[ CoyoteKG @ 17.05.2016. 12:38 ] @
Problem je sto sajt vise nije ni online.

Do nedavno je valjda slao samo spam mailove, pa je kasnije bio Error 500, a sad vise nema te greske, nego samo neka stranica gde trazi neki nelogican password.



i ostatak stranice je prazan.

Ovo je u source
Code:
 <pre align=center><form method=post>Password: <input type=password name=pass><input type=submit value='>>'></form></pre>


Jednom sam cistio wordpress i bila je sledeca procedura.
Instalirao bih svezu instalaciju WP, iskopirao temu i pluginove, importovao bazu, sredio wp-config da se kaci na bazu i to je to... Sve ostalo sto je bilo po raznim folderima (a bilo ih je gomila) nisam prebacio i sajt radi jos uvek...

Ima li neka slicna fora sa joomla?
Guglam vec 24h i ne vidim neko uputstvo koje bi mi koristilo.


[ CoyoteKG @ 18.05.2016. 12:42 ] @
OK, uspeo sam da nabavim neki backup od oktobra koji je clean.

Ali problem je sto je radjeno na sajtu od tada do sad.

Kako sad merdzovati taj backup, sa ovim zarazenim zadnjim backupom? :)
[ peromalosutra @ 19.05.2016. 13:53 ] @
To konkretno zavisi od toga sta je sve od komponenti instalirano na sajtu. Npr ako je samo vanilla Joomla, onda pogledaj content tabelu da vidis ima li novih clanaka i mozda jos tabelu za kategorije i menije.

Za pocetak, ja bih otvorio obe baze u nekom alatu na koji si navikao i uporedio tih par kljucnih tabela. Ako sajt ima i neki web shop, onda se tu dodatno komplikuje situacija, jer trebas da vidis koji su se sve proizvodi dodali za to vrijeme. Takodje, obicno web shop doda desetak i vise tabela i sve one trebaju da budu uvezane.. Ista prica vazi i za sve druge dodatke na sajtu. Ja sam za ove stvari uglavnom pisao custom skripte..

Druga opcija je da ocistis tu zarazenu bazu i onda koristis nju. Mogao bi da dumpujes bazu pa da ju iskeniras i vidis da nema u njoj nekog PHP koda. Obrati paznju da kod moze biti base64 (ili nekako drugaicije) enkodovan. Ako si siguran da je baza cista, mozes samo da vratis fajlove i ostavis tu poslednju bazu.

Na kraju, cim su prvi put provalili u sajt, vjerovatno ima neka ranjivost, pa u svakom slucaju updejtuj sve dodatke i joomlu na poslednju verziju.
[ CoyoteKG @ 26.05.2016. 15:59 ] @
Uh, kako mi nije stigao mail da mi je neko ovde odgovorio...


Uspeo sam za sada da resim problem.

Fajlove nisam uspeo da ocistim, ali sam nasao neki matori backup od pre pola godine, koji nije imao ove sumnjive php fajlove koje kad sam skenirao sa par antivirusa lokalno, su bili zarazeni... Odnosno, provukao sam ih ja i kroz virustotal, i bili su malware-i.
Zbog toga sam odustao od ideje da sredjujem te fajlove, posto ne poznajem php kod...

Dakle, uzeo sam matori backup, odnosno matore fajlove, importovao novu bazu zarazenog sajta, i onda fajlove sa zarazenog sajta, pregledao i kopirao. Tipa, PDF, fotke i slicno...

Na kraju to je ispalo da radi... Ovaj lik je sve to pregledao i kaze da je sve na mestu...
E sad, ne znam to sto kazes, kako mogu da skeniram bazu? PHP kod moze da bude u bazi i neko moze nekako da ga okine?

Update sam prvo verziju sa 3.3.6 na poslednju 3.5.1, i tu sam imao problema jer mi je bio pregazen CSS, ali sam naknadno napravio neki child css i izvukao razlicitosti iz backupa pre toga, tako da je sad i to OK.
Pluginove i module sam takodje updateovao.
Vidim da ima dosta neaktivnih pluginova i modula, ne znam da li to smeta da stoji, ili bi trebalo obrisati? Za Wordpress sam ranije nalazio da se savetuje da sve sto je dodatno instalirano moze biti slaba tacka, i neaktivne plaginove treba obrisati.
Ne znam da li je ista situacija sa dzumlom?

Ostalo mi je da nadjem neki security plugin. Recimo kod WP mi se svidja Wordfence, koji skenira sve core fajlove sa njihovom bazom i poredi ih, pa ako ima nekog koda koji je tamo gde ne treba da bude, stize mi mail. Isto i za pokusaje pogresnog logovanja...
Da li ima takav neki koristan plugin sa kojim bih mogao da zastitim koliko-toliko Joomla-u?
[ raikkonen @ 27.05.2016. 08:43 ] @
Imao sam slicne probleme s hakovanjem joomla sajta. Posto su hakeri uspevali da dodaju novog korisnika poceo sam da koristim AdminExile Plugin za zastitu, ovaj plugin je besplatan. Posle toga vise nisam imao probleme. Jos je bolje koristiti komponentu RS firewall, ali ona nije besplatna.
[ CoyoteKG @ 30.05.2016. 09:58 ] @
RSFirewall
https://www.rsjoomla.com/jooml...la-security/subscriptions.html

vidim neku cenu od 49€.

