ďalšie »

[Riso]

Stalo sa mi na jednom webe, ze bol doplneny hlavny index.php o nejaky divny script kod, ktory sa po spusteni stranky linkoval na bobo32.org/o0o/exp/qt.php. NOD halsi trojana Exploit Multi Qtp.
Stretol sa s tym niekto?



mod:edit Nepoužívaj červenú farbu, vidíme aj tú čiernu! Tibor 

[Michal Hraška]

Stalo sa mi na jednom webe, ze bol doplneny hlavny index.php o nejaky divny script kod, ktory sa po spusteni stranky linkoval na bobo32.org/o0o/exp/qt.php. NOD halsi trojana Exploit Multi Qtp.
Stretol sa s tym niekto?

Nie nestalo sa mi to este. Ak si robil zalohu stranky tak to kludne oprav a zbav sa toho virusu moze robit skodu. Ja osobne si vsetko zalohujem. Nikdy nevies co sa stane.

[Tibor Tóth]

Podľa všetkého más infikované index súbory aj šablóny, aj Joomla!
Nahraď ich pôvodnými súbormi a nastav ich práva CHMOD 644.

[Riso]

Sablony su ciste a index.php mal 644.
Prestavil som ho na 444. Hladam nejake rozumne zdovodnenie ako sa to stalo.

[admin]

No podla vsetkeho to vyzera,ze tvoja stranka alebo server boli hacknute a utocnik tam nasledne vlozil tento kod.Bolo by dobre prejst celu adresarovustrukturu,ci sa tam nenachadza este nieco dalsie.
Popripade prebehnut aj HTTP logy,pokial ich mas k dispozicii.

[Dáša]

Od stredy mám rovnaký problém. Pri načítavaní stránky mi NOD ohlásil, že sa mi chystá do pc nainštalovať trojský kôň. Zrušila som ho a následne podľa tejto diskusie som išla pozrieť súbory index. Vo všetkých bol na konci nejaký blbý script, ktorý som pracne zo všade vymazala. Včera bol pokoj a dnes znovu ten istý problém s trojanom, pričom súbory index sú v poriadku.  Z hostingu mi doporučili aj zmenu hesla do FTP a ešte mi odporučili vymazať stránky a  nahrať znovu. Ja však mám poslednú zálohu z webu 15.7.07 a zálohu dtb nemám z tohto dátumu, ale buď skoršiu (máj) alebo neskoršiu (začiatok oktobra). Tiež som to ešte nerobila, tak netuším aký je postup a či budem mať všetko ok.

... som lama, tak poprosím polopatisticky...

[Michal Hraška]

Ahoj
V prvom rade by som si zobral zakladnu instalaciu a prekontroloval by som si ci tam neni náhodou nejakí adresár alebo súbor navyše.
Toto by bolo v tvojom prípade asi najlepšie aspoň podla mna
2. Ak tento sposob by ti nevyhovoval nahral by som tu poslednu zálohu ale DB by som použil tú staršiu (neviem co presne mas na webe nevidel som ho s toho dôvodu) Ak máš len nejake články popr. knihu odkazov alebo fórum kľudne použi tu novšiu zálohu DB.

Co sa týka DB tak v phpmyadminovi si dáš len importovať ten súbor co si dala exportovať(teda tu zalohu).

[Dáša]

Ďakujem za rady ....mala som zavírené stránky...cez čo sa mi tam dostali tie vírusy netuším .....Súbory som si prekopírovala zo zálohy, importla som databázy a mám to už v pohode....síce mi pomohli chlapci z hostingu, lebo som ten import nejako dovrzala 

Ocenila by som link na zle zabezpečené rozšírenia mimo tohto webu, pretože nič z týchto uvedených nemám.

Mám aj zmenené súbory globals, aj .htaccess, tak ako majú byť. Napriek tomu, že si myslím, že som u dobrého hostingu(sprweb), tak mi joomla kričí na červeno na obe veci .

[Prskavka]

Ahojte,

ja som si ani nevšimla nič nekalé na stránke, ale chlapci z hostingu mi napísali mail obsahujúci toto: Po kontrole na serveru jsme byli nuceni pristoupit k uprave nebo zakazani pristupu k souborum umistenych ci modifikovanych hackery - adresar foxteriereu/www/mambots/content/mosmodule a soubor foxteriereu/www/configuration.php. Ked som čekla configuration.php, mala som tam nejaky dodany skript, v mosmodule som zatial nič nenašla. Ako sa môžem proti takemu čomusi brániť? Nemám configuration.php na 777, pokiaľ viem ani nič na stránke. Jediné, čo nemám košér je PHP magic_quotes_gpc setting is `OFF` instead of `ON`. Čo s tým? (www.foxterier.eu

[Michal Hraška]

Skus mrknut sem
http://www.joomla.sk/forum/topic,1891.0/

[Prskavka]

Ď.

[Prskavka]

Takže ďalšia otázka. Včera som odinštalovala mambota mosmodule, ktorý bol infikovaný. Dnes mi prišiel e-mail, že je tam znova škodlivý kód. Pozriem cez ftp a naozaj - včera vymazaný adresár sa tam znova nachádza, ale okrem index.html tam nič iné nebolo. Čo s tým? Ďakujem za pomoc

[Michal Hraška]

Ak mozem poradiť
Dúfam ze si si robila zálohu stránky nie len DB ale aj súborov.
Ak ano. Všetko zmaž a nakopíruj poslednu zálohu. Ak v nej uz nebol vírus.

Pokiaľ by sa zase objavil vírus na stránke opätovne aj po zálohe tak už maš 90% istotu ze problém maju chlapci od hostingu (treba si to s nimi vydiskutovať).

[admin]

Pozri si tento príspevok,je tam niekoľko rád,čo urobiť.
http://www.joomla.sk/forum/topic,2014.msg10007/#msg10007

Ďalej si skontroluj,či na stránke nemáš niektoré rozšírenie obsahujúce bezpečnostnú chybu.

[Prskavka]

Odkedy mi hackli stránku, denne sa ku mne pripájajú z us/il/br/de/cn/tw a pod., pricom sa vzdy dostanú na 404.html a text (mosmsg contains outbound link in URL). Dá sa nejako zakázať prístup niektorým IP? Tiež sa ku mne často pripája 89-149-217-201.internetserviceteam.com a to do knihy návštev, pričom ale nespamuje, ani nijaký odkaz nezanechá. Neviete čo za "vtáka" to je?