Pozdrav!
Na hostingu imam 4 joomla stranice, sve su 1.5.26 verzije, i u zadnjih mjesec dana s tri stranice imam problema. Prije tjedan dana sam skužio da na tri stranice ne mogu pristupiti u joomla backend, jer je izmijenjena šifra. Odoh u Cpanel i resetiram sifre, stavim nove username-ove super admina. I evo danas, nakon tjedan dana, opet ne mogu pristupiti na te iste 3 stranice.
Moja stranica zasad radi, i ne znam kako nju nisu srusili, a ostale tri jesu. Jedino sto mi pada na pamet, zasto moja stranica jos radi, jest sto sam stavio noviji .htaccess, i to mislim s joomle 1.7, jer sam procitao da je sigurniji, ili tako nesto. Da li je to moguce?
E sad, kako da otkrijem na koji nacin mi mijenjaju sifre, gdje traziti, i sto raditi, hvala.
Da li na sve 4 koristiš default Admin sa Username "Admin" ?
Ne, na svim stranicama sam imao razlicit username, ali sam na tri imao isti password. Na mojoj stranici je bio drugaciji pass.
Plus imam novi problem. Naime jednu od tih cetiri stranice, mi je prije mjesec dana napao neki Ghost-DZ-algerian hacker, ali to sam rijesio tako da sam digao backup...prije par minuta opet mi je skrsio istu stranicu. Jel mozda netko bio haknut od istog hackera, pa zna sto i gdje da trazim, odnosno bolje zastitim. Sad ponovno dizem backup, ali imam osjecaj da negdje imam rupu ili nesto slicno, i da ce opet pokusati.
Moraš što više o njemu i što je uradio napisati.
To gore može biti da su ti ukrali passworde preko nekog emaila.
U biti, napravi to da kad upisem motimari.com, umjesto stranice pojavi se black screen na kojem pise "Hacked by Ghost-DZ Algerian hacker" i to je sve. Dignem backup i sve radi...sad sam promjenio sve username-ove i passworde na svim stranicama i cpanel-ima, pa cu vidjeti.
Brine me to sto mi je to vec jednom napravio na toj jednoj stranici, pa ne zanima kako. Ovo sa passwordima je drugi slucaj i nema veze s tim hackerom. Dakle ovo s passwordima mi se dogadja na 3 od 4 stranice koje imam. Vidjet cu da li ce se to ponoviti nakon promjene svih usera i passworda.
Provjeri write dozvole za mape i datoteke. Mislim da imaš onu ekstenziju koja to za tebe sama provjeri.
U biti sve što on uradi je da upiše svoj code u template.
Pogledaj ovaj video. Mislim da ti to tako radi. Malo kasnije ću ga prostudirati radi mene samog.
http://www.youtube.com/watch?v=eosnfSyxF5Y
Folderi su mi 755, a fajlovi su 644, jedino su .htaccess i configuration.php na 444.
Treba se poigrati sa tim programom, moćna stvar bar mi tako djeluje. Neću vam govoriti kako da na net-u skinete onu drugu verziju....malo bolju.
Ali zbog SEF ne znam pronaći dinamične linkove. Nisam se ja tim exploitima nikad bavio pa ne znam koristiti te tools. Taj gore bih volio naučiti da testiram moje stranice.
Mislim da ti krade password hash sa tim programom gore. Kako i zašto, treba vidjeti koja je verzija Joomle. Neke imaju te rupe. Ti imaš zadnju verziju.
Zaboravio sam te pitati. Jesi brisao default Admin Username, ili si samo promijenio Username "Admin" u nešto drugo ?
ID u databazi od Admin je bitan nekad. On mora biti promijenjen. Mislim da je na default uvijek ID63 ( ili ID1, ne znam) pa postoje neki exploits i za to, krađa hash-a.
