Re: Joomla - valaki fájlokat próbál futtatni

Liska Zsolt lzspadie at gmail.com
2015. Feb. 25., Sze, 10:00:19 CET


Próbálj meg phpmyadminba rákeresni a .admin.php -ra.

cron-t nézted nem-e raktak be valami scriptet?

2015. február 25. 9:22 Veres Sándor írta, <
veresh at kossuthzs-szeged.sulinet.hu>:

> Szia!
>
> 2015.02.25. 7:55 keltezéssel, Zsolt Farkas írta:
>
>> Feltörték a Joomla alapú Sulinet szerverén lévő weblapunkat. Elhelyeztek
>> egy fájlt, majd futtatták,aminek következtében több 1000 spam ment ki.
>> A fájlt letöröltük, jelszó változtatás volt, Joomla frissítés szintén, de
>> a próbálkozások megmaradtak.
>> Hogyan lehetne megszüntetni?
>> Az access log tele van hasonló bejegyzésekkel, az IP változik (orosz,
>> francia, német, holland IP)
>> A hivatkozott .admin.php már nincs a megadott helyen.
>> Az oldal szeptember óta készülget, és gyakorlatilag már a legelejétől
>> fogva ott vannak ezek a sorok  (jóformán tartalom sem volt az oldalon) a
>> logban, így biztonsági mentés sincs, amit visszaállíthatnék.
>>
>
> Amint te is írod, ezek próbálkozások, 404-es Not Found hibaüzenetek.
> A hibaüzeneteket a webszerver generálja, ezeket úgy tudnád megszüntetni,
> ha csomagszinten tiltanád az érintett IP címek felől a csatlakozást a 80-as
> portra, pl iptables-el, vagy a webszerverben valamilyen geoip modul
> használatával tiltanád az adott országokból érkező kéréseket.
> De mivel a webszervert a NIIF üzemelteti, ez nagy valószínűséggel nem
> megoldható.
>
> A legfontosabb, hogy mindig a lehető leghamarabb telepítsd a biztonsági
> frissítéseket a Joomlához, és ne használj kétes eredetű modulokat. De
> szerintem, mivel folyamatosan próbálkoznak (és célzottan mivel tudják, hogy
> Joomla oldal), ezért ha kiderül egy biztonsági hiba a Joomla-ban, akkor
> nagy valószínűséggel hamarabb fogják feltörni, mint ahogy a frissítést
> telepíted.
> Továbbá ha egy fájlt el tudtak helyezni a szerveren, akkor nincs garancia
> arra, hogy nem módosították az adatbázist. Inkább úgy fogalmazok, hogy
> akkor nagy valószínűséggel módosították az adatbázist is. Tehát az
> .admin.php törlésével nem biztos, hogy teljesen tiszta a Joomla oldal. Erre
> megoldás lehetne egy korábbi mentésből visszaállított adatbázis, majd a
> Joomla frissítése, de a mentés visszatöltésével nem gátolnád meg a
> robotokat abban hogy próbálkozzanak.
>
> Sajnos a Joomla oldalakat elég gyakran törik, ezért én inkább a drupalt
> preferálom és ajánlom.
>
> Veres Sándor
>
>
> ---
> A levél vírus, és rosszindulatú kód mentes, mert az avast! Antivirus
> védelme ellenőrizte azt.
> http://www.avast.com
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20150225/a80ac8a3/attachment.html>


További információk a(z) Techinfo levelezőlistáról