Přihlásit se

Joomla 5.2.2 Security & Bugfix Release

Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.

Další hacklý web

16. srp 2006 11:06 #10296
Další hacklý web od Luboš
Uživatel
www.dukovany.cz/joomla/hack_rkolbabek.com.jpg
Možná by jim to ztížilo přejmenovat si soubor administrator\index.php

Příspěvek editován: lludvik, v: 16/08/2006 11:31

16. srp 2006 11:29 #10298
Odpověď od HonzaG
Moderátor
No a co bylo v logu? Přes co se Ti tam dostali? Podle toho bych zabezpečoval.

HonzaG

::: Nejsem tak bohatý, abych kupoval levné věci... :::

16. srp 2006 12:10 #10304
Odpověď od Roman Kolbábek
Uživatel
No. Ten haknutý jsem byl já. Nevím, proč to tady Cipísek hned "vyžvanil" :)

Log jsem od providera dostal, ale začíná 12.8.2006 a zatím jsem v něm nic neobvyklého nenašel a hlavně se mi ani v té změti asi 6MB moc hledat nechce.

Zdá se mi ale, že se dostali do systému přes Remository. V záloze staré asi dva dny jsem totiž našel v adresáři administrator/components/com_remository dva soubory z 8.8.2006. Jeden se jmenuje xploit (asi 12kB) a druhý p2 (asi 8kB). Zdá se, že se spouští cronem zhruba za týden po napadení. Zajímavé je, že po haknutí už tam tyto soubory nejsou. Takže asi po sobě uklidí. Oba soubory jsou ale v zálohách, takže jednoduchým obnovením webu ze zálohy staré řekněme 24 hodin se web zase za týden hakne.

Nejsem v těchto věcech odborník a možná mi někdo poradíte. Nicméně já jsem remository obnovil z ještě starší zálohy, kde ty dva soubory nejsou, provedl opravu podle forum.mamboguru.com/showthread.php?t=433 (register_globals je na serveru opravdu ON)
a uvidím co bude dál.

Doplněk po dalším zkoumání:

Na 99.9% to bylo opravdu haknuto přes chybu v admin.remository.php Usuzuji tak podle logu, ze kterého plyne, že někdo z adresy 85.108.222.222 docela pravidelně zkouší skriptem FC99 nahrát oba zmíněné soubory. Pokud by měl někdo zájem si log prostudovat, tak ho mám schovaný a oba zmíněné soubory také.

Příspěvek editován: rkolbabek, v: 16/08/2006 13:06

04. lis 2006 08:36 #13065
Odpověď od Jarda
Uživatel
Zdravim,

Mohl bych poprosit o ty soubory a log ??
Posli me to prosim do emailu soltex6@seznam.cz velice dekuji.

Jarda

04. lis 2006 16:15 #13084
Odpověď od Roman Kolbábek
Uživatel
Už jsem ty soubory vyhodil, takže bohužel už nemohu sloužit...

09. lis 2006 20:13 #13226
Odpověď od Luboš
Uživatel
Dnes mi zablokovali doménu pro rozesilani spamu,
bylo to přes /administrator/components/com_remository
tak pozor na Remository 3.25

Powered by Fórum