Zobacz temat
Włamanie na stronę i rozsyłanie spamu
|
|
bilbopl |
Dodany dnia 02.03.2013 19:35:49
|
Przedszkolak Postów: 5 Data rejestracji: 02.03.2013 19:05 |
Otóż w ciągu miesiąca zablokowano mi drugi raz konto na boo.pl. Serwis zablokował mi je z powodu plików rozsyłających spam. Panowie z boo.pl zlokalizowali pliki i je usunęli po czym odblokowali mi konto i zalecili upgrade cms-a do najnowszej wersji, tak też zrobiłem. Dzisiaj problem znów się pojawił i znów jest to problem z rozsyłaniem spamu (konto na boo.pl zablokowane w skrzynce mailowej z boo.pl 220 wiadomości zwrotnych)i boo.pl znowu mi zablokowało konto. W jaki sposób można zabezpieczyć cms-a przed włamaniami? Nie wiem czy to ma coś do rzeczy ale według licznika odwiedzin strona miała ~800 odwiedzin dziennie. I w ciągu przeszło 2 lat nic się ze stroną nie działo. Wersja PHP-Fusion to 7.02.06 CorePL Pozdrawiam. Edit: Hasła po pierwszym ataku pozmieniałem. Edit2: Przepraszam, poprawiam. |
|
|
Wścibski Gość |
Dodany dnia 21.12.2024 18:16:46
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
bogdan |
Dodany dnia 02.03.2013 20:07:27
|
Ekspert Postów: 2451 Pomógł: 164 v7.02.07 Data rejestracji: 21.07.2009 12:55 |
Niedawno przerabiałem podobny problem. Trwało to kilka dni, a właściwie jeszcze są jakieś niedobitki. Musisz sprawdzić wszystkie pliki. Najłatwiej będzie Ci patrzeć na ich ostatnią datę edycji. Bo oprócz plików dodanych przez bota/hakera, prawdopodobnie będziesz miał dodany kod do plików "index.php" i to w przeróżnych folderach - wtyczek, skórek, includes, nawet w galerii. Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. |
|
|
bilbopl |
Dodany dnia 02.03.2013 20:41:55
|
Przedszkolak Postów: 5 Data rejestracji: 02.03.2013 19:05 |
Niestety na tą chwilę nie mam dostępu do żadnych plików. Boo.pl w takich przypadkach blokuje dostęp także do FTP. Zastanawiałem się czy to może jakaś luka w PHP-Fusion i jest może jakaś łatka na taki atak? |
|
|
bogdan |
Dodany dnia 02.03.2013 20:46:23
|
Ekspert Postów: 2451 Pomógł: 164 v7.02.07 Data rejestracji: 21.07.2009 12:55 |
A przez DirectAdmin nie wejdziesz? Napisz do nich, wyjaśnij, że teraz mogą być nie tylko dodane pliki bota, ale także kody w innych, niech oni sprawdzą, jak Tobie zablokowali taką możliwość. To nie koniecznie jest winą PHP-Fusion. Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. |
|
|
bilbopl |
Dodany dnia 02.03.2013 21:00:32
|
Przedszkolak Postów: 5 Data rejestracji: 02.03.2013 19:05 |
Niestety w żaden sposób nie mam dostępu do plików. Panel administracyjny pozwala praktycznie w takiej sytuacji tylko na zadanie pytania do "helpdesku". Nawet niemożna skorzystać z maila. Napisałem już do nich aby zlokalizowali problem i go w jakiś sposób rozwiązali. Poprzednio to pomogło ale tylko na jakieś 2 tygodnie, wtedy zalecili mi aktualizację PHP-Fusion do najnowszej wersji (co oczywiście zrobiłem). |
|
|
Pieka |
Dodany dnia 02.03.2013 21:11:43
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Na tym hostingu jest dostęp do FTP-a. Coś nam tu ściemniasz kolego. Zrób, co napisał Bogdan lub zmień hosting, skoro obecny nie potrafi poprawnie zlokalizować problemu. A nie jest to wina wersji 7.02.06, która to jest na tę chwilę załatana. Jestem jaki jestem
|
|
|
bilbopl |
Dodany dnia 02.03.2013 21:15:36
|
Przedszkolak Postów: 5 Data rejestracji: 02.03.2013 19:05 |
