Joomla - valaki fájlokat próbál futtatni
Veres Sándor
veresh at kossuthzs-szeged.sulinet.hu
2015. Feb. 25., Sze, 09:22:50 CET
Szia!
2015.02.25. 7:55 keltezéssel, Zsolt Farkas írta:
> Feltörték a Joomla alapú Sulinet szerverén lévő weblapunkat.
> Elhelyeztek egy fájlt, majd futtatták,aminek következtében több 1000
> spam ment ki.
> A fájlt letöröltük, jelszó változtatás volt, Joomla frissítés szintén,
> de a próbálkozások megmaradtak.
> Hogyan lehetne megszüntetni?
> Az access log tele van hasonló bejegyzésekkel, az IP változik (orosz,
> francia, német, holland IP)
> A hivatkozott .admin.php már nincs a megadott helyen.
> Az oldal szeptember óta készülget, és gyakorlatilag már a legelejétől
> fogva ott vannak ezek a sorok (jóformán tartalom sem volt az oldalon)
> a logban, így biztonsági mentés sincs, amit visszaállíthatnék.
Amint te is írod, ezek próbálkozások, 404-es Not Found hibaüzenetek.
A hibaüzeneteket a webszerver generálja, ezeket úgy tudnád megszüntetni,
ha csomagszinten tiltanád az érintett IP címek felől a csatlakozást a
80-as portra, pl iptables-el, vagy a webszerverben valamilyen geoip
modul használatával tiltanád az adott országokból érkező kéréseket.
De mivel a webszervert a NIIF üzemelteti, ez nagy valószínűséggel nem
megoldható.
A legfontosabb, hogy mindig a lehető leghamarabb telepítsd a biztonsági
frissítéseket a Joomlához, és ne használj kétes eredetű modulokat. De
szerintem, mivel folyamatosan próbálkoznak (és célzottan mivel tudják,
hogy Joomla oldal), ezért ha kiderül egy biztonsági hiba a Joomla-ban,
akkor nagy valószínűséggel hamarabb fogják feltörni, mint ahogy a
frissítést telepíted.
Továbbá ha egy fájlt el tudtak helyezni a szerveren, akkor nincs
garancia arra, hogy nem módosították az adatbázist. Inkább úgy
fogalmazok, hogy akkor nagy valószínűséggel módosították az adatbázist
is. Tehát az .admin.php törlésével nem biztos, hogy teljesen tiszta a
Joomla oldal. Erre megoldás lehetne egy korábbi mentésből visszaállított
adatbázis, majd a Joomla frissítése, de a mentés visszatöltésével nem
gátolnád meg a robotokat abban hogy próbálkozzanak.
Sajnos a Joomla oldalakat elég gyakran törik, ezért én inkább a drupalt
preferálom és ajánlom.
Veres Sándor
---
A levél vírus, és rosszindulatú kód mentes, mert az avast! Antivirus védelme ellenőrizte azt.
http://www.avast.com
További információk a(z) Techinfo levelezőlistáról