Další hacklý web

Luboš
16. srp 2006 11:06 #10296
http://www.dukovany.cz/joomla/hack_rkolbabek.com.jpg
Možná by jim to ztížilo přejmenovat si soubor administrator\index.php

Příspěvek editován: lludvik, v: 16/08/2006 11:31

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od HonzaG
16. srp 2006 11:29 #10298
No a co bylo v logu? Přes co se Ti tam dostali? Podle toho bych zabezpečoval.

HonzaG

::: Nejsem tak bohatý, abych kupoval levné věci... :::

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Roman Kolbábek
16. srp 2006 12:10 #10304
No. Ten haknutý jsem byl já. Nevím, proč to tady Cipísek hned "vyžvanil" :)

Log jsem od providera dostal, ale začíná 12.8.2006 a zatím jsem v něm nic neobvyklého nenašel a hlavně se mi ani v té změti asi 6MB moc hledat nechce.

Zdá se mi ale, že se dostali do systému přes Remository. V záloze staré asi dva dny jsem totiž našel v adresáři administrator/components/com_remository dva soubory z 8.8.2006. Jeden se jmenuje xploit (asi 12kB) a druhý p2 (asi 8kB). Zdá se, že se spouští cronem zhruba za týden po napadení. Zajímavé je, že po haknutí už tam tyto soubory nejsou. Takže asi po sobě uklidí. Oba soubory jsou ale v zálohách, takže jednoduchým obnovením webu ze zálohy staré řekněme 24 hodin se web zase za týden hakne.

Nejsem v těchto věcech odborník a možná mi někdo poradíte. Nicméně já jsem remository obnovil z ještě starší zálohy, kde ty dva soubory nejsou, provedl opravu podle forum.mamboguru.com/showthread.php?t=433 (register_globals je na serveru opravdu ON)
a uvidím co bude dál.

Doplněk po dalším zkoumání:

Na 99.9% to bylo opravdu haknuto přes chybu v admin.remository.php Usuzuji tak podle logu, ze kterého plyne, že někdo z adresy 85.108.222.222 docela pravidelně zkouší skriptem FC99 nahrát oba zmíněné soubory. Pokud by měl někdo zájem si log prostudovat, tak ho mám schovaný a oba zmíněné soubory také.

Příspěvek editován: rkolbabek, v: 16/08/2006 13:06

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Jarda
04. lis 2006 08:36 #13065
Zdravim,

Mohl bych poprosit o ty soubory a log ??
Posli me to prosim do emailu Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. velice dekuji.

Jarda

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Roman Kolbábek
04. lis 2006 16:15 #13084
Už jsem ty soubory vyhodil, takže bohužel už nemohu sloužit...

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Luboš
09. lis 2006 20:13 #13226
Dnes mi zablokovali doménu pro rozesilani spamu,
bylo to přes /administrator/components/com_remository
tak pozor na Remository 3.25

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od junis1
09. lis 2006 20:31 #13227
Právě včera jsem prováděl upgrade Remository na finální verzi 3.4 Je bezva. Přikládám link ke stažení www.joomlaos.de/8/8.html

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Roman Kolbábek
09. lis 2006 20:39 #13228
lludvik: Cipísku, právě přes tu 3.25 hakli tenkrát i mne, takže trochu nerozumím, proč jsi už tehdy neupgradoval na 3.26 (naprosto stejná verze s bezpečnostní opravou). Jinak já už mám dávno verzi 3.4 a už mám staženou 3.45, ale zatím ji asi nasazovat nebudu. Ta 3.4 je bezva.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Luboš
10. lis 2006 08:39 #13239
rkolbabek napsal:

trochu nerozumím, proč jsi už tehdy neupgradoval na 3.26


bylo to v jednom podadresáři čistě pro testovací účely a nějak jsem na něj zapomněl, protože nikde nebyl na něj ani odkaz - přesto ho vyčenichali

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.