Joomla – můj web je hacknut – bezpečnostní chyba?

24. 8. 2008 14:31:42

Někdo mi hacknul můj web kotala.info. Je dělaný na Joomle, i když by nemusel - je tam pár (slovy do desíti) stránek. Je tu na webtrhu nějaký odborník, který by mi (už z principu) poradil, kde může být problém? Zjistil jsem, že se někomu podařilo přepsat index soubor používaného template a nemůžu se ani přihlásit do administrace (samozřejmě FTP i funguje, ale chtěl jsme to zatím zkusit pořešit nějakou standardní opravou).

Poradí mi někdo? Pokud ne, není problém z toho udělat statické stránky, ale říkal jsem si, že to nejdříve (tady) zkusím.

Díky Pavel

24. 8. 2008 14:31:42

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115286

Nishkam

(3 hodnocení)

24. 8. 2008 15:04:52

Nezavisle na Joomle, je v takovych pripadech vzdy dobre stahnout log apache a pozorne projit kazdy podezrely zaznam. Jako orientacni bod muzes vzit cas vytvoreni "spatneho" souboru, ktery Ti utocnik nahral. Pak prozkoumej co se delo v tom case podle logu. Nemel by byt problem pak najit jaka dira byla vyuzita <= se kterou URL se pracovalo. Muze se stat, ze utok byl proveden pomoci utocneho programku, ktery tam mas uz nejakou dobu. Musis to rozmotavat krok za krokem zpet az dojdes k dire Joomly.

Je take mozne, ze dira neni v Joomle ale v samotnem serveru a utok byl pres FTP nebo SSH. V tomto pripade musis spolupracovat s majitelem serveru a analyzovat pak logy FTP, prip. SSH. Pokud by chyba byla na strane serveru, nikoliv prozrazene FTP heslo, pak samozrejme zmenit hosting :-/

24. 8. 2008 15:04:52

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115285

pkotala

(24 hodnocení)

24. 8. 2008 15:16:50

Jo díky - jdu zkoumat log...

Napsal nishkam;102832
Nezavisle na Joomle, je v takovych pripadech vzdy dobre stahnout log apache a pozorne projit kazdy podezrely zaznam. Jako orientacni bod muzes vzit cas vytvoreni "spatneho" souboru, ktery Ti utocnik nahral. Pak prozkoumej co se delo v tom case podle logu. Nemel by byt problem pak najit jaka dira byla vyuzita <= se kterou URL se pracovalo. Muze se stat, ze utok byl proveden pomoci utocneho programku, ktery tam mas uz nejakou dobu. Musis to rozmotavat krok za krokem zpet az dojdes k dire Joomly.

Je take mozne, ze dira neni v Joomle ale v samotnem serveru a utok byl pres FTP nebo SSH. V tomto pripade musis spolupracovat s majitelem serveru a analyzovat pak logy FTP, prip. SSH. Pokud by chyba byla na strane serveru, nikoliv prozrazene FTP heslo, pak samozrejme zmenit hosting :-/

24. 8. 2008 15:16:50

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115284

Serhij Vasyljev

(5 hodnocení)

24. 8. 2008 15:22:48

Mas tam nainstalovany nejake komponenty? vetsinou oni maji nejakou diru, pokud mas, napis jaky

24. 8. 2008 15:22:48

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115283

pkotala

(24 hodnocení)

24. 8. 2008 15:33:25

Napsal Serhij;102841
Mas tam nainstalovany nejake komponenty? vetsinou oni maji nejakou diru, pokud mas, napis jaky

Teď jsem se zkoušel připojit přes administraci, abych se podíval, ale jaksi mi to nefunguje - funguje mi jenom FPT přístup. Takže buďto jsem zapomněl heslo (což se mi nezdá - navíc si ho FF pamatoval), nebo se mu podařilo i změnit tohle heslo - nevím ale kde je pro administrátora heslo uloženo :(.

