Sivut hakkeroitu [Ratkaistu]

Tekemäni sivusto on hakkeroitu, kuva ohessa. Googlelta ilmeisesti on tuo suomenkielinen ilmoitusteksti. Piilotin verkkotunnusnimen, kun en ole kysynyt, saako nimi tällä foorumilla näkyä.



index.php-tiedoston alusta löytyi ihmeellinen rivi. Poistin sen ja php-tagit.



En mielestäni ole laittanut .htaccess-tiedostoja käyttöön. Löytyi kuitenkin kaksi. Toinen nimeltä .htaccess ja .htaccess1. Laitoin ne pois käytöstä. Mitä noissa tiedostoissa on määritelty?





Kansioiden asetukset ovat 0644 tai 0755.

Riittävätkö nämä toimenpiteet vai pitääkö alkaa vielä jostakin muualta etsiä tiedostoja ja/tai ylimääräisiä koodeja?

Joomlan versio on 3.3.4 ja muutamalle lisäosallekin näyttää olevan päivitys tarjolla. Täytynee alkaa päivityshommiin.

Onko noissa lisäosissa joku tunnettu hakkerointikohde?



Joomlan käyttäjistä löytyi outo käyttäjä. Laitoin pois käytöstä. Voinen poistaa?

Kyseinen Joomla! -versio on haavoittuvainen. (kokeile esim. google-hakua: Joomla 3.3.4 vulnerability)

Ilmoitetuista lisäosien haavoittuvuuksista voit katsella täältä: vel.joomla.org/ , josta olin näkevinäni että asentamasi JEvents-versio on myös haavoittuvainen...

EDIT: Meitin serveri/palvelin asiantuntijaa quietFinn:ia lainaten : "ilmoita hakkeroinnista aina palvelin palveluntarjoajallesi, sillä hän kykenee näkemään helpommin miten ja mistä hakkerointi on toteutettu ja koska." Joten kehotan sinuakin ilmoittamaan asiasta. Ja tämän jälkeen kun he ovat katsoneet asian, sinun tulee päivittää välittömästi, kun haitalliset/muokatut tiedostot on varmasti poistettu + mahdolliset tietokantamuutokset.

Haluaisin vielä painottaa että hakkeroinnista pitää aina ilmoittaa palveluntarjoajalle, myös siinä tapauksessa että pystyy hakkeroinnin itse selvittämään ja tuhot korjaamaan.

No niin:
- lisäosat on päivitetty
- ftp-tunnuksen salasana on muutettu
- joomlan pääkäyttäjän salasana on muutettu
- joomla onnistuneesti päivitetty versioon 3.4

MUTTA!
- joomlan päivitys versioon 3.5 tai 3.6 ei onnistu

Kun yritän päivittää automatiikalla, niin tulee virheilmoitus



ja "odotusratas" pyörii ja päivitysprosentit ei muutu. Ymmärsin Joomlan ohjeistuksesta, että Joomla 3.5 ja 3.6 versioita ei voi asentaa ja päivittää kuten lisäosia.

logs- ja tmp-kansioiden oikeudet ovat 777.

Joomlassa on määritelty em. kansioiden polut mielestäni oikein (kun kerran lisäosien päivitykset onnistuivat).

Onkos ohjeita, miten muuten voin päivityksen tehdä?

PS. Ilmoitin palveluntarjoajalle, mutta eivät aikoneet alkaa selvittää kuka ja mistä (ellen anna maksullista toimeksiantoa). Antoivat vain ohjeeksi muutella noita salasanoja. Palveluntarjoaja on int2000.net.

Tarkista että sivuston levytila ei ole täynnä.

Kun sivut on alunperin hakkeroitu (Joomlan tai jonkun lisäosan haavoittuvuutta hyväksikäyttäen), on sivulle luultavasti asennettu ns. "takaportti", yleensä "PHP Shell Exploit".
Jos tuota takaporttia ei poisteta on hakkereilla vapaat kädet tehdä sivustolla mitä tahtovat.

Int2000 on tunnettu mutta ei palvelinten turvallisuudesta, pikemminkin päinvastoin...