Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
Další hacklý web
16. srp 2006 12:10 #10304
Odpověď od Roman Kolbábek
No. Ten haknutý jsem byl já. Nevím, proč to tady Cipísek hned "vyžvanil" 
Log jsem od providera dostal, ale začíná 12.8.2006 a zatím jsem v něm nic neobvyklého nenašel a hlavně se mi ani v té změti asi 6MB moc hledat nechce.
Zdá se mi ale, že se dostali do systému přes Remository. V záloze staré asi dva dny jsem totiž našel v adresáři administrator/components/com_remository dva soubory z 8.8.2006. Jeden se jmenuje xploit (asi 12kB) a druhý p2 (asi 8kB). Zdá se, že se spouští cronem zhruba za týden po napadení. Zajímavé je, že po haknutí už tam tyto soubory nejsou. Takže asi po sobě uklidí. Oba soubory jsou ale v zálohách, takže jednoduchým obnovením webu ze zálohy staré řekněme 24 hodin se web zase za týden hakne.
Nejsem v těchto věcech odborník a možná mi někdo poradíte. Nicméně já jsem remository obnovil z ještě starší zálohy, kde ty dva soubory nejsou, provedl opravu podle forum.mamboguru.com/showthread.php?t=433 (register_globals je na serveru opravdu ON)
a uvidím co bude dál.
Doplněk po dalším zkoumání:
Na 99.9% to bylo opravdu haknuto přes chybu v admin.remository.php Usuzuji tak podle logu, ze kterého plyne, že někdo z adresy 85.108.222.222 docela pravidelně zkouší skriptem FC99 nahrát oba zmíněné soubory. Pokud by měl někdo zájem si log prostudovat, tak ho mám schovaný a oba zmíněné soubory také.
Příspěvek editován: rkolbabek, v: 16/08/2006 13:06
Log jsem od providera dostal, ale začíná 12.8.2006 a zatím jsem v něm nic neobvyklého nenašel a hlavně se mi ani v té změti asi 6MB moc hledat nechce.
Zdá se mi ale, že se dostali do systému přes Remository. V záloze staré asi dva dny jsem totiž našel v adresáři administrator/components/com_remository dva soubory z 8.8.2006. Jeden se jmenuje xploit (asi 12kB) a druhý p2 (asi 8kB). Zdá se, že se spouští cronem zhruba za týden po napadení. Zajímavé je, že po haknutí už tam tyto soubory nejsou. Takže asi po sobě uklidí. Oba soubory jsou ale v zálohách, takže jednoduchým obnovením webu ze zálohy staré řekněme 24 hodin se web zase za týden hakne.
Nejsem v těchto věcech odborník a možná mi někdo poradíte. Nicméně já jsem remository obnovil z ještě starší zálohy, kde ty dva soubory nejsou, provedl opravu podle forum.mamboguru.com/showthread.php?t=433 (register_globals je na serveru opravdu ON)
a uvidím co bude dál.
Doplněk po dalším zkoumání:
Na 99.9% to bylo opravdu haknuto přes chybu v admin.remository.php Usuzuji tak podle logu, ze kterého plyne, že někdo z adresy 85.108.222.222 docela pravidelně zkouší skriptem FC99 nahrát oba zmíněné soubory. Pokud by měl někdo zájem si log prostudovat, tak ho mám schovaný a oba zmíněné soubory také.
Příspěvek editován: rkolbabek, v: 16/08/2006 13:06
Nejnovější příspěvky
