Téma: Meghekkelték a Joomla 1.0.15-ömet

Stefan Weinenberger eredeti hozzászólása

Komolyan hihetetlen vagy Wirg! Csak ámulok bámulok, hogy farkast ordítasz éjfélkor. Minden a helyén van. Az oldal 3 tartományból ellenőrizve és működik! Az FTP filék mindig is a helyükön voltak, a hiba nálad lesz. No mindegy.

Tehát hangsúlyozom, senki nem törte az oldaladat, máskor ha ilyen van, akkor aludj rá egyet és várd meg míg valaki hozzáértő megnézi.



Így igaz, rosszul emlékszel, az az 1.5.0-ös volt.


stef

Na emberek, megvan a megoldás. Nálam és annál a pár embernél még nem állt át a DNS, ezért tul képp egy szolgáltató szerveroldali hiba okozta a zűrzavart. A fura az hogy FTP-n továbbra se látom a fájlokat, de a file managerben igen. Az oldal viszont megy. Ilyet még nem pipáltam, az biztos, de a lényeg hogy most minden működik. Köszi az ötleteket, a topikat akár zárhatjuk is.

azt elfelejtetted leírni hogy átraktátok másik dns-re. pont most volt egy ilyen eset biduval kooperáltunk és el is kezdtük megmérni az egyes szólgáltatókat eddig ez van:

t-com-invitel- illetve minden innen "bérlő": kb 5-10 percenként fríssítik a kiszolgálóikat
upc: 1-2 óra
kábel szolgáltatók: 24 óránként (dunanet ill tarr kft amit mérni tudtunk eddig)

Hát nálam már volt olyan, hogy az ügyfél nem látta az oldalát, én pedig igen. Szinten dns változtatás miatt. Nálam digikábel, amott pedig t-online. Ezek szerint mégsem frissíti 10 percenként..

Sziasztok!

Nem akartam új topicot nyitni, mert nekem is hasonló a problémám.
Egy éve feltörték aa joomla 3-as oldalt és spameltek róla. Kb 2 hétig dolgoztunk vele, de eredménytelenül. Az lett végül a megoldás, hogy egy szűz joomlára egyesével átpakolgattuk a dolgokat, így megszűnt a spamelés.

Kijött a hír, hogy minden joomla sebezhető 4 kritikus hiba miatt, rá pár napra máris spamelt az oldal. Frissítettem a legújabb joomlára, ami kijavítja ezt a hibát. Kitakarítottam a fájlokat. Felraktam az rsfirewall kiegészítőt, ami ad plusz logint az admin elé, rengeteg biztonságtechnikai dologra rávilágít és segít kijavítani, illetve minden fájlt átnéz és megkeresi a gyanús fájlokat. Szóval mindent frissítettem, mindent kitakarítottam és kijavítottam.
De az eyesite komponensel nézem milyen fájlok változtak, vagy jöttek létre és látom, hogy folyamatosan termelődnek a vírusfájlok a joomla mappa ás fájlstruktúrájában random elhelyezkedve. Kb 1-2 óránként pár jön létre.
Az ilyen egyszerű online exploit meg sql injection ellenőrző progikkal végig mentem rajta, de természetesen nulla eredmény.

Van valakinek ötlete, tapasztalata vagy jó tanácsa, hogy ne kelljen ismét újracsinálnom az oldalt?

Joomlát nem ismerem, de lehet hogy a gépeden (vagy másik user gépén) van a vírus és ftp-n mászik fel. Tiltsd le az ftp-t, majd takaríts ki újra a fájlokat.