Joomla - valaki fájlokat próbál futtatni

Veres Sándor veresh at kossuthzs-szeged.sulinet.hu
2015. Feb. 25., Sze, 09:22:50 CET


Szia!

2015.02.25. 7:55 keltezéssel, Zsolt Farkas írta:
> Feltörték a Joomla alapú Sulinet szerverén lévő weblapunkat. 
> Elhelyeztek egy fájlt, majd futtatták,aminek következtében több 1000 
> spam ment ki.
> A fájlt letöröltük, jelszó változtatás volt, Joomla frissítés szintén, 
> de a próbálkozások megmaradtak.
> Hogyan lehetne megszüntetni?
> Az access log tele van hasonló bejegyzésekkel, az IP változik (orosz, 
> francia, német, holland IP)
> A hivatkozott .admin.php már nincs a megadott helyen.
> Az oldal szeptember óta készülget, és gyakorlatilag már a legelejétől 
> fogva ott vannak ezek a sorok  (jóformán tartalom sem volt az oldalon) 
> a logban, így biztonsági mentés sincs, amit visszaállíthatnék.

Amint te is írod, ezek próbálkozások, 404-es Not Found hibaüzenetek.
A hibaüzeneteket a webszerver generálja, ezeket úgy tudnád megszüntetni, 
ha csomagszinten tiltanád az érintett IP címek felől a csatlakozást a 
80-as portra, pl iptables-el, vagy a webszerverben valamilyen geoip 
modul használatával tiltanád az adott országokból érkező kéréseket.
De mivel a webszervert a NIIF üzemelteti, ez nagy valószínűséggel nem 
megoldható.

A legfontosabb, hogy mindig a lehető leghamarabb telepítsd a biztonsági 
frissítéseket a Joomlához, és ne használj kétes eredetű modulokat. De 
szerintem, mivel folyamatosan próbálkoznak (és célzottan mivel tudják, 
hogy Joomla oldal), ezért ha kiderül egy biztonsági hiba a Joomla-ban, 
akkor nagy valószínűséggel hamarabb fogják feltörni, mint ahogy a 
frissítést telepíted.
Továbbá ha egy fájlt el tudtak helyezni a szerveren, akkor nincs 
garancia arra, hogy nem módosították az adatbázist. Inkább úgy 
fogalmazok, hogy akkor nagy valószínűséggel módosították az adatbázist 
is. Tehát az .admin.php törlésével nem biztos, hogy teljesen tiszta a 
Joomla oldal. Erre megoldás lehetne egy korábbi mentésből visszaállított 
adatbázis, majd a Joomla frissítése, de a mentés visszatöltésével nem 
gátolnád meg a robotokat abban hogy próbálkozzanak.

Sajnos a Joomla oldalakat elég gyakran törik, ezért én inkább a drupalt 
preferálom és ajánlom.

Veres Sándor


---
A levél vírus, és rosszindulatú kód mentes, mert az avast! Antivirus védelme ellenőrizte azt.
http://www.avast.com



További információk a(z) Techinfo levelezőlistáról