Pieka napisał(a): Na tym hostingu jest dostęp do FTP-a. Coś nam tu ściemniasz kolego. Zrób, co napisał Bogdan lub zmień hosting, skoro obecny nie potrafi poprawnie zlokalizować problemu. A nie jest to wina wersji 7.02.06, która to jest na tę chwilę załatana. Tak jak napisałem, po zablokowaniu konta na boo.pl serwis blokuje także dostęp do FTP i poczty. Są one widoczne w panelu administracyjnym boo.pl i można przejść do panelu logowania ale niestety niemożna się już na nie zalogować. |
|
|
bogdan |
Dodany dnia 02.03.2013 21:17:00
|
Ekspert Postów: 2451 Pomógł: 164 v7.02.07 Data rejestracji: 21.07.2009 12:55 |
Mnie też pomagało usunięcie "oczywistych" plików, które zostały dodane. Myk jest w tym, że to co zostało w "indexach" i innych plikach dodane, ponownie po jakimś czasie wywołuje zamieszanie. To taka jakby "tylna furtka", którą nie jest łatwo namierzyć. Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. |
|
|
Pieka |
Dodany dnia 02.03.2013 21:24:03
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
No to niech odblokują, skoro masz mieć możliwość coś z tym zrobić. Bez dostępu do konta nic nie zdziałasz. Chwilowo usuń pliki odpowiedzialne za mailing, czyli:
Doraźnie powinno pomóc i dać Ci czas na wyszukanie i neutralizację obcego kodu. Jestem jaki jestem
|
|
|
bilbopl |
Dodany dnia 02.03.2013 21:29:53
|
Przedszkolak Postów: 5 Data rejestracji: 02.03.2013 19:05 |
Panowie z Boo.pl Także mnie poinformowali, że usunęli wszystkie podejrzane wpisy z plików, które były ostatnio edytowane. Reasumując: Na tą chwilę postawienie całkowicie od nowa PHP-Fusion 7.02.06 zmniejszyłoby ryzyko włamu/zainfekowaniu plików? Orientujecie się może czy stosowanie dziwnej polityki firm hostujących na zasadzie: "za dużo nas obciążasz to się ciebie pozbędziemy" Jest prawdą,o której czytałem już na kilku forach? Zastanawia mnie to ponieważ na boo.pl posiadam 4 aktywne strony (właśnie na PHP-Fusion) i na żadnej z nich niema żadnych problemów mimo starszych wersji PHP-Fusion. Z tym, że na tych stronach jest ~50 odwiedzin dziennie. Jedyne co mi pozostaje to czekać do poniedziałku, kiedy ktoś w boo.pl pracuje W momencie kiedy mi odblokują dostęp sprawdzę te wszystkie pliki. Dzięki i pozdrawiam. Edytowane przez bilbopl dnia 02.03.2013 21:35:14 |
|
|
Pieka |
Dodany dnia 02.03.2013 22:42:34
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Przejrzyj bazę, a następnie wykonaj jej kopię/zrzut. Później na wszelki wypadek zrób to samo z całym kontem. Po ww. zmień wszystkie hasła i wyczyść konto. Po wszystkim wrzuć na serwer nowe pliki. Możesz zainstalować ponownie system i przywrócić kopię bazy lub od razu ją przywrócić. Zachowaj stary plik config.php. Po wszystkim wyedytujesz go i zmienisz hasło na nowe (i ewentualnie login). Opisy tych działań znajdziesz w tematach dotyczących przenoszenia strony. Jestem jaki jestem
|
|
|
TOM_PL |
Dodany dnia 07.03.2013 19:11:18
|
Przedszkolak Postów: 7 Data rejestracji: 12.12.2010 10:29 |
Mam to samo co kolega bilbopl, pierwsze ataki miały miejsce około 22 lutego, jakiś bot nadpisywał pliki z przedrostkiem WP np.(wp-includes.php) powodowało to rozsyłanie ponad 1000 maili dziennie. Więc wyczyściłem FTP, zaktualizowałem stronę do v7.02.06, zmieniłem wszystkie hasła i był spokój do wczoraj aż zablokowali mi konto. Dziś dostałem raport że miało miejsce rozsyłanie spamu i zdjęli mi blokadę, po zalogowaniu powtórka z rozrywki czyli znów pełno nadpisanych plików plus wszystkie z głównego katalogu edytowane i zainfekowane. Dodam że nigdy nigdzie nie zapisywałem hasła do FTP używam filezilli, przed atakiem nic nie modyfikowałem-zapisywałem na ftp od września. Moim zdaniem prawdopodobnie jakaś wtyczka może być dziurawa. proponuję wymienić się z kolegą informacjami co instalował na swojej stronie, bo u mnie jest Shoutbox, Biblioteka E-booków i buton panel. Oczywiście jak by ktoś chciał zobaczyć jak wygląda całość to zapraszam http://www.piekar... |