24. 8. 2008 15:33:25

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115282

Serhij Vasyljev

(5 hodnocení)

24. 8. 2008 15:35:57

Najspis v DB, hledej tabulku user, nebo neco takoveho

24. 8. 2008 15:35:57

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115281

Jakub Stacho

(20 hodnocení)

24. 8. 2008 15:57:37

http://www.joomlaportal.cz/content/view/316/2/ :thumbup:

To je prostě jedna z nevýhod opensource CMS...

Edit: Ta tabulka je jos_users, heslo je nějakým způsobem hashováno. U starších verzí pouze MD5 (1234 → 81dc9bdb52d04dc20036dbd8313ed055), u novějších se solí (1234 → 6c291cb0872b199c55336808d6f3c5a7:7KtmQoPyKIQg5krNiYXOaZawWnB8m3Te)

24. 8. 2008 15:57:37

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115280

pkotala

(24 hodnocení)

24. 8. 2008 16:15:18

Napsal tracy;102861
http://www.joomlaportal.cz/content/view/316/2/ :thumbup:
To je prostě jedna z nevýhod opensource CMS...

Díky Tracy - to je vončo

24. 8. 2008 16:15:18

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115279

Muskwa

(25 hodnocení)

24. 8. 2008 16:27:08

A co jsi měl s webem? Já měl asi taky hacknuto, ale jediné čeho jsem si všimnul, je změněné heslo a Joomla je v módu Legacy. Ale nic jiného nepozoruji..

24. 8. 2008 16:27:08

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115278

pkotala

(24 hodnocení)

24. 8. 2008 16:31:01

Napsal Muskwa;102875
A co jsi měl s webem? Já měl asi taky hacknuto, ale jediné čeho jsem si všimnul, je změněné heslo a Joomla je v módu Legacy. Ale nic jiného nepozoruji..

Viz kotala.info

24. 8. 2008 16:31:01

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115277

Muskwa

(25 hodnocení)

24. 8. 2008 16:36:19

hmm... můj hacker mi snad jenom změnil heslo, jinak nic zvláštního nemůžu najít. kromě toho, že jsem najednou v módu legacy...

24. 8. 2008 16:36:19

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115276

Jakub Stacho

(20 hodnocení)

24. 8. 2008 16:48:17

Napsal Muskwa;102880
hmm... můj hacker mi snad jenom změnil heslo, jinak nic zvláštního nemůžu najít. kromě toho, že jsem najednou v módu legacy...

Možná mu zrovna přišla do pokoje mamka, tak to nestihl dodělat... (Mimochodem, ta überhackerská stránka je napsaná ve Wordu)

Nebo jsi neměl v Joomle zapnutou podporu FTP, tudíž nemohl zjistit heslo, a tak šel dál (k Pavlovi, který tu podporu zapnutou měl).

Legacy mód zapíná podporu starých verzí rozšíření, které právě často obsahují bezpečnostní chyby. Jsi si jistý, že ti tam nic nedoinstaloval?

24. 8. 2008 16:48:17

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115275

Muskwa

(25 hodnocení)

24. 8. 2008 16:53:16

Napsal tracy;102887
Možná mu zrovna přišla do pokoje mamka, tak to nestihl dodělat... (Mimochodem, ta überhackerská stránka je napsaná ve Wordu)

Nebo jsi neměl v Joomle zapnutou podporu FTP, tudíž nemohl zjistit heslo, a tak šel dál (k Pavlovi, který tu podporu zapnutou měl).

Tak to by odpovídalo. Přístup k ftp jsem tam uložený neměl ... :)

Taky jsem se díval, jestli něco nedoinstaloval, ale nemůžu nic "navíc" najít... zatím jsem ho vypnul a všechno, zdá se, funguje v pořádku.

24. 8. 2008 16:53:16

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115274

duben

(49 hodnocení)

24. 8. 2008 17:18:18

Znám a opravím ... už na tom s Pavlem pracujem :)

24. 8. 2008 17:18:18

https://webtrh.cz/diskuse/joomla-muj-web-je-hacknut-bezpecnostni-chyba#reply115273

Jakub Stacho

(20 hodnocení)