Ali mi nije jasno na koji je period.
Vidim da je 12 meseci supporta i 12 meseci "of access to downloads", ali mi to nije bas najjasnije.

Ako sad dam 49E, nije strašno. Ako je licenca neograničena.

Ako dobro razumem, nakon godinu dana taj plugin više neće moći da se updatuje?
[ CoyoteKG @ 30.05.2016. 13:33 ] @
Ah, opet mi je hakovana ista joomla :/.

Index.php od teme sam provukao kroz virustotal i ima oko 8 potvrda da je kompromitovan.
Isti taj fajl od vikenda kad sam uradio backup, kad ga provucem kroz virustotal cist je i nema problema.


Trazio sam od hosting kompanije da mi posalje spisak modifikovanih php fajlova zadnja 3 dana, i fajlova koji su modifikovani ili update preko FTP, pa da brljam malo.
Koliko vidim, FTP sve sto je uploadovano ili modifikovano je sa moje IP adrese, tako da to "nesto" ne koristi ftp...
[ Aleksandar Đokić @ 30.05.2016. 16:31 ] @
Mnogo ti je bitnije da pogledas access logove. Grepuj "POST" i otprilike ces ukapirati sta se desavalo.
[ CoyoteKG @ 30.05.2016. 21:33 ] @
Imam pristup access logovima, ali preko FTP.

Izvadio sam samo POST, ali ajd ako mozes da mi objasnis sta ja tu mogu da vidim, i kako da dijagnostikujem.
File je attached.

Takodje, instalirao sam neki OWASP joomscan.pl i skenirao site.
Nasao mi je 4 vulnerables, gde je valjda moguc sql injection. I gomilu N/A

Imam 500 ovakvih rezultata, ali samo na 3 "YES"

Ostali su "No" i "N/A"

i verovatno ti "N/A" isto mogu da budu rupe...
Doduse nisam uspeo da updatujem joomlascan, to cu ujutru. Sad sam vec umoran.

[ Aleksandar Đokić @ 30.05.2016. 23:15 ] @
Nesto mi se ne ulazi previse duboko, ali ako je index.php izmenjen, a nije putem ftp-a onda moze da bude uradjen POST kojim je zamenjen index.php, ili SQL injection da dodju do login-a pa onda iz admin dela i jos X nacina. Obavezno obrati paznju na "plugin-ove".Obicno kad se injectuju skripte uradi se specijalni POST na busnu skriptu koju "prevaris" da sacuva tvoj php kod na server kako bi izvrsio tvoj kod.

Interesantan primer je ako imas sajt koji omogucava bilo kakav upload npr slika, secam se da je postojao nacin da uradis POST na upload skriptu sa filename-om "slika.php;.jpg". I tako skripta "vidi" na kraju ".jpg" i pusti upload, a kad Linux smesti to na disk posto ima ";" on odbaci .jpg i snimi fajl kao ".php".

To su primitivni nacini "hakovanja". Mnogo opasniji su pravi "shellcode-ovi" koji koriste rupe u samom softveru za npr. server. Postoji X nacina ali se svodi na to da nateras server da izvrsi tvoj kod... odoh u drugu stranu.
[ CoyoteKG @ 02.06.2016. 11:49 ] @
Nemam pristup tom serveru pa to ostavljam da brinu na njihovoj strani... Verovatno je i bolje :D

Nego ovamo, google je ovaj sajt bacio na neku svoju phishing listu.
OK delistovao sam ga.

Linkovi koji su bili zarazeni su ovakvi

http://blabla.at/
http://blabla.at/?catid=0&id=291
http://blabla.at/index.php
http://blabla.at/index.php/
http://blabla.at/index.php/basicknowledge
http://blabla.at/index.php/home
http://blabla.at/index.php/57elements/
http://blabla.at/index.php/basis/4meridian


Nisu mi poznati.
To kako kapiram je tzv "url rewriging"?

Kako sam skapirao ovaj moj problem, hack se svodio na redirekciju ka nekim drugim phishing sajtovima, cije bi se JS downloadovale na kompjuter posetioca i na taj nacin mogli da ih ostete...

Sve sto sam procitao oko tog url rewriting-a jeste vezano za redirekciju u samom .htaccess fajlu.
Ja kad pogledam taj fajl, originalni je i isti kao kad se instalira sveza joomla.

Sta jos moze da mi pravi tu redirekciju ka drugim sajtovima.


sta se jos desava. Kad posetioc ukuca direkntu putanju ka sajtu u browser, ili okine bookmark, sve je OK.
Problem nastaje kad neko pretrazuje preko googla, pa u listi bude ovaj problematicni sajt, i neko klikne ne razultat, e tad ne ide na moj sajt, nego na taj neki phishing...

[ Aleksandar Đokić @ 02.06.2016. 13:38 ] @
Proveri da nije ono "Remote File Inclusion"?
[ CoyoteKG @ 02.06.2016. 14:31 ] @
kod mene u localhost je izgleda enejblovano. Ne verujem da je i na hostingu to enejblovano.
Dodao sam ?page=http://google.com na moj index.php i ostao sam na stranici. nije mi bacio nikakvu gresku...

Odnosno, kako vidim, to je samo u php.ini allow_url_unclude = On

Ne verujem da je bas tako jednostavno :)
moracu da procitam i o tome