Feltörés után, módosított index.php fájl, mi a teendő?

[oO_Oo]

Ma hajnalban megint betámadtak, mind a 4 oldalamnál átírták az index.php-t. Egy sriptet tettek bele (persze hibásan), amitől az oldalak nem indultak el. 1.5.6 és 1.5.7 verziókat használok. Most már akkor ezek a verziók sincsennek biztonságban? Szerencsére mentésből visszaállítottam. Javaslom, mindenki mentsen folyamatosan!

[zseni]

Nem biztos, hogy a Joomla a hibás egyből, de nem is kizárható.
Nézd meg, hogy mit használsz, ami szükséges a honlapodhoz. A többi komponenst, modult, bővítményt töröld le.
Mivel itt az 1.5.8 verzió használd azt.
Amúgy már sokszor írtuk, hogy az 1.5.6 verzióban hiba volt, amin keresztül feltörték az oldalakat. Lehet az 1.5.7 oldaltörés is a régi verzión keresztül történt.

[Tóth Tibor]

Amúgy már sokszor írtuk, hogy az 1.5.6 verzióban hiba volt, amin keresztül feltörték az oldalakat.

Csak pontosítás végett:
A Joomla! 1.5.5 és régebbi verziókban volt a rés, az 1.5.6-os volt épp a javított verzió, amire tanácsolt volt frissíteni.
Az index.php átírása inkább php shell megoldásra néz ki, sem mint Joomla!-n keresztül folytatott támadásra, de bővebb információk hiányában ezt nehéz megítélni.
Mindenesetre az általánosítások helyett inkább a biztonsági beállítások betartására ügyelnék.

[gazeboo]

Igen, az 1.5.6 volt a biztonsági frissítés. Mire gondolsz biztonsági beállítások révén? Fájlok 644, könyvtárak 755.

[erdsiger]

Egy sriptet tettek bele (persze hibásan), amitől az oldalak nem indultak el. 1.5.6 és 1.5.7 verziókat használok. Most már akkor ezek a verziók sincsennek biztonságban?

A legfrissebb verzió az 1.5.8. Itt olvashatod a bejelentést. Mivel minden új verzió megjelenésekor nyilvánosságra hozzák az adott verzióban javított biztonsági hibákat, ezért az előző verzió hibáiról bárki tudomást szerezhet és így feltörheti az oldalt. Egy verzió mondható biztonságosnak, a legutolsó, ha nem frissítesz rendszeresen akkor ne csodálkozz ha feltörik az oldaladat.

A másik pedig amit Tibor is írt, nem biztos hogy a Joomla! egyik sebezhetőségét használták ki, könnyen lehet hogy az egyik bővítényen keresztül törték fel. És ezek mellett van még jópár egyéb tényező is, például a rossz tárhely, rossz szerverkonfiguráció, vagy éppen az általad rosszul beállított fájl- és könyvtárjogosultságok.

[gazeboo]

Tárhely a MediaCenter, azzal nem hiszem, hogy baj van. Fájl és könyvtárjogok? Már ha úgy nem jó, ahogy beállítottam. Bővítmények: AlphaContent, VirtueMart, ArtioSef. Mást nem használok.

[erdsiger]

A tárhellyel valóban nincs probléma. A logokból lehetne visszakövetni, hogy hogyan is törték fel, de nem tudom hogy erre MediaCenter milyen lehetőséget ad. Én még mindig a frissítés alhanyagolására tippelek, nem frissítetted a Joomlát, és gondolom a bővítményeket sem (ha időközben új verziójuk jelent meg). De többet ennyi adatból nem tudok mondani, tényleg a logokra lenne szükség a feltörés módjának meghatározásához... A másik lehetőség, hogy nem a Joomlán keresztül történt a feltörés, ilyen például ha Total Commanderből megszerezték az elmentett jelszavaidat stb. de ezek csak találgatások de számos egyéb módja van még egy oldal feltöérésének, a logok alapján derülne csak ki hogy a te esetedben mi történt.

[gazeboo]

Rendben, köszi az infókat. A logokat egyenlőre én sem tudom, hogy honnam lehetne megszerezni. Majd a szolgáltatóval felveszem a kapcsolatot. Mostanában kaptam az oldalakról különféle mailokat, amiknek a feladója a google bot és yahoo bot volt. Sajnos az egyiket kiváncsiságképpen megnyitottam, és lehet ez volt a baj.

[gazeboo]

Megkaptam a választ a szolgáltatótól, leírom, hátha valkinek is hasznos infó lesz.
"Az FTP logfájlok visszakereshetőek, de sajnos nem tudunk semmit tenni, amennyiben találunk egy török IP címet, ahonnan lemódosították a tartalmat. Sőt még magyar IP cím esetében sem."

"Amennyiben illegális tartalom került tárhelyére. Az ilyen jellegű támadások esetén nem a weboldal fertőződik meg elsődlegesen, hanem a weboldalhoz hozzáféréssel rendelkező ügyfél számítógépe.

Mivel az FTP kódolatlan csatornán kommunikál, ezért bejelentkezés közben az ügyfélgépen lévő vírus naplózza a bejelentkezési azonosítót és jelszót, majd ezt elküldi egy ismeretlen helyre. Pár nappal ezután általában megtörténik a tárhely feltörése, külföldi (többnyire orosz, brazil, japán) szerverekről módosítják a weboldal index és egyéb fájljait. Fontos tudni, hogy a weblap módosítását nem a fertőzött ügyfél-számítógép végzi, hanem mindig egy harmadik (külföldi) szerver.

Ez a jelenség sajnos a tárhelyszolgáltató részéről közvetlen módszerekkel nem kezelhető, hiszen a jelszó ellopása és felhasználása nem a szolgáltató szervererein és hálózatában történik. A probléma ellen a legjobb védekezés jogtiszta -rendszeresen frissített- operációs rendszer és korszerű vírusvédelem használata.

Cégünk hatékony megoldást dolgozott ki az ilyen támadások megakadályozása érdekében.

A szerveroldali védekezés lényege, hogy bár a jelszó ellopását nem tudjuk megakadályozni, a bejelentkezés ismeretlen IP tartományokból korlátozható. E célból új menüpont jelent meg az Ügyfélkapun "FTP IP-KORLÁTOZÁS" címmel. A menüpontra kattintva beállítható legfeljebb 9 db IP cím, vagy IP címtartomány. A beállítás után a tárhelyre kizárólag a beállított címekről vagy tartományokból lehet FTP-vel bejelentkezni. Így a külföldi (ismeretlen tartományból származó) szerverekről érkező FTP betörési kísérlet kockázata minimalizálható."

A fenti idézetek a MediaCentertől származnak, szerintem hasznosak (és én is ennek estem szerintem az áldozatául). Ha véletlen ezzel a hsz-el vétettem volna a szabályok ellen, akkor elnézést kérek, moderáljátok.

[zseni]

Előnybe a fix IP címmel rendelkezők.
A többiek max. korlátozhatják a tartományt, de már ez is jó hír. A kérdés az persze, hogy erre mit lépnek a barátaink.