Vdor na spletno stran

Fly

Guru

21. jul 2007

2.665

515

113

• 10. nov 2009

• #1

Prejšni teden so se mi začela vdiranja na moji dve spletni strani. Na obeh straneh mi je avast javljal trojanca. Nato sem pogledal php datoteke in so se zapisale razne povezave do sumljivih strani. Te sem ročno odstranil, nato se je šele začela "štala". Kar naenkrat je bilo več kot polovica datotek okuženih, ponekod je manjkala tudi koda.

Ok si rečem, vržem dol, in na novo vse naložim. Dela 2 dni vse ok, nato spet isto sranje. Odstranim vse komponente razen ene, še enkrat naložim le eno stran. Stran je delovala 2 dni, nato je bila danes spet okužena. Danes sem odstranil še zadnjo naknadno dodano komponento in zaenkrat še čakam.

Stran temelji na Joomli 1.5. Je zadnje verzije.
Strani sta na istem strežniku.

Kako pride do tega? Kaj narediti da se prepreči to, razen tega da imaš pač vse posodobljeno? Kje so mene našli? Kdo to dela - je to avtomatsko preiskovanje potencialnih strani za napad ali mi to nekdo namenoma dela? Ali se bo to nehalo?

Obe strani sta bili na spletu brez problema že okoli 8 mesecev. Zadnji mesec sem uporabljal google adwords, da sta strani malo bolj zaživeli.
V glavnem kaj narediti, stran mi predstavlja bistvo delovanja mojega malega podjetja (promocija)? Res nimam časa sedaj za te hece.

 

msenjur

Guru

11. sep 2007

27.022

-382

113

• 10. nov 2009

• #2

vprašaj tud na slo-tech-u, tm je več takih strokovnjakov!

 

Mikrohard

iPhone Profi

20. jul 2007

5.884

764

113

www.jernej.org

• 10. nov 2009

• #3

Glede na opisano ti bo težko kdo pomagal....
Kje imaš strežnik? Ali imaš na svojem domačem računalniku, ali imaš kje zakupljen prostor?
Če imaš dostop do logov, si oglej le-te, da boš videl, če je ob dotičnih trenutkih (ko se ti je zadeva usula) kdo dostopal do strežnika (ftp, http, mysql, ... karkoli).
Lahko tudi, da imaš na računalniku kak virus?
Mogoče imaš kje (web server, ftp, mysql, phpmyadmin) nastavljena default gesla?
Malo preveri varnostne nastavitve strežnika...

To, da bi ti kdo vdiral direktno preko joomle močno dvomim.... če pa slučajno res to počne, boš pa verjetno moral nadgraditi joomlo, ali pa poiskati in zakrpati varnostne luknje (še enkrat preveri, če nimaš še kje kakih default gesel).

 

Utisevalec

Guru

12. nov 2007

16.156

4.136

113

• 10. nov 2009

• #4

Za začetek domnevam, da imaš to na "domači" mašineriji a?

Kot prvo poskrbi za varen dostop LANa v WAN, torej absolutno nujno nek dober router in po možnosti zaprte vse porte ki jih nujno ne rabiš.

OS na serverju je kaj? Windows? Razmisli o kakšni zastonj in boljši alternativi!

Joomla je pomojem zadnja stvar, ki je povzročila vdor .. sploh če imaš zadnjo verzijo oz. vsaj eno od zadnjih!

Zadeva je avtomatična, (nek) okužen računalnik deluje kot scanner in išče ranljivosti na celotnem internetu .. ko najde žrtev se infiltrira in potem deluje kot nov iskalnik žrtev. Zaščita je kot sem že dejal: a. naravni omrežja b. na ravni PCja (server) c. na ravni aplikacije .. če imaš vse porihtano potem ni šans da te dobijo!

 

Fly

Guru

21. jul 2007

2.665

515

113

• 10. nov 2009

• #5

Strežnik nimam doma! Imam zakupljen prostor.

Loge sem samo malo preletel in nisem opazil nič sumljivega. Moram se malo bolj poglobiti. Recimo pri google analytics mi pa kaže da je neko recimo več kot eno uro na strani, kar prej nisem nikoli opazil. Ne vem na kakšen način se to meri, tako da ne vem če je povezano, ampak od takrat ko sem to opazil sem takoj naslednje jutro imel vdor.
Na računalniku preverjeno nimam virusa.

default gesla sigurno nimam nikjer, je pa default user name, edino to lahko še spremenim.

 

matejdro

HACKER 08

6. jan 2008

2.267

0

36

• 10. nov 2009

• #6

če nimaš fizičnega dostopa do "kište" verjetno lahko bolj malo narediš. Kontaktiraj ponudnika, kjer imaš zakupljen prostor.

 

erikson

Guru

25. avg 2007

22.712

6.480

113

• 10. nov 2009

• #7

Citat:
Uporabnik Fly pravi:
Strežnik nimam doma! Imam zakupljen prostor.

Klikni za razširitev

Zamenjaj geslo za ftp dostop. Nekako so prišli do njega.

 

Fly

Guru

21. jul 2007

2.665

515

113

• 10. nov 2009

• #8

Uf, to je praktično nemogoče.
Izdelujem neko programsko opremo in imam posodobitve vezane na ta strežnik. Ne bi rad sedaj kompliciral strankam.
No ja, če se bo res izkazalo da je to razlog, bo pač treba to narediti.

 

Odisej

arhivar

Osebje foruma

Administrator

2. sep 2007

7.644

9

113

Alter.si

www.skodelica-s-sliko.com

• 10. nov 2009

• #9

Čaki malo... ti imaš EN (ftp?) username, ki ga deješ okol xy folku in ta username ima hrati root dostop do tvojih spletnih strani? Upam da se hecaš

 

Fly

Guru

21. jul 2007

2.665

515

113

• 10. nov 2009

• #10

ta username in password ni viden nikomur. Pač program se interno v neki situaciji poveže na strežnik

 

Odisej

arhivar

Osebje foruma

Administrator

2. sep 2007

7.644

9

113

Alter.si

www.skodelica-s-sliko.com

• 10. nov 2009

• #11

Kriptiraš povezavo aplikacije (sftp)? Si 100% da stranke ne morejo dobiti virusa, da jim ni kdo snifal prometa in ujel gesla... No, ne vem zate, ampak na tvojem mestu bi OBVEZNO menjal geslo in razmislil o ločenem ftp računu za razne backupe (če se da nastavljat pravice za posamezne userje, boš vsaj lahko pogruntal kje je luknja), potem ok, ne vem kako dela joomla, ampak če imaš bazo, menjaj pass (ne pozabi ga menjat tudi na strani

)


Lp

 

Nazadnje urejeno: 10. nov 2009