najek prijde na to, kudy tam lezou a zatim nic.