-----------------------------
Zaboravio sam najbitnije, link na program:
http://itsecteam.com/en/projects/project1.htm
hm...samo sam preimenovao stari "admin" user...probat cu s brisanjem i kreiranjem novog.
Mislim da ti neće pomoći, ali ipak uradi to.
Koje dodatke koristiš ?
Ma mislim da nije do ekstenzija, gledao sam i nemam nikakve kriticne...za onog hackera sam rijesio tako sto sam u .htaccess dodao blokiranje svih IP adresa iz Algerie, tako da vise ne bi trebao moci pristupiti toj stranici koju mi hacka.
.htaccess za Admin stranicu, ili za front ?
Nemoj to koristiti na front, uzima resurse od servera jer za svi posjetitelji i klikovi moraju tu provjeru prolaziti. Drži .htaccess što manjim i jednostavnijim.
Za front je to...jedino da onda u cpanelu probam zblokat te adrese...
Pa nemoj to raditi. Ništa nisi riješio. Kad tad će ti uletjeti neki drugi hacker, koji nema veze sa tim.
Moraš precizno znati kako ti uzima passwords.
Ma sve pet, ali ne znam kako da to saznam :) to i jest problem...nisam dosada nikad imao problema.
Jel ti kradu password od te stranice koju si već napisao na temi ?
Ako nisu daj na PP link stranica koje hackiraju. Da probam taj tool. Jer ne uspijevam ništa dobiti na drugim Joomla stranicama.
Da sad ne tražim okolo na kojim da probam tool, jer nemam pravo to ni raditi.
Da, na ovoj motimari.com mi i password kradu i jos mi je onaj hacker dvaput shakirao...mislim da je kradja passworda i hackiranje od onog Ghost-dz hackera, odvojen slucaj...passworde mi ustvari kradu na ukupno tri stranice...probaj tool ak hoces, al mi nemoj sad i ti nesto zeznut, jer sam digao backup i za sada stranica radi :)
Ne znam baš je li odvojen slučaj. Ukrade ti Admin password i u Admin panelu Paste svoj code u index.php od template. 1-2 minuta posla.
Tool ništa ne radi bez dozvole, prvo izvlači informacije iz databaze. A svakako ne mogu dobiti da radi. Ne znam na kojem URL i kako je onaj to radio.
U stvari nemam pojma kako oni pronalaze dinamične URL. Sve ovo što ja probam sa SEF URL ne radi.
A zasto onda i na ostale dvije stranice ne izmjeni index.php? Na ostale dvije stranice mi samo izmijeni passworde, ali ne napravi nista drugo...dakle stranice sasvim normalno rade, jedino se ne mozes u backend logirati...
Ne znam.
Ima i onaj fazon preko frontend sa Admin password reset i token. Ne znam uopće kakvi uvjeti trebaju biti da ono urade, ali sam na Youtube vidio da urade za par minuta. I ti imaš zadnje verzije Joomla.
Ako nemaš registraciju preko frontend pogasi sve one plugins za autentizaciju korisnika, sve Menu Items za korisnički račun, password reminder i reset. I slično već, ne znam sad napamet.
Ovako će ti se teško pomoći jer mi ovdje pojma nemamo u kojim sitnicama se te tvoje 4 stranice razlikuju. Tapkanje u mraku i nagađanje.
I uzmi onaj online "IP susjedi" , "IP neighbours" pa vidi ima li još stranica na serveru sa istim problemom. Čisto da isključiš rupu u samom serveru, mada ne vjerujem.
To su i meni napravili, sa time da je kod mene bio neki sirijski haker, samu stranicu nije bilo problem popraviti posto su samo index.php promijenili, ja sam u filovima nasao neki stari index.php i copy and paste stari preko Sirijskog, tako smo se igrali par dana, on mi srusi a ja vratim natrag pa je odustao, sve dok nisam skuzio da se ne mogu logirati u administraciju, to mi je popravio Renato i sad je ok, problem je sto sam ja bio uvijeren da se to dogada jer sam imao staru verziju joomle, kojih par mijeseci staru (1.5+) a sada čitam da je tebi to napravio na 1.5.26 verziji koju sada imam, valjda se nece opet ponoviti.
