Vdor v Joomla domeno - iščem pomoč

Imam vdor v Joomla domeno, ki pošilja Spam maile iz moje domene.
File-e sproti brišem, a se vedno pojavljajo novi ... pravtako sem posodobil Joomlo in plugine ... pa zamenjal gesla, pa nič ne pomaga ...

Bi mi znal kdo pomagati, proti plačilu seveda?

22 odgovorov

restore site-a iz backupa + patching preden gre site nazaj online, kksn maldet scan zna najdet še kaj kar so pustili za sabo

https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

mah je problem, ker nimam čiste strani na backup-u ... ker shekana je bila že Joomla 1.5, ki sem jo tudi zaradi tega pred dobre pol leta predelal na 3.x in upal, da bo potem OK, no, pa ni OK ...

Če imaš dostop do strežnika, lahko za maile v čakalni vrsti najdeš od katerega php fajla so poslani. Tako lahko poiščeš okužene datoteke.

Slayer, Ja, hosting provider mi ta seznam datotek pošlje in jaz vse pošistim, ampak kaj ko je vsakič kaka druga nova ali stara datoteka, ki to počenja ...

Če si updatal shekano zadevo pred pol leta pozabi, ker bo prekleto težko odkriti kaj je narobe.

Prenesi vsebine v fresh inštalacijo.

Ostane ti sicer primerjava md5 hasha za vse datoteke z originalnim in rocni pregled pri tistih, kjer se ne ujema.

OvcaX, malo narobe sem se izrazil, ... instaliral sem novo Joomlo 3.x vsebine pa mi je kolega prenesel s pomočjo nekega pregrama za migracijo ... ostal pa je star template, le nekoliko predelan, pa nekaj folderjev s slikami, itd ...

Kar se tiče MD5 hasha, sem pred tednom komplet vse file zadnje Joomle prepisal čez moje na serverju ...

Pomembno je, da sklopiš write pravice na mapah in datotekah (razen tam kjer je to nujno) in s tem preprečiš širjenje oz. ponovne okužbe.

Očitno ti okužba nekje ostaja, kar jim omogoča ponovno nalaganje teh njihovih shellov. Problem je, ker prepis datotek ne odstrani tistih ki so mogoče bile dodatno ustvarjene.

Glede na te info.
- Template pregledat za vse sumljive eval, decode itd.
- V images folderju pregledat vse datoteke. php tam nima kaj delat. Pozoren je treba bit tudi na morebitne izvršljive datoteke, ki imajo fake končnico.
- Če ti je prenašal vsebine s skripto, pomeni da je prenesel tudi vse morebitne okužbe v bazi ali vrinjeno v tekste.
- Preglej svoj komp za možnimi žužki. Prenehaj uporabljat filezillo. Zamenjaj vsa gesla. Admin mapo daj pod geslo.

2

theuros, mi lahko bolj natančno poveš kakšen Permission moram nastaviti (da bom še vedno lahko instaliral kak dodatek in upgradal Joomlo, itd)... tega namreč ne razumem najbolje ... če pogledam imam folderje nastavljene na 755, datoteke pa na 644 ?

slayer in Matjaž, hvala za odgovora, se strinjam z vama.