Sivut hakkeroitu

Moi,

onkohan mitään tehtävissä, kun asiakkaani Joomla 3.0 -sivuille on jollakin konstilla hakkeroiduttu sisään. Itse en pääse enää admin-tunnuksillani mihinkään, mutta cpanelin avulla pääsin kuitenkin tutkimaan kantaa, jossa totesin super userin tunnuksien vaihtuneen sec-w.com:ksi. Vaihdoin tunnuksen ja salasanan takaisin alkuperäisiksi, mutta siitäkään huolimatta en pääse kirjautumaan sivustolle, en takaa enkä edestä. Sivut ovat päällisin puolin kunnossa, onneksi. Palveluntarjoaja on tässä tapauksessa INT2000.

Ottakaa yhteys "taas" INT2000 -palveluntarjoajaan aivan ensin ja kerrotte tilanteen ja vilkaiskaa yhdessä mitä on värkitty ja mistä... ihan oma hupiheitto on että kansio/tiedosto oikeudet on 777?

BTW, Please note that going from Joomla 3.0 to 3.1 is a one-click upgrade and is NOT a migration. The same is true is for any subsequent versions in the Joomla 3 series. That being said, please do not upgrade any of your production sites to the beta version as beta is ONLY intended for testing.

Vaikka J! mainostaa download sivustolla tätä: screencast.com/t/NAOy7yMoi7

Henkilökohtainen mielipide: käytä 2.5.xx ja katso 3.x meininkii

Jos OIKEESTI katsoo Joomla! tietoturvallisuutta, niin mielestäni 1.5.26 on edelleen ykkönen, 2.5.x on tietyt, 3.x liian paljon tuntematonta, joka muuttuu koko ajan...

En todellakaan uskalla pitää moisia oikeuksia kansioissa/tiedostoissa, jos ei sitten ole vahingossa sellaiseksi jäänyt. Mitään en kuitenkaan tunnusta. "Inttiä" on infottu asiasta, mutta en odota sieltä vastausta lähimpään viikkoon. Aikaisemmin varsin asiallista palvelua tarjonnut firma on viimeisen vuoden aikana vajonnut todella alas monessa suhteessa. Taidan kuitenkin ensitöikseni asian selvittyä downgreidata sivuston 2.5:ksi ja harkitsen vakavasti palveluntarjoajankin vaihtamista.

En todellakaan uskalla pitää moisia oikeuksia kansioissa/tiedostoissa,

niin... cqi tai cgi-fcgi, ja käyttämäsi apache2handler kai? ne ovat ihan eri asioita...

Rajapinta on käsittääkseni cgi-fcgi myös Intillä, tarkastin sen toiselta sivustolta. Lieköhän siellä ollut jonkinlainen akuutti kriisi noiden hakkereiden kanssa, kun kirjautuessani cpaneliin pyysivät ensitöikseen vaihtamaan sen salasanan.

Tämä tapaus haiskahtaa Apachen "FollowSymlinks" haavoittuvuudella tehdyltä hakkeroinnilta.
Sitä vastaan voi suojautua (itse) parhaiten siten että laittaa PHP tiedostojen oikeudet -> 600.

(ja tuon voi siis tehdä vain jos käytössä on suPHP tai vastaava, eli PHP:tä ajetaan tilin käyttäjätunnuksella).