|
Tack till den som nu hackat min webbplats!!
Hej
annonserade ut ett jobb till min webbplats här på wn konstigt nog blev webbplatsen hackad 3-4 dagar efteråt. Pekar inte finger åt någon....säger att det är jävligt tråkigt med sånt folk. / N |
Och vad får dig att tro att någon här skulle ligga bakom denna historia...?
|
Jag vet hur det känns (blev DDOSad för några veckor sedan). Det verkar som du har en massa trojaner liggandes på sidan nu, bara så du vet.
|
Lite fel kategori kanske. Visst det är trist när sådant händer. Kanske dags att uppdatera Joomla.
|
Happ ingen mer info en det, blir som ett "insider-skämt" som man inte förstår då man inte vet vad det handlar om.
|
Bara för att du postade ett inlägg med jobb på din sida behöver det inte betyda att någon här hackade din sida.. Det är inte så svårt att se om något är gjort i en färdig lösning.. En del sidor har ju t.o.m saker som "Powered by Joomla". På din sida såg jag att det skickades synliga parametrar med nått som hette com_contact. En sökning på Google på den strängen så hamnar Joomla längst upp.
|
Några tips för att göra sajten mer anonym:
1) Ta bort "generator" taggen från källkoden. http://www.bristleconeweb.com/blog/h...oomla-1.5.html 2. Skydda /administrator/ med en .htaccess fil och kanske till och med byt namn på den 3. Se till att alla URL:er är SEF kodade så att t.ex. URL:er som http://www.guldplatina.se/index.php?...&id=1&Itemid=3 inte avslöjar vilken mjukvara du kör 4. Se till att hålla mjukvaran uppdaterad. Generellt sätt så är ju uppdateringarna endast buggfixar och inte något som ökar upplevelsen/funktionaliteten på sajten. Du kan skriva upp dig och ta emot e-mail när det är nya versioner släppta här: http://www.joomla.org/download.html Detta gäller även komponenter som är installerade. 5. Stäng av PHP-errors så du inte avslöjar sökvägen på servern. När jag tittade på din sajt nu så såg jag fram ett felmeddelande som visade exakt var på servern ditt konto låg. Det finns ju alltid sätt för "folk" att ta sig in i webbsystem, därför tycker jag att man lika gärna kan försöka skydda sig så gott som det går, även om det verkar meningslöst och att en eventuell hackare inte skulle kunna göra något med den informationen... Idag... Hoppas det ger dig en liten vägledning om hur du ska kunna säkra upp sajten! |
Förmodligen är det han syftar på är vad som händer när man klickar på "Beställ" på hans/hennes hemsida http://www.guldplatina.se/. Eller kanske det att man på vissa sidor kommer till någon admarketing sida.
En ganska tydlig nackdel med att använda öppen källkod när man inte uppdaterar väldigt frekvent är att säkerhetshål blir väldigt kända. Om man dessutom kan söka på versionsnummer eller t.ex. "Powerd by Joomla" så är det enkelt att förstöra de som inte är uppdaterade. |
Som redan påpekats så är det långt ifrån säkert att det är en medlem på WN som står för det hela. Det kan vara en slump men det är också så att WN är väldigt omtyckt av Google så du fick säkerligen en del extra besökare så snart du lade upp din annons.
Innocast ger en rad goda råd som inte gör det omöjligt för hackare men som åtminstone skyddar dig hyfsat bra mot slumphackare som inte är ute efter just din sida. Försök lära dig något av det inträffade. På sätt och vis så är det ju bra att bli hackad när en sajt är relativt ny och inte särskilt välbesökt så att man snabbt kan täppa till säkerhetshålen i ett tidigt skede. |
Ser ut som det är ryssnarna som har varit i farten, lägger ett gäng med iframe:s till ryska sidor både här och där. Mycket möjligt att det till och med kan ha varit ett automatiserat angrepp...
EDIT: Dock så pekar domänen till ett webbhotell / dedikerad server i Amsterdam. |
Kände väl bara att det kom så plötsligt eftersom jag nämnde vilket språk min webbplats var uppbyggd på.
