Joomla 2.5 vdor

5 naročnikov

Pozdravljeni,

pred kakšnim mescem sem imel na prejšnji joomla 2.5 strani očiten vdor (po moje -nisem profi) saj so bile v sami strani nameščene nekakšne sumljive kode katere so mi nafilale spletno stran z zdravili in povezavami, katere mislim ,da sem vse odstranil oz. zamenjal sveže datoteke in obnovil stran. Po tistem več ni nič sumljivega na strani, je pa ostal en velik problem, v googlu še je vedno več kot 100 drugs povezav prilepljenih na mojo domeno, pa nevem kako se rešiti tega oz. bi mi kakršnakoli pomoč prišla zelo prav.

Spletna stran:
www.royal-graphic.com

google povezava z linki:
http://bit.ly/13s2NAG

Naredi sitemap.xml, dodaj v webmaster tools in zahtevaš še enkrat indeksacijo

sem storil tako, čeprav sem že imel v webmaster sitemap , upam da je to to.

No dej reindex klikni v Webmaster tools

jaja, sem storil tako

Pa posodobi vse mode, plugine in komponente. Jih imaš za še eno joomlo zraven:)

tudi na tem delam zdaj, pa saj jih ni toliko :)

mi lahko kdo pove, kaj je ta napad naredil, rad bi kaj več našel in prebral o tem. Aja pa še to, kdaj bi naj prišlo do sprememb v googlu?

hvala

Odvisno od exploita. Lahko so samo spremenili vsebino spletne strani, dodali kak webshell iz katerga lahko potem izvajajo DDOS napade, lahko so pa tudi "ownali" server, ce je bil ranljiv na katerega izmed local root exploitov. Na tebi je da preveris.

Ce ti namestijo rootkit se ponavadi server zelo cudno obnasa in veliko sistemskih programov ne deluje, pojavljajo se razni errorji itd. Preglej si loge (ce jih niso izbrisali), poglej si kdaj so bili nazadnje spremenjene pomembne sistemske datoteke. Obstaja tudi par programov, ki ti preverijo, ce imas namesceno kaksno razlicico rootkita (rkhunter, chkrootkit...), vendar niso 100% uspesni, se posebno ce je kak non public 0day rookit. Ce sumis, da je server ownan je najboljsa resitev ponovna namestitev.

Zelo pomembno je, da najdes izvor napada, preko cesa so ti vdrli. Nesmiselno bi bilo, ce bi ob ponovni namestitvi streznika spet poganjal isto konfiguracijo, ki je se vedno ranljiva na napad. Odkrivanje preko cesa so vdrli je pa vcasih zelo tezko, se posebej ce je od vdora minilo precej casa oz ne ves kdaj je do njega prislo.

glede na to da je stran na hitrost.com, potem domnevam da je z serverjem vse vredu, drugače bi me že menda kontaktirali. In vsi linki ki so zdaj na googlu, če pogledam stran(posnetek) je vse na stari hackani strani, na novi strani teh linkov ni.

Še eno trotl vprašanje, zakaj vsi ti linki peljejo na mojo stran, v čem je fora? 2 x so mi že javili iz internationdrugs da se njihova domena pojavlja v mojih povezavah, seveda so linki izpred 2 mesecev. Malo dvomim da bo ponovno indeksiranje googla odpravilo to težavo. Razen če vsak link posebej odstranjujem v webmastertools?

Joomla firewall bi pomagal v tem primeru ?
Ye i wanna be sys. admin :)