joomla_antivirus_logo

Autor Tema: Hakeraj - Project: M4YH3M Hrvatska  (Posjeta: 4486 )

0 Članova i 1 Gost pregledava ovu temu.

Warning_in_array

  • Novi forumaš
  • *
  • Postova: 40
  • Karma: 0
    • Profil
Hakeraj - Project: M4YH3M Hrvatska
« : 15. Rujan 2011, 15:12 »
Eto opalili mi nekoliko portala npr. ovaj www.czk-cepin.hr i to na nacin da su izmjenili index.php i admin šifre. FTP nije izmjenjena šifra.
Nadogradio sam joomle na zadnju 1.5.23, admin šifre mjenjam svaki tjedan (i to komplicirane šifre) i što da napravim...

Zadnjih tjedan dana me jako jebu sa upadima.

A ako krenem u nadogradnju na 1.7 hoću li moći uopće nadograditi ili jel ima neka verzija nakon 1.5.23 koja je sigurnija (ako je to problem).

Molim za savjet...

toniinformatika

  • Mladi forumaš
  • **
  • Postova: 74
  • Karma: 0
  • Mess with the best die like the rest
    • Profil
    • Toni Informatika d.o.o.
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #1 : 15. Rujan 2011, 15:25 »
Poštovani,

ukoliko se nemožete zaštiti od napada na Vaše domene kontaktirajte hosting provajdera jer možda Vam ne napadaju sajd direktno nego preko portova na smaom serveru ili IP adresa.

Pokušajte sa hosterom pa vidite što će se dalje događati.

LP
Mess with the best die like the rest

Guardian

  • Gost
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #2 : 15. Rujan 2011, 15:41 »
Ne moraju mijenjati FTP login ako ga znaju. Tvoje je da ga promijeniš poslije upada. Kad ti upadnu onda mijenjaj baš sve. I Superadmin username promijeni da nikad nije "Admin".
Napravi novog Superadmina a taj stari disable ili izbriši.

Warning_in_array

  • Novi forumaš
  • *
  • Postova: 40
  • Karma: 0
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #3 : 15. Rujan 2011, 16:02 »
Ok, "admin" username mjenjam na svim portalima (naravno da je bio defoultni) šifre od administracija su mi ono &p9*&!kH436(- tak a nisu neke 1234 isto tako i za FTP. Ali promjeniti ću opet sve.

No ono što me zanima... je li baš moram nadograđivati joomlu na 1.7?

Kod hoistera je sve u redu (Avalon) bar tako kažu...

Hvala puno na savjetima

wooer

  • Administrator
  • *****
  • Postova: 1.050
  • Karma: 4
  • It's not bogus, it's an IBM standard
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #4 : 15. Rujan 2011, 16:33 »
Od kuda se nametnuo zaključak da je provaljeno kroz joomlu? Trenutno dodaci imaju daleko više sigurnosnih propusta pa se uvijek i kontinuirano savjetuje konzultiranje popisa http://docs.joomla.org/Vulnerable_Extensions_List
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity
Documentation & Translation Team Member

Warning_in_array

  • Novi forumaš
  • *
  • Postova: 40
  • Karma: 0
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #5 : 15. Rujan 2011, 16:35 »
Na baš ovome czk-cepin.com nema nikakve komponente niti dodataka...

iako sjećam se da na tih 7 portala koji su mi zahvaceni imam nesto od ovoga

Jomtube
xmap 1.2.10
JOMSOCIAL 2.0.x 2.1.x
Akeeba
sh404SEF
AVreloaded
acajoom
Joomla content editor (JCE 2.0.11 and JCE 1.5.7.14)

a na onom popisu su upravo te komponente
« Zadnja izmjena: 15. Rujan 2011, 16:42 Warning_in_array »

Warning_in_array

  • Novi forumaš
  • *
  • Postova: 40
  • Karma: 0
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #6 : 15. Rujan 2011, 17:39 »
Evo čisto jedna obavijest ako nekome može pomoći.

Meni su ulazili prekostarog JCE editora... na nekoliko portala jedino njega imam instaliranog i to prastaru verziju koju sam uvijek uzimao lokalno sa računala... nema drugog načina...

Iako ne kontam kako su i kroz njega mogli uploadati fajlove u /images mjenjati admin šifre...

oKRamxII

  • Ozbiljan forumaš
  • ****
  • Postova: 349
  • Karma: 0
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #7 : 16. Rujan 2011, 21:42 »
Od kuda se nametnuo zaključak da je provaljeno kroz joomlu? Trenutno dodaci imaju daleko više sigurnosnih propusta pa se uvijek i kontinuirano savjetuje konzultiranje popisa http://docs.joomla.org/Vulnerable_Extensions_List

Bogami, ima podosta tih ekstenzija...

patak

  • Gost
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #8 : 18. Rujan 2011, 21:02 »
Meni su također 'hakirali' stranicu. Joomla 1.5.22.

Od instaliranih pluginova/ekstenzija imam:

JCE 1.5.7.11
Sigplus
Google Maps

Promijenili su samo index.php stranicu i admin šifru.
Na svu sreću, nisu promijenili šifru za cPanel, pa sam promijenio njihovu admin šifru u bazi sa novom i stavio sam novi username.

Također, našao sam neku skriptu koju su stavili u /images folder. Stavio sam je u privitak, pa ako se nekome da proučiti, slobodono :)

Sada sam nadogradio Joomlu na 1.5.23, ali ne vidim u change log-u da su rješavali išta što se sigurnosti tiče, pa me zanima, ako netko zna kako se može dogoditi da netko upadne u site??

Na site-u nemam nikakvih obrazaca za ispunjavanje, searcha, loginova i sl...

Što bi trebao napraviti u pogledu daljnje zaštite, da se ovo više ne događa? I također, moram li mijenjati FTP i cPanel username i password ili je to "sigurno"?

Hvala!

P.S. Je li Joomla 1.7 bolja po pitanju sigurnosti?

Guardian

  • Gost
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #9 : 18. Rujan 2011, 21:42 »
Odmah se NOD3 javlja, Php.spy trojan.

etagure

  • Novi forumaš
  • *
  • Postova: 44
  • Karma: 0
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #10 : 18. Rujan 2011, 23:12 »
Ista stvar i meni prije 10-tak dana
Resetirana admin šifra, preko media managera uploadana skripta u images folder i preko skripte ubačena njihova index.html datoteka
Volio bih znati na koji su način ušli, preko koje extenzije
Joomla 1.5.23 u pitanju
pozz

Warning_in_array

  • Novi forumaš
  • *
  • Postova: 40
  • Karma: 0
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #11 : 19. Rujan 2011, 16:37 »
U images folderu ste vjerojatno imali "default.php" fajl koji je imao skriptu koja je radila pishing.

Uglavnom, ja sam to pobrisao, upgrejdao joomlu na 1.5.23
promjenio admin username i šifru
promjenio FTP šifru
zaštitio (putem cpanela) direktorij "administrator" sa šifrom
odinstalirao staru verziju JCE editora

još trebam pregledati ekstenzije...

oKRamxII

  • Ozbiljan forumaš
  • ****
  • Postova: 349
  • Karma: 0
    • Profil
Odg: Hakeraj - Project: M4YH3M Hrvatska
« Odgovori #12 : 19. Rujan 2011, 23:13 »
Odmah se NOD3 javlja, Php.spy trojan.

Je i kod mene se sad, nakon dugo vremena.

 

joomla_antivirus_logo
anything