ForumCała strona

Nawigacja

Aktualnie online

Gości online: 24

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Włamanie na stronę i rozsyłanie spamu
bilbopl
Otóż w ciągu miesiąca zablokowano mi drugi raz konto na boo.pl. Serwis zablokował mi je z powodu plików rozsyłających spam. Panowie z boo.pl zlokalizowali pliki i je usunęli po czym odblokowali mi konto i zalecili upgrade cms-a do najnowszej wersji, tak też zrobiłem. Dzisiaj problem znów się pojawił i znów jest to problem z rozsyłaniem spamu (konto na boo.pl zablokowane w skrzynce mailowej z boo.pl 220 wiadomości zwrotnych)i boo.pl znowu mi zablokowało konto. W jaki sposób można zabezpieczyć cms-a przed włamaniami?
Nie wiem czy to ma coś do rzeczy ale według licznika odwiedzin strona miała ~800 odwiedzin dziennie. I w ciągu przeszło 2 lat nic się ze stroną nie działo.

Wersja PHP-Fusion to 7.02.06 CorePL

Pozdrawiam.

Edit: Hasła po pierwszym ataku pozmieniałem.

Edit2: Przepraszam, poprawiam.

 
Wścibski Gość
Dodany dnia 25.11.2024 01:44:27
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
bogdan
Niedawno przerabiałem podobny problem.
Trwało to kilka dni, a właściwie jeszcze są jakieś niedobitki.
Musisz sprawdzić wszystkie pliki.
Najłatwiej będzie Ci patrzeć na ich ostatnią datę edycji.
Bo oprócz plików dodanych przez bota/hakera, prawdopodobnie będziesz miał dodany kod do plików "index.php" i to w przeróżnych folderach - wtyczek, skórek, includes, nawet w galerii.


Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. Pfft
 
dysko-patia.eu
bilbopl
Niestety na tą chwilę nie mam dostępu do żadnych plików. Boo.pl w takich przypadkach blokuje dostęp także do FTP. Zastanawiałem się czy to może jakaś luka w PHP-Fusion i jest może jakaś łatka na taki atak?

 
bogdan
A przez DirectAdmin nie wejdziesz?
Napisz do nich, wyjaśnij, że teraz mogą być nie tylko dodane pliki bota, ale także kody w innych, niech oni sprawdzą, jak Tobie zablokowali taką możliwość.
To nie koniecznie jest winą PHP-Fusion.


Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. Pfft
 
dysko-patia.eu
bilbopl
Niestety w żaden sposób nie mam dostępu do plików. Panel administracyjny pozwala praktycznie w takiej sytuacji tylko na zadanie pytania do "helpdesku". Nawet niemożna skorzystać z maila. Napisałem już do nich aby zlokalizowali problem i go w jakiś sposób rozwiązali. Poprzednio to pomogło ale tylko na jakieś 2 tygodnie, wtedy zalecili mi aktualizację PHP-Fusion do najnowszej wersji (co oczywiście zrobiłem).

 
Pieka
Na tym hostingu jest dostęp do FTP-a. Coś nam tu ściemniasz kolego.
Zrób, co napisał Bogdan lub zmień hosting, skoro obecny nie potrafi poprawnie zlokalizować problemu. A nie jest to wina wersji 7.02.06, która to jest na tę chwilę załatana.


Jestem jaki jestem Smile
 
www.php-fusion.pl
bilbopl
Pieka napisał(a):

Na tym hostingu jest dostęp do FTP-a. Coś nam tu ściemniasz kolego.
Zrób, co napisał Bogdan lub zmień hosting, skoro obecny nie potrafi poprawnie zlokalizować problemu. A nie jest to wina wersji 7.02.06, która to jest na tę chwilę załatana.


Tak jak napisałem, po zablokowaniu konta na boo.pl serwis blokuje także dostęp do FTP i poczty. Są one widoczne w panelu administracyjnym boo.pl i można przejść do panelu logowania ale niestety niemożna się już na nie zalogować.

 
bogdan
Mnie też pomagało usunięcie "oczywistych" plików, które zostały dodane.
Myk jest w tym, że to co zostało w "indexach" i innych plikach dodane, ponownie po jakimś czasie wywołuje zamieszanie.
To taka jakby "tylna furtka", którą nie jest łatwo namierzyć.


Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. Pfft
 
dysko-patia.eu
Pieka
No to niech odblokują, skoro masz mieć możliwość coś z tym zrobić. Bez dostępu do konta nic nie zdziałasz.

Chwilowo usuń pliki odpowiedzialne za mailing, czyli:
  1. contact.php
  2. sendmail_include.php
  3. class.smtp.php
  4. class.phpmailer.php

Doraźnie powinno pomóc i dać Ci czas na wyszukanie i neutralizację obcego kodu.


Jestem jaki jestem Smile
 
www.php-fusion.pl
bilbopl
Panowie z Boo.pl Także mnie poinformowali, że usunęli wszystkie podejrzane wpisy z plików, które były ostatnio edytowane.
Reasumując: Na tą chwilę postawienie całkowicie od nowa PHP-Fusion 7.02.06 zmniejszyłoby ryzyko włamu/zainfekowaniu plików?

