Idea Hack joomly z zobaczsobie.pl - prosím o pomoc! :(

07. srp 2015 15:48 - 07. srp 2015 15:50 #122969

Hack joomly z zobaczsobie.pl - prosím o pomoc! :( od Jiří Drozen

Začátečník

Dobrý den,
dnes se mi někdo pokoušel 3x hacknout joomlu 2.5 ..stalo se mi to u dvou webů.
Vždy z adresy "něco"@zobaczsobie.pl. Dotyčnému se podařilo vytvořit do Joomly uživatelský účet (3x), jednou dokonce i aktivní!!.
Dozvěděl jsem se to náhodou, když mi dorazil na email tento email (viz níže), s pokyny pro nového uživatele..

Prosím Vás o pomoc, netušíte, jak se to mohlo stát, co by mohlo být zanedbáno?? Účet a web mám u Wedosu, ale nezdá se mi, že odtud vane vítr.

Děkuji mnohokrát za jakýkoliv poznatek nebo radu.. uvítám i odpornou pomoc za úplatu:)!!

Hello Bessie Romo,

Thank you for registering at "adresa webu-záměrně skryto".. Your account is created and must be activated before you can use it.
To activate the account click on the following link or copy-paste it in your browser:
--adresa pro aktivaci uživatele--

After activation you may login to --adresa webu-- using the following username and password:

Username: bessieromo653302019
Password: XzA9SFdR

07. srp 2015 16:21 #122971

Odpověď od Jiří Drozen

Začátečník

Tak už jsem prolezl forum, ale mám verzi menší než 2.5.7 (našel jsem na C4 navod na úpravu .htaccess tak jsu na to:)
..ale netušíte, jestli to má s touto bezpečnostní dírou souvislost?? (tzn, že se někdo pokusí si udělat účet a přihlásit se do administrace?)
Jak prosím toto ještě jinak řešíte? Jsem začátečník a přiznám se, každá rada dobrá..

Děkuju!

07. srp 2015 17:02 #122972

Odpověď od Bong

Moderátor

Bezpečnostní díra se kterou to souvisí je celá vaše Joomla včetně nainstalovaných rozšíření :-)

. Takže my to řešíme tak, že aktualizujeme a o Joomlu a rozšíření se staráme.

Zaktualizujte všechno a teprve potom řešte. Nazapomeňte si po aktualizaci Joomly a VŠECH rozšíření v nastavit: Možnosti správce uživatelů zakažte Povolit registraci uživatelů a Aktivace nového uživatelského účtu nastavte na Správce.

Nikdo vám nic nehacknul jen se pokusil zaregistrovat. To by vám nepřišly přihlašovací údaje. Jedná se o vrácený nedoručitelný email, ne?

Poznámka: úpravy .htaccess podle návodů z jiných hostingů si důkladně rozmyslete sice toto nebudete ten případ, ale nemusí to fungovat. A NIKDY starý .htacces, ale vždy ten z poslední nejnovější aktualizace Joomly (htaccess.txt).

www.bongovo.cz/joomla/40-jak-zachranit-hacknutou-joomlu

I'm sorry, my responses are limited...you must ask the right questions.

Poděkovali: Jiří Drozen

07. srp 2015 17:17 #122974

Odpověď od Jiří Drozen

Začátečník

Děkuji Vám za pomoc, lehce mne přepadla panika;) ..
Vše co píšete je opravdu tak (jednalo se jen o pokus o registraci, nastavení to povolovalo - tedy zakázal jsem tyto možnosti).

Díky za skvělé rady!
S pozdravem, J.D.

14. srp 2015 09:17 #123035

Odpověď od Michal Zbořil

Začátečník

Dobrý den. Vidím že se tady řeší možné napadení J!
Děje se mě podivná věc. Někdo napadl můj web a udělal si z něho mailový chrlič

nevím kudy ale snažím se to řešit. Takže jsem zablokoval všechny zbytečné účty a i registraci jsem zakázal a joomlu jsem aktualizoval a pluginy a vůbec ...
Problém je že se mě v rootu webu neustále objevuje jeden soubor co se jmenuje dead.letter a ten se furt nafukuje

Obsahuje na začátku zhruba toto:

--b1_81be429fa7e8a40a7b3bd3868afe4414
Content-Type: text/plain; charset=us-ascii
well hey there cutie.. if your up to it and around we can meetup for fun?? #22a0acf6be473f1165488145279fb83e#
--b1_81be429fa7e8a40a7b3bd3868afe4414
Content-Type: text/html; charset=us-ascii
<html>
<body>
well hey there cutie.. if your up to it and around we can meetup for fun?? #22a0acf6be473f1165488145279fb83e#
</body>
</html>
--b1_81be429fa7e8a40a7b3bd3868afe4414--

nemáte prosím nějaký nápad kudy ta potvora na můj web leze?
Předtím jsem měl root webu plný desítek tisíc souborů jako je:
yr-christian-louboutin-studded-129.html (a podobně s obměnou jména)
yorkshirechat.com.js
ty se naštěstí po zásahu neobjevují, ale ten jeden furt a furt.
Děkuji za každou radu.

14. srp 2015 10:17 - 14. srp 2015 10:25 #123038

Odpověď od Bong

Moderátor

Samotná aktualizace Joomly vůbec nic neřeší, protože může být jen rozdílová a navíc se netýká rozšíření, vy potřebujete mít jistotu, že všechny soubory na vašem webu jsou nenapadené a aktualizované. Také je třeba web znovu kompletně zabezpečit a všude použít nová hesla...

www.bongovo.cz/joomla/40-jak-zachranit-hacknutou-joomlu

I'm sorry, my responses are limited...you must ask the right questions.

14. srp 2015 12:01 #123044

Odpověď od Cony

Moderátor

Obsahově to vypadá jako nějaký log emailů. Konzultoval jste hosting? Není to třeba log zablokovaných, neodeslaných emailů?

17. srp 2015 09:19 #123055

Odpověď od Michal Zbořil

Začátečník

Hosting jsem já si sám. Hostuji si web na svém Synology doma.
Ty tisíce souborů po vymazání už se neobjevovaly, ale to co mě děsilo bylo že i po čisté instalaci (a to jsem změnil opravdu všechna hesla až na úroveň root pro MySQL) Joomly naskočil v root složce weba soubor dead.letter - to sem netušil že patří k Joomle !!!!!
Protože po (již druhé) čisté instalaci poslední Joomly 3.x se pár vteřin po dokončení instalace objeví zas ten soubor, ale tentokrát obsahuje toto:

Dobrý den M.Zbořil,
Byl/a jste správcem uveden/a jako uživatel webových stránek ...::: Chemikuv webik :::....
Tento e-mail obsahuje vaše přihlašovací údaje, uživatelské jméno a heslo, potřebné pro přihlášení na mzboril.cz/joomla/

Uživatelské jméno: chemik
Heslo: xxxxxxxxxx

Na tuto zprávu prosím neodpovídejte, byla vytvořena automaticky a slouží pouze pro vaši informaci.

Jsem z toho krapet zmaten, ale jestli to patří k Joomle a je to v pořádku pak OK, ale stejně jsem o takovém souboru ještě neslyšel.

17. srp 2015 12:28 #123058

Odpověď od Cony

Moderátor

Soubor dead.letter určitě není běžnou součástí Joomly. Pokud si dáte na google vyhledat synology dead.letter, naleznete např. toto - tedy chyba v nastavení hostingu