Rendszeres feltörések

[regi]

Már másodjára találták meg az oldalamat egy hónapon belül. Minden index, main, és default fájlomba beleírtak egy scriptet. Ami miatt persze a google is feketelistára tett, mert káros lehet az oldalam mások számára. Namost , amit tudtam megpróbáltam megtenni, jelszavak megváltoztatások, scriptek kitörlése a felülírt fájlokból, joomla tools suite felrakása-figyelmeztetések kiküszöbölése, mentek, frissítek... Sajnos az angollal hadilábon állok, tehát nem igazán értem azokat az oldalakat,amik "Általános tudnivalók, hasznos linkek alatt " vannak belinkelve. Tök jó lenne egy magyar összefoglalás, segítség ezzel kapcsolatban. Vagy legalább tudni, hogy mi alapján szúrták ki az én kis jelentéktelen oldalamat. Persze tudom, hogy a robotok az összes joomla-s (vagy más ismert cms, forum, galériás oldalon, - hogy meg ne sértődjetek ) oldalon végigmennek, de mi alapján? Hogy találják meg? Honnan látják, hogy virít róla: törjetek fel?! Van ilyen adatbázis, ahol már azonosították azokat az ípcímeket, amikről próbálkoztak, ha van, akkor ezeket hogyan tudom pl. felhasználni?
Én egy tipikus kis felhasználó vagyok, aki örült, mint majom a farkának, hogy végre össze tudott hozni egy weboldalt, minden programozási tudás nélkül, és valamit adni az olvasóinak. De most csak vírusokkal szolgálhatok. Szóval kicsit el is vagyok keseredve emiatt... Mindig megkapom, hogy a cms-ek már csak ilyenek, és így kell neked. De segítséget senki nem ad. Egyet megfigyeltem, mindenki tagad. Mindenkinél minden rendben van, az összes cms biztonságos, az összes tárhellyel együtt. Most én emiatt nem fogok tudni megtanulni programozni , és pénzem sincs, hogy másnak fizessek egy oldal lekódolásáért. Viszont, hetente sem fogom a scripteket írtogatni, az biztos. Nagyon szeretem a joomlát, de van egy határ... Tudom, hogy biztosan én hibáztam, de sajnos fogalmam sincs, hogy miben. Van valami ötletetek, jó tanácsotok? Vagy adjam fel?

[Tóth Tibor]

Nagyon nehéz így látatlanba segítséget nyújtani.
Ismerni kellene a tárhelyet, ahol az oldalad van, milyen bővítményeket használsz, milyen Joomla! verziót ... stb.

Néhány alapszabály:

1. Mindig csak megbízható forrásból töltsd le az alapfájlokat, bővítményeket, sablonokat.
2. Kerüld azokat a bővítményeket, amelyek 777 jogokat kérnek működéshez.
3. A configuration.php fájlt állítsd 644 jogokra (konfiguráció változtatáskor ezt 777-re kell ugyan, de utánna mihamarabb 644-re vissza!)

[regi]

Hu, de gyors vagy. Köszi!
A tárhelyen több weboldal is fent van, de csak azt bántották, amin cms-ek vannak a joomla, és alatta a phpbb3 fórum, ami még nincs összekapcsolva. Nem tudom, ez jelent-e valamit.
Joomla 1.5.3-at használok.
1. A ti oldalatok, és a joomla.org elég megbízható? A joomla.org-ról elérhető bővítményeket használom,általában olyanokat, amiket mások már véleményeztek, és gyakran használnak, és a Ja purity sablont.
2. Ezt honnan lehet tudni? Erre gondoltam én is, hogy valamelyik nem igazán lehet biztonságos.
3.Most nézem, hogy a configuration.php fájlom 444-en volt. Na ez már túlzás, akkor.

[regi]

Az rss factoryra gyanakszom..., hol lehet azt megtudni, hogy mennyire biztonságos?

[Adrián]

Gyakran előfordul az, hogy egy vírus rejtőzik a gépeden, ami továbbítja az ftp adatokat, ilyenkor nem ér semmti a jelszóváltoztatás. Első körben vírusírtás, vagy biztosabb a Format C:, majd ha ez megvan a biztonsági mentéseddel kell fölülírni a joomla fájlokat, ezután azonnal megváltoztatni az adatokat. egyes fájlokból a vírusnak vélt javascript kitörlése csak felesleges időhúzás. Az atribútumok persze legyenek biztonságosak, de önmagában ez ritkán szokott gond lenni.
Én a kiegészítők biztonsági réseivel nem szoktam törődni, mert sok nagy komponens is hemzseg ezektől.
Hasznos a total commanderrel nem megjegyeztetni a jelszavakat, mert az ilyen vírusok leggyakrabban azt figyelik és persze nem árt távol maradni a freepornó és warez oldalaktól sem, mert akkro hamar jöhet az áldás ismét

[erdsiger]

Ha van egy rendszergazda ismerősöd, akkor nézesd meg vele a feltöréskori logokat. Egy hozzáértő ember 1-2 óra alatt elég jól be tudja határolni, hogyan törték fel az oldalt.

