Kaj mi je storiti? Joomla vdor

Pozdravljeni!

Pred mesecem dni so se na naši strani dogajali napadi, kjer je zapolnilo zakupljeno količino diska na strežniku do 100%. To smo rešili (hvala OvcaX!) vendar sem danes dobil obvestilo od SI-CERTa, da je bila na stran podtaknjena datoteka /x.txt. Hekerji naj bi izkoristili varnostno luknjo v urejevalniku JCE. Datoteko sem pobrisal, posodobil JCE na zadnjo različico, vendar pa v določenih kategorijah (blog view in v članku) sploh ni več fotografij! To lahko vidite tukaj: http://www.elektro-vozila.si/elektricni-avtomobili/ medtem, ko denimo slike v kategoriji Hibridi so.

Žal nimam toliko znanja o vdorih in sankcioniranju, zato se obračam na prijazne uporabnike foruma. Res bi bil zelo zelo hvaležen za vsak nasvet in pomoč, kajti uporabniška izkušnja naših bralcev je zelo oslabljena :(

Zadeva je še na Joomli 1.5, vendar bomo v naslednjih 60 dneh prešli na 3.0, če bom uspel vse dokončati v tem časovnem okviru.

Hvala že vnaprej,
Rok

20 odgovorov

@r0ks0n - najhitreje je, če ti ponudnik pomaga locirat datoteke - recimo linux find . -mtime -10 (datoteke spremenjene v zadnjih 10 dneh) in se ponavadi lepo vidi kaj je za popravit. Seveda če ni posegov v bazo.

1

Meni NE delujejo naslovi na Firefoxu 18.0.1

1

Twosocks: obicajno od ponudnika dobim odgovor: obrnite se na izdelovalca spletne strani... Tako, da se vedno obracam nase in na prijazne uporabnike tega foruma (OvcaX je car!). Sem zadevo nekako resil, cimprej pa se je potrebno znebiti tele Joomle 1.5... Nov portal se dela na 2.5, vendar sem v resnih dvomih, ce ne bi sel kar takoj na 3.0.

Sicer pa hvala vsem za feedback, bomo resili zadevo (ce ne prej pa cez cca mesec, ko zazivi nova podoba).

1

r0ks0n:
Twosocks: obicajno od ponudnika dobim odgovor: obrnite se na izdelovalca spletne strani... Tako, da se vedno obracam nase in na prijazne uporabnike tega foruma (OvcaX je car!).

Sej ne zahtevaš od njega da ti čisti, kar je kriv tvoj CMS (kar je res). Lahko pa bi vsaj zrihtal seznam spremenjenih datotek ...

@r0ks0n , žal te moram razočarati, da verjetno ni podtaknjena samo tista datoteka x.txt v kateri verjetno piše Hacked by Hemi7 ampak je po vseh direktorjih nasranih datotek index.old.php z raznimi linki...... Ja tudi jaz bi ga tepel ..... No, ker delam na svojem strežniku sem se teh datotek na hitro rešil z ukazom: find . -type f -name "index.old.php" -exec rm -f {} \; sedaj čakam kje me bo spet presenetilo nekaj novega. Predlagam, da pregledaš še ostale direktorije, predvsem pa ti priporočam, da preveriš tudi datotek tipa js ...na koncu datotek preveri če je notri kaj takega <iframe style=..iframe> ...pa namesto * je link na stran z virusi...

2

Namesti JoomScan
http://web-center.si/projekt-joomscan/155-orodje-za-testiranje-joomle-joomscan
http://web-center.si/informacijska-varnost/it-za-spletne-administratorje/410-13-nasvetov-za-boljo-varnost-joomle

Boco: najlepsa hvala za nasvet, resnicno! Bom preveril takoj, ko najdem pol ure casa. Upam, da mi cimprej uspemdokoncati J2.5 zadevo, da se znebim teh sr*** :)

1

Kako pa lahko navadni uporabniki uporabimo Joomscan? .. pojma nimam o teh strežniških zadevah .. sem pa na shared serverju ..

Kot razumem jaz tale joomscan, je to script za instalacijo na tvoj računalnik. Ta potem skenira določeno spletno stran in odkriva ranljivosti.
Če imam prav, skoraj neuporaben program za admina, ki vsaj malo pozna joomlo. Če vem, da imam inštaliran jce izpred 5 let, ne rabim še potrditve s strani skripte.

@phpseo
Po vsej možnosti, je z avtomatsko skripto (php) includal x.txt in s tem pridobil dostop. Eden izmed možnih razlogov je pa sloves.