Hakeraj - Project: M4YH3M Hrvatska

Autor Warning_in_array, 15. Rujan 2011, 15:12

0 Članovi i 1 Gost pregledava ovu temu.

Warning_in_array

Eto opalili mi nekoliko portala npr. ovaj www.czk-cepin.hr i to na nacin da su izmjenili index.php i admin šifre. FTP nije izmjenjena šifra.
Nadogradio sam joomle na zadnju 1.5.23, admin šifre mjenjam svaki tjedan (i to komplicirane šifre) i što da napravim...

Zadnjih tjedan dana me jako jebu sa upadima.

A ako krenem u nadogradnju na 1.7 hoću li moći uopće nadograditi ili jel ima neka verzija nakon 1.5.23 koja je sigurnija (ako je to problem).

Molim za savjet...

toniinformatika

Poštovani,

ukoliko se nemožete zaštiti od napada na Vaše domene kontaktirajte hosting provajdera jer možda Vam ne napadaju sajd direktno nego preko portova na smaom serveru ili IP adresa.

Pokušajte sa hosterom pa vidite što će se dalje događati.

LP
Mess with the best die like the rest

Guardian

Ne moraju mijenjati FTP login ako ga znaju. Tvoje je da ga promijeniš poslije upada. Kad ti upadnu onda mijenjaj baš sve. I Superadmin username promijeni da nikad nije "Admin".
Napravi novog Superadmina a taj stari disable ili izbriši.

Warning_in_array

Ok, "admin" username mjenjam na svim portalima (naravno da je bio defoultni) šifre od administracija su mi ono &p9*&!kH436(- tak a nisu neke 1234 isto tako i za FTP. Ali promjeniti ću opet sve.

No ono što me zanima... je li baš moram nadograđivati joomlu na 1.7?

Kod hoistera je sve u redu (Avalon) bar tako kažu...

Hvala puno na savjetima

wooer

Od kuda se nametnuo zaključak da je provaljeno kroz joomlu? Trenutno dodaci imaju daleko više sigurnosnih propusta pa se uvijek i kontinuirano savjetuje konzultiranje popisa http://docs.joomla.org/Vulnerable_Extensions_List
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity
Documentation & Translation Team Member

Warning_in_array

#5
Na baš ovome czk-cepin.com nema nikakve komponente niti dodataka...

iako sjećam se da na tih 7 portala koji su mi zahvaceni imam nesto od ovoga

Jomtube
xmap 1.2.10
JOMSOCIAL 2.0.x 2.1.x
Akeeba
sh404SEF
AVreloaded
acajoom
Joomla content editor (JCE 2.0.11 and JCE 1.5.7.14)

a na onom popisu su upravo te komponente

Warning_in_array

Evo čisto jedna obavijest ako nekome može pomoći.

Meni su ulazili prekostarog JCE editora... na nekoliko portala jedino njega imam instaliranog i to prastaru verziju koju sam uvijek uzimao lokalno sa računala... nema drugog načina...

Iako ne kontam kako su i kroz njega mogli uploadati fajlove u /images mjenjati admin šifre...

oKRamxII

Citat: wooer  u 15. Rujan 2011, 16:33
Od kuda se nametnuo zaključak da je provaljeno kroz joomlu? Trenutno dodaci imaju daleko više sigurnosnih propusta pa se uvijek i kontinuirano savjetuje konzultiranje popisa http://docs.joomla.org/Vulnerable_Extensions_List

Bogami, ima podosta tih ekstenzija...

patak

Meni su također 'hakirali' stranicu. Joomla 1.5.22.

Od instaliranih pluginova/ekstenzija imam:

JCE 1.5.7.11
Sigplus
Google Maps

Promijenili su samo index.php stranicu i admin šifru.
Na svu sreću, nisu promijenili šifru za cPanel, pa sam promijenio njihovu admin šifru u bazi sa novom i stavio sam novi username.

Također, našao sam neku skriptu koju su stavili u /images folder. Stavio sam je u privitak, pa ako se nekome da proučiti, slobodono :)

Sada sam nadogradio Joomlu na 1.5.23, ali ne vidim u change log-u da su rješavali išta što se sigurnosti tiče, pa me zanima, ako netko zna kako se može dogoditi da netko upadne u site??

Na site-u nemam nikakvih obrazaca za ispunjavanje, searcha, loginova i sl...

Što bi trebao napraviti u pogledu daljnje zaštite, da se ovo više ne događa? I također, moram li mijenjati FTP i cPanel username i password ili je to "sigurno"?

Hvala!

P.S. Je li Joomla 1.7 bolja po pitanju sigurnosti?

Guardian

Odmah se NOD3 javlja, Php.spy trojan.

etagure

Ista stvar i meni prije 10-tak dana
Resetirana admin šifra, preko media managera uploadana skripta u images folder i preko skripte ubačena njihova index.html datoteka
Volio bih znati na koji su način ušli, preko koje extenzije
Joomla 1.5.23 u pitanju
pozz

Warning_in_array

U images folderu ste vjerojatno imali "default.php" fajl koji je imao skriptu koja je radila pishing.

Uglavnom, ja sam to pobrisao, upgrejdao joomlu na 1.5.23
promjenio admin username i šifru
promjenio FTP šifru
zaštitio (putem cpanela) direktorij "administrator" sa šifrom
odinstalirao staru verziju JCE editora

još trebam pregledati ekstenzije...

oKRamxII

Citat: Guardian  u 18. Rujan 2011, 21:42
Odmah se NOD3 javlja, Php.spy trojan.

Je i kod mene se sad, nakon dugo vremena.