|
|
bogdan |
Dodany dnia 07.03.2013 19:40:36
|
Ekspert Postów: 2451 Pomógł: 164 v7.02.07 Data rejestracji: 21.07.2009 12:55 |
Ja dziś miałem trzeci etap włamu. Pierwsze 22.02 - więc data zbieżna. Dziś akurat miałem dorzucone pliki w katalogu "administraion" - "wp_config", plus kilka o dziwnym ciągu znaków, po różnych katalogach. Były też przeglądane/modyfikowane pliki core. Nie zdążyło wiele narobić, bo akurat włączyłem kompa jak zaczęło "działać". Było to na wersji v7.02.06. Edytowane przez bogdan dnia 07.03.2013 19:46:11 Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. |
|
|
Pieka |
Dodany dnia 07.03.2013 19:53:34
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
W takim razie nadal masz gdzieś kreta... Plik wp_config to pewnie do Wordpressa
Jestem jaki jestem
|
|
|
bogdan |
Dodany dnia 07.03.2013 19:58:18
|
Ekspert Postów: 2451 Pomógł: 164 v7.02.07 Data rejestracji: 21.07.2009 12:55 |
HA, tylko gdzie? Wszystkie domeny na czystych plikach. Dyskopatia, tylko na "starych", ale już tak przewleczona na lewą stronę, że nie mam pojęcia gdzie by się gad schował. Nie szukaj Szczęścia, lecz dawaj Je innym, a wtedy samo do Ciebie przyjdzie.
Nie ma mnie na GG. |
|
|
TOM_PL |
Dodany dnia 07.03.2013 20:04:11
|
Przedszkolak Postów: 7 Data rejestracji: 12.12.2010 10:29 |
Jeśli to taki kret jak u mnie na podwórku to nie ma szans go wytępić. Jak nie znajdziemy dziury to Syzyf nas czeka. Przypomniałem jeszcze sobie że kilka dni przed atakiem udostępniłem Shoutbox dla gości i właśnie tego 22.02 był też spam w SB. A pierwsze maile były generowane z pliku //jscripts/tiny_mce/... |
|
|
Pieka |
Dodany dnia 07.03.2013 20:12:10
|
Postów: 19885 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
TinyMCE, jeśli ktoś nie używa, jak np. ja, najlepiej jak usunie. W kwestii szukania, nie ograniczajcie się tylko do katalogu PHP-Fusiona. Jestem jaki jestem
|
|
|
TOM_PL |
Dodany dnia 07.03.2013 20:16:03
|
Przedszkolak Postów: 7 Data rejestracji: 12.12.2010 10:29 |
Po pierwszym ataku 22.02 zmieniłem nazwe katalogu TinyMCE na inną i fizycznie na stronie wtyczka nie działa a mimo to wczoraj znów zaatakowało |
|
|
Gutek1806 |
Dodany dnia 07.03.2013 20:24:08
|
Przedszkolak Postów: 65 Pomógł: 3 Data rejestracji: 08.07.2009 23:19 |
Przechodziłem przez to, tylko ze u mnie zaczęło się to troszkę wcześniej i trwało klika tygodni. Jedyną rzeczą jaką zmieniałem w ciągu miesiąca przed tą akcją była instalacja FusionBoard, problem został usunięty, a koleś który mi to naprawiał polecił bardziej zabezpieczyć formularz rejestracji i kontaktu. Po zastosowaniu ReCaptcha od 3-4 tygodni (odpukać w niemalowane) spokój.
www.ls-world.pl - Najlepsze mody do Farming Simulator 2015
|
|
|
Konto ukryte |
Dodany dnia 07.03.2013 20:24:22
|
Bywalec Postów: 522 Pomógł: 6 Ostrzeżeń: 4 Data rejestracji: 17.02.2007 02:25 ZBANOWANY: Dożywotnio |
Jak żyć z świadomością że Cię zaraz zaatakują nie da się z tym nic zrobić? jak żyć jak się bronić |
|
Przejdź do forum: |