Αρχεία phishing στην σελίδα

Joomla! forum. Joomla! Questions and Answers.

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
doodlemat
Δημοσιεύσεις: 45
Εγγραφή: 15 Ιούλ 2011 00:28
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από doodlemat » 25 Νοέμ 2013 23:55

Καλησπέρα σε όλους παιδιά,

Πριν απο λίγη ώρα πληροφορήθηκα απο τον πάροχο μου, οτι υπάρχουν "περίεργα" αρχεία phishing σε 2 domains που φιλοξενώ στον σέρβερ. Αμέσως ανέτρεξα και βρήκα όντως 1 φάκελο με όνομα "dsadsa" δεν εβγαζε κάποια ουσία η λέξη που περιείχε τέτοια αρχεία. Για να σας δώσω πληροφορίες, τρέχω joomla 3 στο ένα site και στο άλλο joomla 2,5 . Χρησιμοποιώ ΓΝΗΣΙΑ templates και στα δύο site. Συγκεκριμένα της gavick. Το θέμα είναι οτι προσπαθώ να σβήσω τα αρχεία, αλλά δεν έχω με αφήνει. Αλλάζω τα δικαιώματα σε 777 και πάλι αλλάζουν μόνα τους. Ο σέρβερ που τρέχω είναι VPS. Καμιά ιδέα για το τι μπορώ να κάνω; Είναι αρκετά επείγων παιδιά.

Ευχαριστώ εκ των προτέρων.

alou
Script Master
Δημοσιεύσεις: 1374
Εγγραφή: 24 Αύγ 2007 19:52
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από alou » 26 Νοέμ 2013 08:05

Το θέμα δεν είναι να σβήσεις 2 αρχεία που είδες, μπορεί να υπάρχουν κι άλλα. Το θέμα είναι να ξέρεις πως έγινε αυτό για να το αποτρέψεις από το να ξαναγίνει.

Δεν είναι απλό και ούτε υπάρχει στάνταρ λύση, ψάξε για vulnerabilities στις επεκτάσεις που χρησιμοποιείς (99% είναι από εκεί) και φρόντισε να τις καλύψεις.

Επίσης ψάξε για γενικά θέματα ασφάλειας στο joomla και φρόντισε να τα εφαρμόσεις.

Για αρχή, πάρε ένα backup τα πάντα, κατέβασέ τα τοπικά και άρχισε να τα ψάχνεις. Μόλις θεωρείς ότι είσαι ΟΚ, άλλαξε ότι κωδικό υπάρχει και αντικατέστησε τα παλιά με τα καινούργια.

Το θέμα του ότι δεν σβήνουν αυτά που θες είναι μάλλον θέμα ownership, θα χρειαστεί να το λύσεις μπαίνοντας με SSH αν έχεις shell access (chown -r ...)

doodlemat
Δημοσιεύσεις: 45
Εγγραφή: 15 Ιούλ 2011 00:28
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από doodlemat » 26 Νοέμ 2013 10:39

Καλησπέρα φίλε. Σ' ευχαριστώ για την άμεση απαντησή σου. Απο εχθές το βράδυ που το ανακάλυψα προσπαθώ να βρώ λύση. Σήμερα το πρωί κατάφερα και συνδέθηκα με ssh και προσπάθησα με την εντολή

Κώδικας: Επιλογή όλων

rm -rf foldername/


να σβήσω τον φάκελο με το phishing, αλλά χωρίς αποτέλεσμα. Ξέρεις κάποιον τρόπο, ώστε να αλλάξω τα δικαιώματα του φακέλου μέσω ssh, ώστε να μπορέσω να τον σβήσω;

Ευχαριστώ εκ των προτέρων!

alou
Script Master
Δημοσιεύσεις: 1374
Εγγραφή: 24 Αύγ 2007 19:52
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από alou » 26 Νοέμ 2013 11:25

Αφού στο έγραψα, chown -R apache path/to/folder/

έτσι κάνεις owner τον apache, που είναι ΜΑΛΛΟΝ αυτό που θες, δες το ownership ενός folder που δεν είναι πειραγμένος :

ls -lh folderpath/foldername

και θα δεις owner και δικαιώματα

Άβαταρ μέλους
EneMe
Super Moderator
Δημοσιεύσεις: 13308
Εγγραφή: 09 Ιούλ 2002 13:29
Τοποθεσία: Στο κέντρο της Ελλάδας!
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από EneMe » 26 Νοέμ 2013 20:06

Έχω την εντύπωση ότι δεν φταις εσύ, αλλά ο server (δηλαδή ο hoster σου).
I've been there!
Μετά από γκρίνια και προσπάθειες για το αυτονόητο, αποδείχτηκε ότι είχε μπει διαρρήκτης στον -μη ενημερωμένο- server και είχε βάλει μαμούνι σε όσους λογαριασμούς είχαν joomla ή wordpress.