U jednom hakiranju osim podrske Sirijskom predsjedniku je pisalo da su haknuli server a ne joomlu i da predem na novi server, da li je to istina ili ne nemam pojma, site mi je na lunarpages hostu ako ti to što pomaze.
Jeste pronašli način kako netko mijenja admin i korisničke šifre i kako to spriječiti!
Citat: brq u 08. Ožujak 2013, 23:58
Jeste pronašli način kako netko mijenja admin i korisničke šifre i kako to spriječiti!
Sprečava se tako da da update-a Joomla kao i 3rd party dodaci (komponente / pluginovi). Jedini posao koji po završetku stranice imate je održavanj, odnosno jedanput mjesečno izgubiti 2 minute da se pogleda i napravi update.
Ali izgleda da je većini i to problem :)
Citat: DarioORION] link=topic=1730.msg14133#msg14133 date=1362994431]
Citat: brq u 08. Ožujak 2013, 23:58
Jeste pronašli način kako netko mijenja admin i korisničke šifre i kako to spriječiti!
Sprečava se tako da da update-a Joomla kao i 3rd party dodaci (komponente / pluginovi). Jedini posao koji po završetku stranice imate je održavanj, odnosno jedanput mjesečno izgubiti 2 minute da se pogleda i napravi update.
Ali izgleda da je većini i to problem :)
Joomla je bila update-ana redovito kad se to događalo. Riješio sam to sa dodavanjem par redaka u .htaccess(ne sjećam se više točno što sam dodao) i blokiranjem IP adresa Algerije, odakle su mi i sredili stranicu. Od onda više nemam problema.
Da prijatelju, ali treba update-ati i sve ostale komponente, jer u 99.99% slučajeva propusti dolazi kod dodataka koje se naknadno instalirao, na to Joomla baš i ne može utjecati :)
Meni jedan sajt konstantno pokušavaju urušiti (hakirati) već nekih 7 8 mjeseci. No sajt je joomla 2.5 i redovito radim update komponenti i same joomle. Napade sam otkrio preko komponente "preusmjeravanje" odnosno preko kodova koje pokušavaju uputiti u samom url-u.
Također pokušavaju pokrenuti razne skripte koje ne postoje na serveru. Malo sam istraživao i neki 'napadi' su rađeni s četiri IP adrese simultano, koje se nalaze na sasvim različitim stranama svijeta.
Evo @M4RiO post iznad ti ja mislim potvrđuje moj odgovor, ali problem je što većina ljudi koja se bavi Joomlom očito misli da se to posloži, naplati i da je tu priči kraj. Update-ovi nisu uzaludni :)
Citat: DarioORION] link=topic=1730.msg14192#msg14192 date=1363163203]
Evo @M4RiO post iznad ti ja mislim potvrđuje moj odgovor, ali problem je što većina ljudi koja se bavi Joomlom očito misli da se to posloži, naplati i da je tu priči kraj. Update-ovi nisu uzaludni :)
Apsolutno se slažem s tobom...imam tri sajta u joomli koje održavam i kao što kažeš redovito updejtam. Srećom, sve su to mali sajtovi i nemam puno komponenti i raznih dodataka, pa nije problem. Jedino nikako skok sa 1.5.26 na 2.5 napraviti :(
Citat: M4RiO u 13. Ožujak 2013, 14:25
Apsolutno se slažem s tobom...imam tri sajta u joomli koje održavam i kao što kažeš redovito updejtam. Srećom, sve su to mali sajtovi i nemam puno komponenti i raznih dodataka, pa nije problem. Jedino nikako skok sa 1.5.26 na 2.5 napraviti :(
A kaj da ti velim... neće ti baš ruže cvasti kod prebacivanja :)