Kérdés Meghekkeltek, de hogyan?

Több
2014 okt. 27 12:28 #1 Írta: Hunnia
Hunnia létrehozta a témát: Meghekkeltek, de hogyan?
Sziasztok!

Akeeba Kickstarttal átköltöztettem honlapomat egy új kiszolgálóra (AkeebaBackup .jpa átvitele, kicsomagolása, kiírása és új adatok megadása), ami kisebb felülírások után működött is. Alap .htaccess aktiválva. RSFirewall aktív. Hozzáférési jogok ellenőrízve.

Reggelre kapok egy levelet a szolgáltatótól, hogy karanténba helyeztek vírusfertőzés vagy ismert biztonsági rés miatt a következő fájlokat:
# (quarantined to quarantine/nevem/d1i6r8.php.1414384391_1) Known exploit = [Fingerprint Match] [PHP Shell Exploit]:
'/home/nevem/public_html/components/com_ajaxchat/d1i6r8.php'
# (quarantined to quarantine/nevem/joomla_rss.php.1414384486_1) Known exploit = [Fingerprint Match] [Defacement Exploit [P0185]]:
'/home/nevem/public_html/includes/joomla_rss.php'

Na ez akkor most hogy a fenébe? A J2.5.27 mentésem tiszta volt, pár óra a feltelepítés után már vírussal fertőzött lett. Az AjaxChat telepítve van, de csak bejegyzett tagok számára elérhető. Csatoltam a naplófájlom megfelelő részét, melyben látszik a francia spam ip, erről ismert a spam adatbázisban.

Másik kérdés: Mivel most osztott tárhelyen van a honlapom és úgy néz ki a php.ini beállításomat a Joomla gyökérben a J2.5 nem veszi figyelembe, legalábbis azt írja a rendszerinfóban, beírjam-e a kellő értékeket a .htaccess fájlba vagy semmi értelme?

Köszönöm az infót!
Tamás
Mellékletek:

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2014 okt. 27 13:58 #2 Írta: Balázs
Balázs válaszolt a témára: Meghekkeltek, de hogyan?
Igazából ez sok mindentől lehet. Például, én nem egyszer láttam már olyat, hogy egy régi 1.5-ös Joomlát feltörve elérték a szerveren lévő összes Joomla! rendszert, az is benne lehet a pakliban, hogy másét törték meg, de a tiedet is megfertőzték. A törések nagy százalékban nem is az alaprendszerben történik, hanem valamilyen külső fejlesztő által létrehozott bővítményen keresztül. Itt mondjuk érdemes lenne megvizsgálni, hogy melyek azok a bővítmények, amelyek esetleg régen lettek frissítve. Továbbá, elérhető-e az /administrator hivatkozáson keresztül az admin felület, ezt érdemes blokkolni, valamint FTP, SQL, admin belépő cseréje is javasolt, valamint egy tiszta biztonsági mentés visszarakása.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2014 okt. 27 14:36 #3 Írta: Hunnia
Hunnia válaszolt a témára: Meghekkeltek, de hogyan?
Igen, az a fura, hogy tiszta mentést költöztettem át. Semmi manipuláció nem volt benne. Itt van előttem és tiszta. A komponensek, beépülők mind frissek, bár a CommunityBuildert most frissítettem a 2.01es kiadásra, de az 1.9.1-ben sincs eféle ismert rés.
Admin felület RSFirewall védi elsődleges beléptető jelszóval, de Joomla admi alá nem lépett be hekker, nincs nyoma. Csak az van amit a kiszolgáló írt ill. amit a szervernaplófájlból csatoltam és amit a tűzfal érzékelt. Ez a fura. Gondoltam első ránézésből tudnád, hol a baj :)

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2014 okt. 27 17:55 #4 Írta: Balázs
Balázs válaszolt a témára: Meghekkeltek, de hogyan?
Az a baj, hogy nagyon sok minden okozhatta, esetleg az error logok további vizsgálatával könnyebben visszalehetne fejteni a problémát. (A csatolt fájt nem tudtam jobban megnézni, mert nagyon le lett kicsinyítve.)

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2014 okt. 27 19:08 #5 Írta: Hunnia
Hunnia válaszolt a témára: Meghekkeltek, de hogyan?

Ez nagyítható.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2014 okt. 27 20:04 #6 Írta: Balázs
Balázs válaszolt a témára: Meghekkeltek, de hogyan?
Ez a log annyira nem érdekes, inkább azt kellene átnézni, ha van olyan, amelyben a fájlmozgatások vannak kilistázva. Gondolom CB-s regisztrációban van aktív captcha.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2014 okt. 27 20:20 #7 Írta: Hunnia
Hunnia válaszolt a témára: Meghekkeltek, de hogyan?
A J2.5 bejegyzési modulja volt aktív reCaptcha védelemmel, de különben is admin jóváhagyás kell hozzá, így semmi nyoma új bejegyzési kérelemnek. Most, hogy frissült 2.01-re, aktív lett a CB Login és Reg, de hál Istennek nem működik a reges rész, se sem tölti, de ezzel most nem foglalkozok.
E három naplóbejegyzésen kívül semmi másom nincs. A tűzfalban aktiváltam a get és most a post parancs szűrését is. Mielőtt jelszót váltanék, meglássuk történik-e valami.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2014 okt. 28 10:37 #8 Írta: Balázs
Balázs válaszolt a témára: Meghekkeltek, de hogyan?
Jó kérdés egyébként, hogy maga a CB2 is mennyire stabil, hiszen teljesen újraírt szoftverről van szó, így lehet hogy érdemes lett volna várni vele még 1-2 javító verziót.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!