Meghekkeltek, de hogyan?

Több
10 éve 2 hónapja #5891 Írta: Hunnia
Meghekkeltek, de hogyan? téma létrehozva Hunnia által
Sziasztok!

Akeeba Kickstarttal átköltöztettem honlapomat egy új kiszolgálóra (AkeebaBackup .jpa átvitele, kicsomagolása, kiírása és új adatok megadása), ami kisebb felülírások után működött is. Alap .htaccess aktiválva. RSFirewall aktív. Hozzáférési jogok ellenőrízve.

Reggelre kapok egy levelet a szolgáltatótól, hogy karanténba helyeztek vírusfertőzés vagy ismert biztonsági rés miatt a következő fájlokat:
# (quarantined to quarantine/nevem/d1i6r8.php.1414384391_1) Known exploit = [Fingerprint Match] [PHP Shell Exploit]:
'/home/nevem/public_html/components/com_ajaxchat/d1i6r8.php'
# (quarantined to quarantine/nevem/joomla_rss.php.1414384486_1) Known exploit = [Fingerprint Match] [Defacement Exploit [P0185]]:
'/home/nevem/public_html/includes/joomla_rss.php'

Na ez akkor most hogy a fenébe? A J2.5.27 mentésem tiszta volt, pár óra a feltelepítés után már vírussal fertőzött lett. Az AjaxChat telepítve van, de csak bejegyzett tagok számára elérhető. Csatoltam a naplófájlom megfelelő részét, melyben látszik a francia spam ip, erről ismert a spam adatbázisban.

Másik kérdés: Mivel most osztott tárhelyen van a honlapom és úgy néz ki a php.ini beállításomat a Joomla gyökérben a J2.5 nem veszi figyelembe, legalábbis azt írja a rendszerinfóban, beírjam-e a kellő értékeket a .htaccess fájlba vagy semmi értelme?

Köszönöm az infót!
Tamás
Mellékletek:

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
10 éve 2 hónapja #5897 Írta: Balázs
Balázs válaszolt a következő témában: Meghekkeltek, de hogyan?
Igazából ez sok mindentől lehet. Például, én nem egyszer láttam már olyat, hogy egy régi 1.5-ös Joomlát feltörve elérték a szerveren lévő összes Joomla! rendszert, az is benne lehet a pakliban, hogy másét törték meg, de a tiedet is megfertőzték. A törések nagy százalékban nem is az alaprendszerben történik, hanem valamilyen külső fejlesztő által létrehozott bővítményen keresztül. Itt mondjuk érdemes lenne megvizsgálni, hogy melyek azok a bővítmények, amelyek esetleg régen lettek frissítve. Továbbá, elérhető-e az /administrator hivatkozáson keresztül az admin felület, ezt érdemes blokkolni, valamint FTP, SQL, admin belépő cseréje is javasolt, valamint egy tiszta biztonsági mentés visszarakása.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
10 éve 2 hónapja #5898 Írta: Hunnia
Hunnia válaszolt a következő témában: Meghekkeltek, de hogyan?
Igen, az a fura, hogy tiszta mentést költöztettem át. Semmi manipuláció nem volt benne. Itt van előttem és tiszta. A komponensek, beépülők mind frissek, bár a CommunityBuildert most frissítettem a 2.01es kiadásra, de az 1.9.1-ben sincs eféle ismert rés.
Admin felület RSFirewall védi elsődleges beléptető jelszóval, de Joomla admi alá nem lépett be hekker, nincs nyoma. Csak az van amit a kiszolgáló írt ill. amit a szervernaplófájlból csatoltam és amit a tűzfal érzékelt. Ez a fura. Gondoltam első ránézésből tudnád, hol a baj :)

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
10 éve 2 hónapja #5903 Írta: Balázs
Balázs válaszolt a következő témában: Meghekkeltek, de hogyan?
Az a baj, hogy nagyon sok minden okozhatta, esetleg az error logok további vizsgálatával könnyebben visszalehetne fejteni a problémát. (A csatolt fájt nem tudtam jobban megnézni, mert nagyon le lett kicsinyítve.)

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
10 éve 2 hónapja #5908 Írta: Hunnia
Hunnia válaszolt a következő témában: Meghekkeltek, de hogyan?
[IMG

Ez nagyítható.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
10 éve 2 hónapja #5911 Írta: Balázs
Balázs válaszolt a következő témában: Meghekkeltek, de hogyan?
Ez a log annyira nem érdekes, inkább azt kellene átnézni, ha van olyan, amelyben a fájlmozgatások vannak kilistázva. Gondolom CB-s regisztrációban van aktív captcha.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!