[syska]

És írd meg, ha kiderül, miként törték fel, had tanuljunk az esetből.
(mármint megelőzni)

[zoli]

Minden index, main, és default fájlomba beleírtak egy scriptet.

Eznagyon ismeros nekem. Ha kozvetlenul a body tag utan (vagy ahol nincs, ott a fajl vegere) irtak be az idegen kodot, es az idegen kod ugy kezdodik, hogy <!-- o65 --> (o helyett lattam mar c-t es 65 helyett mas ketjegyu szamot is) akkor az ftp jelszot loptak el. Ha errol van szo leirom reszletesen hogy is mukodik a dolog.

Persze tudom, hogy a robotok az összes joomla-s (vagy más ismert cms, forum, galériás oldalon végigmennek, de mi alapján? Hogy találják meg? Honnan látják, hogy virít róla: törjetek fel?!

hogy hogy allapithato meg egy oldalrol hogy joomlas e? Pl ha megnezik a bongeszoben a honlapcime.hu/administrator/components/com_admin/admin.admin.php es nem 404 hiba oldalt ad, akkor majdnem biztos hogy joomla. Hogy mitol virit rola, hogy "torjetek fel" ? Nem virit rola. egyszeruen csak van egy szkript amibe a rosszfiuk mindig beleirjak az uj biztonsagi reseket kihasznalo szkriptjeiket es egyszeruen csak mindet vegigprobaljak.

De ahogy irtam nekem gyanus hogy itt az ftp jelszot loptak el, nem a szerverrol, nem a joomlabol, hanem a kliens szamitogeperol.

[regi]

Igen valószínű, hogy erről lesz, szó Zergemedve ... Egy kis bővebb infó,a problémáról, egy másik fórumon is tárgyalva lett a dolog , ott megtalálható a script , mondjuk az eleje nélkül. http://phpbb.hu/forum/tema/2998?start=1 ... highlight=
Oda is belinkelem, majd ezt a részt, okulás végett. Na ez már egy reménysugár!! Egyébként többfajta kód is volt, amit leírtál, abból két változat, és még egy ,amiket most nem tudok fejből,mert kitörölgettem már, de ha előjön, akkor majd megnézem. De a közös jellemző, tényleg az, hogy a leírt fájlok végére rakosgatja be. A másik fórumon viszont írtam, hogy egy másik honlap is van a tárhelyen, annak az index fájlját békénhagyta.
Köszönöm mindenkinek az ötleteket, és megígérem, hogy továbbra sem fogok sexoldalakat nézni.
Akkor nagyon várom, kíváncsi vagyok, hogy hogyan csinálják, és mit tudok csinálni majd. Nem érdekel, ha én voltam a hülye, valószínűleg én voltam, csak derüljön már ki és tudjak lépni ,és megelőzni az ilyeneket, mert elakadtam.

[regi]

Gyakran előfordul az, hogy egy vírus rejtőzik a gépeden, ami továbbítja az ftp adatokat, ilyenkor nem ér semmti a jelszóváltoztatás. Első körben vírusírtás, vagy biztosabb a Format C:, majd ha ez megvan a biztonsági mentéseddel kell fölülírni a joomla fájlokat, ezután azonnal megváltoztatni az adatokat. egyes fájlokból a vírusnak vélt javascript kitörlése csak felesleges időhúzás.

Adrián egyetértek! Én is ettől e felesleges törölgetéstől óvnám magam; a gépemet, az oldalt, meg a vírusoktól. Pedig itthon van tűzfal, állandó vírusvédelem. De még így is... valószínűleg, nem is ez a gép lesz a ludas.

Én a kiegészítők biztonsági réseivel nem szoktam törődni, mert sok nagy komponens is hemzseg ezektől.

Hát igen, de akkor ennek nem is lesznek következményei?

Hasznos a total commanderrel nem megjegyeztetni a jelszavakat

Na erre nem gondoltam... Csak az a baj, hogy nem tudom fejbentartani mindet...