Vill inte peka finger heller, jag har märkt sedan jag blev medlem här att de finns mycket gott folk här så jag vill inte att någon tar illa upp. Hoppas jag kan återställa allt med någons hjälp och tack för alla tips. / N |
Citat:
EDIT: Sen installera joomlapack så tar du en backup på sidan efter den är återställd. Kanske bra att göra det före också ifall allt ställer till sig. Har du tur kanske det enbart är i templaten de har fifflat. Testa byta template och se hur de ser ut då, vill du inte ta ner hela sidan så kör en joomlapack backup och exportera den till din lokala burk där du kör xaamp eller liknand eså kör du labbande lokalt. |
Du, eller en dator i ditt nätverk har ett virus som heter Troj/JSRedir-R
Detta snor och/eller sniffar FTP användning på datorn och skickar iväg den utomlands, sen loggar de in på din FTP och helt enkelt ändrar filerna. Exakt samma iframe du har har jag haft på ett par sajter, min frus dator sniffade via nätverket. Tog ett par veckor innan jag kom på vafalls det var. Nu krånglar jag bara med att få Google att ta bort badware-varningen på ett 20-tal sajter.. suck Lösning (en av dem) Installera malwarebytes + avira antivirus, enda jag hittat som funkar mot skräpet. Byt sen ftp, kontrollpanel, databas + ev. kundlösen på sajten för dom är ute på äventyr fr.o.m. nu. Ladda sen ner LookDisk, i det programmet väljer du att söka efter text och välj då såklart katalogen där du har hemsidan (på din dator), sök efter height="0px" (eller height=0), prova lite kombinationer, då får du upp alla filer som har iframen. ta bort, spara, ladda upp igen. Ser att google ännu inte varnar för din sajt, men räkna med att den blir fetblockad inom kort. |
Hur är malwarebytes jämfört med SpyBot? Jag använder nu SpyBot + AVG 8,5 Free.
|
Tips från coachen..
Starta maskinen i Felsäkert läge med Nätverk och kör Panda ActiveScan. Ni får ett bra svar på om ni har någon skadlig kod och om denna vill tas bort med verktyget får ni registrera er, gratis. |
Om man sällan ändrar sina egna filer har jag följande förslag på strategi att hitta ändrade filer:
1. Ladda ner alla filer på sajten till en katalog på din hårddisk. I FileZilla ändra innan i menyn Överför så att Bevara de överförda filernas tidsstämplar är förbockad. 2. Installera eXpress FreshFiles Finder (XFFF) - v1.1.0 från http://www.irnis.net/free.shtml Sök med hjälp av den de filer som alldeles nyligen har ändrats eller är nya. Man borde då snabbt hitta alla ändrade filer eller script. Jag tänker själv använda denna strategi om min sajt blir hackad på detta sätt. |
Citat:
Enbart malwarebytes och avira jag lyckades få bort det med (och ens hittas). Har gått igenom ett tiotal antivirusprogram och spybot/adware program. Fast andra program kan ha uppdaterats och finna det numera också, inget jag provat. |
Ett jättejobb som du måste ha gjort här och verkligen beundransvärt. SpyBot har fördelen att det går att immunisera Explorer, vilket innebär att malware kan blockeras i webbläsaren. Det kan vara en liten fördel. Eftersom jag blivit skrämd av malware har jag i Firefox installerat tillägget NoScript, som blockerar script på hemsidor man besöker liksom också iframe. Det går att tillåta sajter som man litar på dock så de inte blockeras.
|
Ett annat råd är att om möjligt inte använda färdiga lösningar som Joomla, Wordpress, Drupal osv. som ständigt attackeras per automatik. Om dessa används så undvik åtminstone att använda osäkrade plugins.
|
..men om man använder en mindre utbredd CMS så
minskar förstås risken att bli angripen men när någon väl upptäcker en bugg i mjukvaran så kan det ta längre tid innan du får en uppdatering på problemet. Joomla är som Microsoft. Störst, mest utsatt men upp- dateras också snabbt. |
Citat:
|
Tror inte att det är så många som använder Joomla, Drupal osv som har kapital att lägga på egen kod.
|
Citat:
|
Men det är ju oftast Joomla-pluginsen som läcker, själva originalkoden är rätt säker.
Man bör tänka sig för innan man installerar tredjeparts plugins. |
Har webbhotellet du ligger på mod_security2 installerat?
|
| Alla tider är GMT +2. Klockan är nu 05:39. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson