Téma: Meghekkelték a Joomla 1.0.15-ömet

Frissítsd a PHP verziót a szerveren, az új verziókban az eval deprecated és nem engedi használni.

earnnet eredeti hozzászólása

Frissítsd a PHP verziót a szerveren, az új verziókban az eval deprecated és nem engedi használni.

Gondolom a system, shell_exec ugyanugy megvan, de azokon kivul is van par megoldas kodfuttatasra.

koci eredeti hozzászólása

Emphus beletrafált. Megcsináltuk a frissítést, aztán a takarítást. Aztán jelezte a szolgáltató, hogy megint vírusos az oldal, a vírus kiindulási pontja viszont a tárhelyen lévő másik domain, ahol egy régebbi joomla van, és az fertőzte meg újra ezt is...

+1 tanács: válts tárhelyet. Ahol nincs szeparálva legalább domain szinten a tárhely, ott folyamatosan hatalmas biztonsági kockázatban vagy, pláne, ha ingyenes CMS-eket használsz. Pl. én a Viacomosoknál vagyok, külön FTP és elérés van minden domainhez, ha az egyiket törik, csak ahhoz férnek hozzá, semmi máshoz.

koci eredeti hozzászólása

Sziasztok!

Nem akartam új topicot nyitni, mert nekem is hasonló a problémám.
Egy éve feltörték aa joomla 3-as oldalt és spameltek róla. Kb 2 hétig dolgoztunk vele, de eredménytelenül. Az lett végül a megoldás, hogy egy szűz joomlára egyesével átpakolgattuk a dolgokat, így megszűnt a spamelés.

Kijött a hír, hogy minden joomla sebezhető 4 kritikus hiba miatt, rá pár napra máris spamelt az oldal. Frissítettem a legújabb joomlára, ami kijavítja ezt a hibát. Kitakarítottam a fájlokat. Felraktam az rsfirewall kiegészítőt, ami ad plusz logint az admin elé, rengeteg biztonságtechnikai dologra rávilágít és segít kijavítani, illetve minden fájlt átnéz és megkeresi a gyanús fájlokat. Szóval mindent frissítettem, mindent kitakarítottam és kijavítottam.
De az eyesite komponensel nézem milyen fájlok változtak, vagy jöttek létre és látom, hogy folyamatosan termelődnek a vírusfájlok a joomla mappa ás fájlstruktúrájában random elhelyezkedve. Kb 1-2 óránként pár jön létre.
Az ilyen egyszerű online exploit meg sql injection ellenőrző progikkal végig mentem rajta, de természetesen nulla eredmény.

Van valakinek ötlete, tapasztalata vagy jó tanácsa, hogy ne kelljen ismét újracsinálnom az oldalt?

Igen van: felejtsd el a joomlat, hasznalj wordpress-t. (persze azt is megfeleloen felkonfigolva). Ez nem kotekedes, a joomla csak ott nem lyukas ahol meg nem nezte senki.

wpdanielakos eredeti hozzászólása

Igen van: felejtsd el a joomlat, hasznalj wordpress-t. (persze azt is megfeleloen felkonfigolva). Ez nem kotekedes, a joomla csak ott nem lyukas ahol meg nem nezte senki.

WordPress szintén. Ha bármilyen szinten is fontos a biztonság, akkor WP-t se használj.

Egy plussz védelmi vonalat bármelyik CMS-hez, vagy saját oldalhoz könnyedén lehet telepíteni. Minden kérésnél ellenőrizni kell a $_POST és $_GET tartalmát a törések során előszeretettel használt kifejezésekre(pl. union, pg_sleep,ini_,<script.*,stb...).
Ha van találat akkor automatikusan hozzáadni htaccess-hez az IP tiltást, és/vagy azonnal tiltani a munkamenetben a felhasználót.

A Wordpress indexfájl elejére beszúrva egy Sql injekt támadás esetén, még a WP betöltése előtt blokkolja az IP-t. Nyilván nem fog meg egy profit, de okoz kellemetlen perceket neki is.
A sebezhetőséget kereső automata scannereket azonnal megfogja, ezt próbáltam.

Van egy ilyen kódom megírva ha kell esetleg valakinek. Egyszerű, könnyű beüzemelni.(1 php fájl, 1 plussz sor a htaccess-be és a védendő fájlba)
Hátránya hogy minden kérést ellenőriz, így egy szövegben hagyott "union"-al kitilthatod magad is. De értesít email-ben, a kártékony kódot mellékelve.

Nagyon szépen köszönöm a tanácsokat, napok óta tiszta az oldal, kezdek megnyugodni


// Az offolóknak: régóta egyedileg készítem az oldalakat, de ha egy régen joomlában készült oldalt feltörnek és megbíznak a javítással, akkor nem megoldás, hogy azt mondom az ügyfélnek, hogy offolja a joomlát

Akik ezt mondják másban érdekeltek :-) nem a segítségnyújtásban.

Ne hasznalj, ha nem tudod megfeleloen bekonfigolni, es nem hasznalsz biztonsagi ficsoroket.