Orientujecie się może czy stosowanie dziwnej polityki firm hostujących na zasadzie: "za dużo nas obciążasz to się ciebie pozbędziemy" Jest prawdą,o której czytałem już na kilku forach?
Zastanawia mnie to ponieważ na boo.pl posiadam 4 aktywne strony (właśnie na PHP-Fusion) i na żadnej z nich niema żadnych problemów mimo starszych wersji PHP-Fusion. Z tym, że na tych stronach jest ~50 odwiedzin dziennie.

Jedyne co mi pozostaje to czekać do poniedziałku, kiedy ktoś w boo.pl pracuje Smile W momencie kiedy mi odblokują dostęp sprawdzę te wszystkie pliki.

Dzięki i pozdrawiam.


Edytowane przez bilbopl dnia 02.03.2013 21:35:14
 
Pieka
Przejrzyj bazę, a następnie wykonaj jej kopię/zrzut.
Później na wszelki wypadek zrób to samo z całym kontem.
Po ww. zmień wszystkie hasła i wyczyść konto.

Po wszystkim wrzuć na serwer nowe pliki. Możesz zainstalować ponownie system i przywrócić kopię bazy lub od razu ją przywrócić.
Zachowaj stary plik config.php. Po wszystkim wyedytujesz go i zmienisz hasło na nowe (i ewentualnie login).

Opisy tych działań znajdziesz w tematach dotyczących przenoszenia strony.


Jestem jaki jestem Smile
 
www.php-fusion.pl
TOM_PL
Mam to samo co kolega bilbopl, pierwsze ataki miały miejsce około 22 lutego, jakiś bot nadpisywał pliki z przedrostkiem WP np.(wp-includes.php) powodowało to rozsyłanie ponad 1000 maili dziennie. Więc wyczyściłem FTP, zaktualizowałem stronę do v7.02.06, zmieniłem wszystkie hasła i był spokój do wczoraj aż zablokowali mi konto.
Dziś dostałem raport że miało miejsce rozsyłanie spamu i zdjęli mi blokadę, po zalogowaniu powtórka z rozrywki czyli znów pełno nadpisanych plików plus wszystkie z głównego katalogu edytowane i zainfekowane.

Dodam że nigdy nigdzie nie zapisywałem hasła do FTP używam filezilli,
przed atakiem nic nie modyfikowałem-zapisywałem na ftp od września.
Moim zdaniem prawdopodobnie jakaś wtyczka może być dziurawa.
proponuję wymienić się z kolegą informacjami co instalował na swojej stronie, bo u mnie jest Shoutbox, Biblioteka E-booków i buton panel.

Oczywiście jak by ktoś chciał zobaczyć jak wygląda całość to zapraszam http://www.piekar...

 
bogdan
Ja dziś miałem trzeci etap włamu.
Pierwsze 22.02 - więc data zbieżna.
Dziś akurat miałem dorzucone pliki w katalogu "administraion" - "wp_config", plus kilka o dziwnym ciągu znaków, po różnych katalogach.
Były też przeglądane/modyfikowane pliki core.
Nie zdążyło wiele narobić, bo akurat włączyłem kompa jak zaczęło "działać".
Było to na wersji v7.02.06.


Edytowane przez bogdan dnia 07.03.2013 19:46:11
Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. Pfft
 
dysko-patia.eu
Pieka
W takim razie nadal masz gdzieś kreta... Plik wp_config to pewnie do Wordpressa Wink


Jestem jaki jestem Smile
 
www.php-fusion.pl
bogdan
HA, tylko gdzie?
Wszystkie domeny na czystych plikach.
Dyskopatia, tylko na "starych", ale już tak przewleczona na lewą stronę, że nie mam pojęcia gdzie by się gad schował.Angry


Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. Pfft
 
dysko-patia.eu
TOM_PL
Jeśli to taki kret jak u mnie na podwórku to nie ma szans go wytępić.
Jak nie znajdziemy dziury to Syzyf nas czeka.

Przypomniałem jeszcze sobie że kilka dni przed atakiem udostępniłem Shoutbox dla gości i właśnie tego 22.02 był też spam w SB.

A pierwsze maile były generowane z pliku //jscripts/tiny_mce/...

 
Pieka
TinyMCE, jeśli ktoś nie używa, jak np. ja, najlepiej jak usunie.
W kwestii szukania, nie ograniczajcie się tylko do katalogu PHP-Fusiona.


Jestem jaki jestem Smile
 
www.php-fusion.pl
TOM_PL
Po pierwszym ataku 22.02 zmieniłem nazwe katalogu TinyMCE na inną i fizycznie na stronie wtyczka nie działa a mimo to wczoraj znów zaatakowało Sad

 
Gutek1806
Przechodziłem przez to, tylko ze u mnie zaczęło się to troszkę wcześniej i trwało klika tygodni. Jedyną rzeczą jaką zmieniałem w ciągu miesiąca przed tą akcją była instalacja FusionBoard, problem został usunięty, a koleś który mi to naprawiał polecił bardziej zabezpieczyć formularz rejestracji i kontaktu. Po zastosowaniu ReCaptcha od 3-4 tygodni (odpukać w niemalowane) spokój.


www.ls-world.pl - Najlepsze mody do Farming Simulator 2015
 
www.ls-world.pl
Konto ukryte
Jak żyć z świadomością że Cię zaraz zaatakują nie da się z tym nic zrobić? jak żyć jak się bronić Smile

 
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl