Eto opalili mi nekoliko portala npr. ovaj www.czk-cepin.hr i to na nacin da su izmjenili index.php i admin šifre. FTP nije izmjenjena šifra.
Nadogradio sam joomle na zadnju 1.5.23, admin šifre mjenjam svaki tjedan (i to komplicirane šifre) i što da napravim...
Zadnjih tjedan dana me jako jebu sa upadima.
A ako krenem u nadogradnju na 1.7 hoću li moći uopće nadograditi ili jel ima neka verzija nakon 1.5.23 koja je sigurnija (ako je to problem).
Molim za savjet...
Poštovani,
ukoliko se nemožete zaštiti od napada na Vaše domene kontaktirajte hosting provajdera jer možda Vam ne napadaju sajd direktno nego preko portova na smaom serveru ili IP adresa.
Pokušajte sa hosterom pa vidite što će se dalje događati.
LP
Ne moraju mijenjati FTP login ako ga znaju. Tvoje je da ga promijeniš poslije upada. Kad ti upadnu onda mijenjaj baš sve. I Superadmin username promijeni da nikad nije "Admin".
Napravi novog Superadmina a taj stari disable ili izbriši.
Ok, "admin" username mjenjam na svim portalima (naravno da je bio defoultni) šifre od administracija su mi ono &p9*&!kH436(- tak a nisu neke 1234 isto tako i za FTP. Ali promjeniti ću opet sve.
No ono što me zanima... je li baš moram nadograđivati joomlu na 1.7?
Kod hoistera je sve u redu (Avalon) bar tako kažu...
Hvala puno na savjetima
Od kuda se nametnuo zaključak da je provaljeno kroz joomlu? Trenutno dodaci imaju daleko više sigurnosnih propusta pa se uvijek i kontinuirano savjetuje konzultiranje popisa http://docs.joomla.org/Vulnerable_Extensions_List
Na baš ovome czk-cepin.com nema nikakve komponente niti dodataka...
iako sjećam se da na tih 7 portala koji su mi zahvaceni imam nesto od ovoga
Jomtube
xmap 1.2.10
JOMSOCIAL 2.0.x 2.1.x
Akeeba
sh404SEF
AVreloaded
acajoom
Joomla content editor (JCE 2.0.11 and JCE 1.5.7.14)
a na onom popisu su upravo te komponente
Evo čisto jedna obavijest ako nekome može pomoći.
Meni su ulazili prekostarog JCE editora... na nekoliko portala jedino njega imam instaliranog i to prastaru verziju koju sam uvijek uzimao lokalno sa računala... nema drugog načina...
Iako ne kontam kako su i kroz njega mogli uploadati fajlove u /images mjenjati admin šifre...
Citat: wooer u 15. Rujan 2011, 16:33
Od kuda se nametnuo zaključak da je provaljeno kroz joomlu? Trenutno dodaci imaju daleko više sigurnosnih propusta pa se uvijek i kontinuirano savjetuje konzultiranje popisa http://docs.joomla.org/Vulnerable_Extensions_List
Bogami, ima podosta tih ekstenzija...
Meni su također 'hakirali' stranicu. Joomla 1.5.22.
Od instaliranih pluginova/ekstenzija imam:
JCE 1.5.7.11
Sigplus
Google Maps
Promijenili su samo index.php stranicu i admin šifru.
Na svu sreću, nisu promijenili šifru za cPanel, pa sam promijenio njihovu admin šifru u bazi sa novom i stavio sam novi username.
Također, našao sam neku skriptu koju su stavili u /images folder. Stavio sam je u privitak, pa ako se nekome da proučiti, slobodono :)
Sada sam nadogradio Joomlu na 1.5.23, ali ne vidim u change log-u da su rješavali išta što se sigurnosti tiče, pa me zanima, ako netko zna kako se može dogoditi da netko upadne u site??
Na site-u nemam nikakvih obrazaca za ispunjavanje, searcha, loginova i sl...
Što bi trebao napraviti u pogledu daljnje zaštite, da se ovo više ne događa? I također, moram li mijenjati FTP i cPanel username i password ili je to "sigurno"?
Hvala!
P.S. Je li Joomla 1.7 bolja po pitanju sigurnosti?
Odmah se NOD3 javlja, Php.spy trojan.
Ista stvar i meni prije 10-tak dana
Resetirana admin šifra, preko media managera uploadana skripta u images folder i preko skripte ubačena njihova index.html datoteka
Volio bih znati na koji su način ušli, preko koje extenzije
Joomla 1.5.23 u pitanju
pozz
U images folderu ste vjerojatno imali "default.php" fajl koji je imao skriptu koja je radila pishing.
Uglavnom, ja sam to pobrisao, upgrejdao joomlu na 1.5.23
promjenio admin username i šifru
promjenio FTP šifru
zaštitio (putem cpanela) direktorij "administrator" sa šifrom
odinstalirao staru verziju JCE editora
još trebam pregledati ekstenzije...
Citat: Guardian u 18. Rujan 2011, 21:42
Odmah se NOD3 javlja, Php.spy trojan.
Je i kod mene se sad, nakon dugo vremena.