Opet hacknuta Joomla

Ahoj,

potreboval bych poradit od nekoho, kdo se v tom vyzna. Mam pravdepodobne asi zase hacknutou Joomlu. Ted jsem psal na hosting, protoze se nejde dostat ani na web, ani na FTP, proste nikam. Zjistil jsem to ted. Jedna se o stejny web, jako minule. Minule ale web fungoval a udelali si z nej rozesilac emailovyho spamu. Sice na tom webu neni nic dulezite, ale je na stejne IP a stejnem hostingu, jako dalsi, dulezitejsi weby a tak bych potreboval nejak vypatrat, jak se tam dostavaji a nejak se proti tomu branit. Nechci totiz mit hacknuty i weby, na kterych mne zalezi.

V jednom z logu je tohle
a v dalsim tohle

Programovani atd. nerozumim, ale myslim, ze nemusim byt zadny odbornik a tohle bude asi ono, co udelalo problem.

Mam aktualizovane snad vse.

Mohl byste nekdo poradit, pripadne nasmerovat jak a kam zamerit pozornost?

Dik.

Rozlišujte co už na FTP je (pokus o spuštění), a jak se "to" na FTP dostalo.

S tím, co už na FTP je, už moc nenaděláte - to už je pozdě...
Měl byste řešit, jak se "to" tam dostává.

Pokud to je časově "často" (není to ten samý web, co jste "vy"řešil před týdnem?), nebude problém si projít aspoň ručně logy za posledních X dní (máte k dispozici?)

no ja prave potrebuju resit to, jak se to tam dostalo a nyni mam i konecne logy, protoze tehdy to bylo mesic stare. Je to web, kde jsme pred cca tydnem prisli na to, ze pred mesicem tam nekdo vnikl a udelal z toho rozesilac spamu. Potrebuju ale vedet na co se zamerit. V logu je podezrele jen to, co jsem sem dal. Teda aspon mne to prijde divny.

Ja muzu celej web klidne smazat, o to vubec nejde. Jde o to, abych zjistil jak se tam co dostava a hlavne aby to nepreslo na dulezity weby, tady je mne to uplne jedno. To smazu a nainstaluju znovu. Jinak ja tady hacknuti nikdy neresil, jen jsem se minuly tyden ptal co s tim delat, ze se mne neco podobne stalo - ve vlakne o hacknuti.

Jinak FTP jede, je znefunkcnena "jen" domena. Kdyz se totiz pripojuju na FTP pres IP, tak se tam bez problemu dostanu.

tak si zjistěte kdy byl soubor vytvořen/upraven, a okolo toho času projděte všechny dostupné logy (ftp, http, ...)

to uz delam a jedine co jsem zjistil je to, co jsem sem dal. FTP zustalo netknuto i podle logu hostingu. Nahrali jen do TMP nejaky soubory a jeden z nich i do components. Jinak se vse zda ok. Takze jak zjistit, pres co se tam dostali?

Po smazani toho souboru web normalne jede. Musel jsem ale take promazat DNS cache u me v PC. Psal jsem totiz amosovi a u nej to jelo bez problemu. Je to cely jakysi divny. Ja to prece jen asi smazu. Ja to chtel nechat, ze se najek prijde na to, kudy tam lezou a zatim nic.

Klidně to smažte. "Zajímavé" pro Vás jsou jen informace o souboru, nikoliv soubor samotný. Ponecháním souboru nezjistíte, jak se soubor na hosting dostává, jen umožníte jeho vykonání.

No my jsme mu nastavili prava 000, takze by to nemelo nic udelat. Stejne je to fakt divny, protoze se do administrace dostanu, ale jakmile se to prepne na xxx/administrator/index.php, tak se do adminu nedostanu.

Asi smaznu celou Joomlu, ale jak zabranit tomu, aby se neco podobny neopakovalo? Hlavne na tech dulezitejsich webech?

"... ale jak zabranit tomu, aby se neco podobny neopakovalo? Hlavne na tech dulezitejsich webech? ..."

Po takových otázkách a odpovědích, jedině najít si někoho, kdo tomu rozumí.

Proto jsem se ptal tady. Myslim si, ze by to mohlo zajimat vic lidi. Protozze hacku pres editory je pomerne dost.

Kaslu na to, smazal jsem to cely. nema smysl se v tom babrat.

Co takhle zablokovat IP adrese přístup na web? změnit hesla atd...

Jestli reagujes na me a cely sis to cetl, tak prunik ke mne nebyl pres zadny hesla, ale pres neco v editoru. Takze zmenou hesel ani zakazem IP niceho nedosahnu. Navic web je uz davno predelanej.

Po tom, ja mne napadli pres jednu diru (pravdepodobne neaktualizovany JCE) behem pul hodinky vsech cca 30 webu postavenych na CMS Joomla (1.5 i 2.5) jsem se rozhodl hledat taky nejake reseni, abych pripadne dalsi napadeni eliminovat.
Samozrejme po radnem procisteni vsech skodlivych souboru, ktere byli nahrane jsem zmenil vsechny hesla (utok byl cilen i na zmenu hesla super admina), odinstaloval vsechny zbytecne a nevyuzivane doplnky, zaplatal vsechny potrebne doplnky a po tezkem vyberu na poli firewallu pro Joomlu nasadil Admin Tools Professional. Po radnem nastudovani manualu, ktery je opravdu rozsahly a vsevysvetlujici jsem tento vynikajici bezpecnostni nastroj nasadil na vsechny weby. Mohl bych vam tady prilozit cele strany logu, jak tento nastroj zachytava temer vsechny typy utoku. Az kdyz jsem na vlastni oci videl z logu, jak casto se mi "nabouravaji" na weby, nechapal jsem, jak jsem mohl byt cele ty roky bez Admin Tools. A k tomu je firewall jen jedna cast celeho reseni. Opravdu skvela prace od tvurce Akeeba Backup
Tot me doporuceni.

Já mám také problém s jedním webem. Rozesílal se z něho SPAM a bylo tam asi 8 souborů infikováno malwarem. Ten web je pracovní, nicméně mě děsí představa, že by mi to vniklo na 20 důležitých webů. Takže také něco hledám.

Porovnával jste Admin Tools třeba s RS Firewall nebo OSE Antihacker? Případně s nějakými free produkty? V čem vyhrálo Admin Tools Profesional?

Díky moc za info. Martin

Ano, uvedena reseni jsem porovnaval, samozrejme jen na zaklade recenzi uzivatelu. Bohuzel test porovnani jednotlivych reseni vuci beznym typum utoku existuje jen z pred par let a tim se jiz aktualne ridit neda. Jelikoz jsem resil cca 30 webu, dulezita byla pro mne i cena za multilicenci, kde je jasnym vitezem Admin Tools. Taky je tady vyhoda cz prekladu pro "neanglictinare" a hlavne rozsahly manual, ktery Vam opravdu pomuze s kazdym nastavenim. Zatim produkt odvadi svelou praci a odchtil dle logu jiz spusty pokusu o prunik.