Nabourání domény a webu s joomlou

7. 10. 2013 08:13:28

Dobrý den,

někdo se nám pravidelně nabourává do našeho firemního webu s nainstalovanou joomlou. Na FTP jsou nahrávány soubory, které pravidelně rozesílají nevyžádané a podvodné zprávy i přes to, že neustále měníme FTP heslo. Už jsme celkem bezradní a vlastník hostingu vyhrožuje zablokováním domény, pokud situaci nevyřešíme. Mohli by jste mi někdo poradit co s tím, nebo poradit někoho kdo je schopen tyto situace vyřešit?

Díky a přeji pěkný den.

7. 10. 2013 08:13:28

https://webtrh.cz/diskuse/nabourani-domeny-a-webu-s-joomlou#reply953172

Jan Kuthan

(48 hodnocení)

7. 10. 2013 08:24:18

V logu serveru bude vidět jak se tam útočník dostal, pokud po hacku jen obnovíte zálohu nebo smažete zákeřné scripty, necháváte tam s největší pravděpodobností díru, které stále a pořád využívá. :)

Navíc pokud se jednou dostal k možnosti vytvářet spustitelné soubory u vás na ftp, vsadil bych se, že v kodu bude k nalezení i nějaký backdoor, který bude funkční i po opravení té zmíněné díry. Jak jsem psal, doporučuji pečlivě sledovat logy.

7. 10. 2013 08:24:18

https://webtrh.cz/diskuse/nabourani-domeny-a-webu-s-joomlou#reply953171

Matěj Škarka

(6 hodnocení)

7. 10. 2013 08:38:06

No tak nám právě majitel hostingu řekl, že bude nejlepší když to celé smažem a přeinstalujeme znovu, jelikož si hacker už určitě vytvořil nějaké zadní vrátka a klidně prý ten php script může vypadat jako nějaký jpg soubor a to rozhodně nenajdem. Tak te%d nevím jestli je to pro nás opravdu jediná možnost, ale vzhledem k tomu že naše firma má opravdu starou verzi joomly 1.5 tak nám asi opravdu nic jiného nezbyde a rovnou to upgradovat na novou 3.1 a všechna data tam přetahat, což bude tak týden čisté práce nejmíň a netuším kdo u nás ve firmě na to bude mít kapacitu, haha. Kdyby jste měli kontakt na někoho kdo tomu rozumí tak dejte vědět, uvítáme to.

7. 10. 2013 08:38:06

https://webtrh.cz/diskuse/nabourani-domeny-a-webu-s-joomlou#reply953170

Martis Pacovsky

(50 hodnocení)

7. 10. 2013 08:52:42

Skodlive soubory se daji dohledat, ale je to obvykle dlouha prace. Navic z mych zkusenosti vim, ze utocnici vyuzivaji chyby ne primo v joomle, ale obvykle v nekterem z modulu. Preinstalovanim si zajistis klid, alespon na par mesicu, nez se najde dalsi dira, s heslem k FTP si muzes hrat jak chces, kdyz je otevrene na webu v konfiguraku, je citelne celkem snadno...

7. 10. 2013 08:52:42

https://webtrh.cz/diskuse/nabourani-domeny-a-webu-s-joomlou#reply953169

Michaela

(13 hodnocení)

7. 10. 2013 09:26:24

Eze začala bych tím, že bych prošla poslední přidané moduly a komponenty.V některých může být závadný kód. My tak měli taky problém a nainstalovalo se to s komponentou.

7. 10. 2013 09:26:24

https://webtrh.cz/diskuse/nabourani-domeny-a-webu-s-joomlou#reply953168

Víťa Kápička

(13 hodnocení)

22. 10. 2013 19:40:18

Něco málo k tomuto tématu jsem teď psal sem:

http://webtrh.cz/241694-rozesilani-spamu

Každopádně: zrušit JCE editor, udělat aktualizaci Joomly, nastavit .htaccess, odstranit infikované soubory. Už jsem to párkrát dělal, tak bych kdyžtak mohl pomoci.

Ten napadený adresář je images/, že jo? Mám ještě experimentální ochranu tohoto adresáře, jenomže to blbne s komponentou Banners, takže je to tak napůl. Joa na tu migraci doporučuji buď komponentu jUpgrade nebo spíše J2XML, to mi chodilo docela pěkně.

A ještě poznámku: heslo pro FTP si měňte jak chcete, tudy tam neleze. Leze tam právě přes Joomlu, přes nějaké její rozšíření a FTP je tak ze hry.

22. 10. 2013 19:40:18

https://webtrh.cz/diskuse/nabourani-domeny-a-webu-s-joomlou#reply953167

Tomáš Herout

7. 11. 2013 14:12:19

Každopádně migrovat z Joomla 1.5 na min. Joomla 2.5. Jednapětka je už dnes hluboký středověk. Také si hlídat, jaká rozšíření používáte. Většina útoků v případě J2.5 je právě přes nekvalitní rozšíření. Mnoho rozšíření si lidé instalují zbytečně.

7. 11. 2013 14:12:19

https://webtrh.cz/diskuse/nabourani-domeny-a-webu-s-joomlou#reply953166

Pro odpověď se přihlašte.

Přihlásit