Joomla - valaki fájlokat próbál futtatni

Veres Sándor veresh at kossuthzs-szeged.sulinet.hu
2015. Már. 2., H, 09:27:31 CET


2015.02.25. 11:34 keltezéssel, Zsolt Farkas írta:
> Sulineten van az oldal és gyenge hozzá a PHP. Ez a max, ami elmegy
>
> Kaptam egy ilyen levelet, erről vélemény?
>
> "Az alábbi helyeken megtalálható állományokat felhasználva próbálták
> illetéktelenek a rendszerünket ismételten leterhelni:
>  -
> neumann-szhely.sulinet.hu/protected/www/components/com_search/models/gallery
> .php 
> <http://neumann-szhely.sulinet.hu/protected/www/components/com_search/models/gallery.php>
>  - 
> neumann-szhely.sulinet.hu/protected/www/plugins/editors-xtd/title.php 
> <http://neumann-szhely.sulinet.hu/protected/www/plugins/editors-xtd/title.php>
>
> Kérem, hogy vizsgálják meg a hivatkozott fájlokat, hogy azok a weboldal
> részét képezik-e, szükségesek-e az oldal működéséhez!"

Véleményem az, hogy nagyon sok helyen lehet még ilyen "fertőzött" 
fölösleges fájl, amit elhelyeztek a webszerver könyvtárstruktúrájában.
Meg lehet próbálni a következőt:
Telepíts virtuális gépbe egy tiszta Joomla-t, telepítsd ugyanazokat a 
modulokat, amiket az éles weboldalon is telepítettél. Csinálj róla egy 
teljes könyvtárstruktúra kivonatot /a rejtett fájlok könyvtárak se 
maradjanak ki '.'-al kezdődnek/ (ls parancs megfelelően 
felparaméterezve), majd az egyes fájloknak számold ki az md5sum értékét. 
Ezt egy pár soros bash szkripttel meg lehet csinálni.
Majd ezt végezd el a webszerveren lévő joomla könyvtárstruktúrára is, és 
vesd össze a kettőt. Ha nincs eltérés, akkor tiszta a könyvtárstruktúra, 
ha eltérés van akkor azokat a fájlokat ellenőrizni kell.
Az md5sum azért fontos szerintem, mivel nem csak idegen / káros .php 
fájlok lehetnek, hanem a joomla-hoz tartozó fájlokhoz is hozzáfűzheti a 
káros tartalmat.

Nem ismerem a Joomla lelki világát, de feltételezem vannak olyan fájlok 
amelyek a telepítés után jönnek létre (pl. *.css *.js fájlok továbbá az 
esetlegesen feltöltött docx, pdf, jpg, stb.) ezt csak azért írom, hogy 
ezekkel számolni kell.

A másik lehetséges megoldás, hogy törlöd a teljes könyvtárstruktúrát 
(kivéve a feltöltött fájlokat .docx, pdf, jpg) és kvázi "frissíted" 
ugyanazon verzió újonnan letöltött könyvtárstruktúrájával.
De ha ez a verzió biztonsági hibát tartalmaz, akkor nagyon hamar 
kezdheted újra.

Veres Sándor



---
A levél vírus, és rosszindulatú kód mentes, mert az avast! Antivirus védelme ellenőrizte azt.
http://www.avast.com
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20150302/44462e37/attachment.html>


További információk a(z) Techinfo levelezőlistáról