Themis-T
Δημοσιεύσεις: 77
Εγγραφή: 20 Απρ 2009 16:04
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από Themis-T » 26 Νοέμ 2013 21:50

O JCEditor του Joomla ευθύνεται για πολλά παρόμοια περιστατικά.
Επίσης έχει βγει ένα νέο patch για όλα τα Joomla λόγω κενών ασφαλείας στα com_contact, com_weblinks, com_newsfeeds του Joomla.

doodlemat
Δημοσιεύσεις: 45
Εγγραφή: 15 Ιούλ 2011 00:28
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από doodlemat » 26 Νοέμ 2013 23:00

EneMe έγραψε:I've been there!
Το λες μεταφορικά ή όντως έχεις πάει σε αυτή την εταιρεία; :P Γιατί οι τύποι δεν παίζονται σε αυτά που λένε.
O JCEditor του Joomla ευθύνεται για πολλά παρόμοια περιστατικά.
Εγώ χρησιμοποιούσα CKeditor. Επίσης είχα και την τελευταία έκδοση joomla και στις δύο περιπτώσεις. Για την ώρα αναγκάστηκα και έκανα reboot τον σέρβερ. Περιμένω να δω τι θα γίνει...

doodlemat
Δημοσιεύσεις: 45
Εγγραφή: 15 Ιούλ 2011 00:28
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από doodlemat » 27 Νοέμ 2013 09:37

Καλημέρα παιδιά. Σας ευχαριστώ όλους για τις απαντήσεις σας. Δυστυχώς δεν κατάφερα να κάνω τίποτα μέσω ssh και να σβήσω τα αρχεία και έτσι αναγκαστικά έκανα re-boot το VPS. Το πρόβλημα είναι οτι δεν έχω ξανά κάνει re-boot σε σέρβερ, με αποτέλεσμα να μην ξέρω τα επόμενα βήματα. Η διαδικασία απ' όσο είδα στο σύστημα, ολοκληρώθηκε με επιτυχία. Το θέμα είναι οτι δεν μπορώ να συνδεθώ σαν "root" μέσω της ip του VPS. Καμιά ιδέα;

Themis-T
Δημοσιεύσεις: 77
Εγγραφή: 20 Απρ 2009 16:04
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από Themis-T » 27 Νοέμ 2013 11:32

To Reboot είναι όπως και η επανεκκίνηση ενός υπολογιστή.
Μετά από την επανεκκίνηση ο σέρβερ θα πρέπει να δουλέψει και πάλι μέσα σε λίγα λεπτά.

Ποια είναι η σελίδα (domain) για την οποία γίνεται λόγος; Αν πρόκειται για το gatoni:

Κώδικας: Επιλογή όλων

curl -I gatoni.com
curl: (7) Failed connect to gatoni.com:80; Connection refused
που σημαίνει ότι μάλλον κάτι συμβαίνει με το firewall.

EDITED:
Τώρα βέβαια βλέπω ότι είναι ΟΚ, οπότε υποθέτω ότι το έλυσες το πρόβλημα...

Άβαταρ μέλους
EneMe
Super Moderator
Δημοσιεύσεις: 13308
Εγγραφή: 09 Ιούλ 2002 13:29
Τοποθεσία: Στο κέντρο της Ελλάδας!
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από EneMe » 27 Νοέμ 2013 12:34

doodlemat έγραψε:
EneMe έγραψε:I've been there!
Το λες μεταφορικά ή όντως έχεις πάει σε αυτή την εταιρεία; :P Γιατί οι τύποι δεν παίζονται σε αυτά που λένε.
Έχω βρεθεί σε παρόμοια θέση με εταιρεία που συνεργαζόμουν εννοούσα, δεν ξέρω ποια εταιρεία αφορά το παρόν θέμα.

doodlemat
Δημοσιεύσεις: 45
Εγγραφή: 15 Ιούλ 2011 00:28
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από doodlemat » 28 Νοέμ 2013 16:58

Τελικά αναγκάστηκα να να κάνω re-install το VPS. Οπότε ξανά έκανα εγκατάσταση τον σέρβερ και το plesk εκ νέου. Έβαλα και ένα backup και είμαστε πάλι στον αέρα. Το θέμα είναι, πως μπορώ γλιτώσω κάποιο αντίστοιχο περιστατικό στο μέλλον; Δηλαδή, αν υπάρχει κάποιο μολυσμένο αρχείο μέσα στις σελίδες μου ή υπάρχει κενό ασφαλείας στον σέρβερ; Υπάρχει κάποιο εργαλείο που μπορεί να με βοηθήσει σε αυτό;

alou
Script Master
Δημοσιεύσεις: 1374
Εγγραφή: 24 Αύγ 2007 19:52
Επικοινωνία:

Αρχεία phishing στην σελίδα

Δημοσίευση από alou » 28 Νοέμ 2013 19:30

Το internet και το συνεχές ψάξιμο, ένας sysadmin ή ένας managed VPS με καλή υποστήριξη.

Απάντηση

Επιστροφή στο “Joomla! γενικά”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες