Återställa hackad sida

[icebear]

Vi fick nyligen http://www.lapoterie.se hackad, av Turkiska hackare verkade det som.
Vi återställde de filer som de varit och ändrat i (de vi hittade)
Det var Index.php och configuration.php , sen hade lagt till två filer ApA.php
och c99.php.
Nu snurrar vår första-sida igen, men inga som helst länkar fungerar, blir bara *The requested URL /component/option,com_ och så vidare, was not found on this server.*  Det går inte att logga in som admin heller.

Kan logga in till databasen, och den verkar intakt.

Nån som har något tips ?

Kör  tyvärr en äldre Mambo 4523

[jezper]

Vi fick nyligen http://www.lapoterie.se hackad, av Turkiska hackare verkade det som.
Vi återställde de filer som de varit och ändrat i (de vi hittade)
Det var Index.php och configuration.php , sen hade lagt till två filer ApA.php
och c99.php.
Nu snurrar vår första-sida igen, men inga som helst länkar fungerar, blir bara *The requested URL /component/option,com_ och så vidare, was not found on this server.*  Det går inte att logga in som admin heller.

Kan logga in till databasen, och den verkar intakt.

Nån som har något tips ?

Kör  tyvärr en äldre Mambo 4523

Lite off topic
Mambo 4.5.2.1 Pass Hash Remote Exploit. Du borde byta upp dig till joomla 1.0.12 för att vara mer på den säkra sidan finns en hel radda eploits till Mambo 4.5.2.1 och uppåt.

Ps de kan ju ha fått med databasen eller dina lösenord, Message Digest 5 är ganska lätt att få fram lösenord etc fast att de skulle vara "skyddade". så byt lösen på databasen och din site för säkerhetsskull !

Och c99.php är ett "hacking" script för mysql injection! , de kan ha lagt upp det på din server för att sedan hacka andra siter. Jag tycker också du borde kolla alla filer som du har på servern så att det inte ligger någon phishing sida och lurar, så att du får skulden sedan när ebay paypal  hittar den. Bara ett tips.

Alltid trist att bli hackad! Hoppas att någon kan hjälpa dig och allt löser sig 

[icebear]

Jag har nu återställt sajten.
Det var även fel på .htaccess
Jag har även modifierat den så att alla Turkiska IP är blockade !!!

[jezper]

Fint att det löste sig ! 

[hackeman]

Jag har även modifierat den så att alla Turkiska IP är blockade !!!

[Florre]

Det var även fel på .htaccess
Jag har även modifierat den så att alla Turkiska IP är blockade !!!

Du kanske kan tipsa oss andra hur du gjorde det? En av mina sidor blev hackad av turkar tidigare så det låter som ett bra tips att blocka bort dom, speciellt som jag inte alls vänder mig till Turkiet med mina sajter.

/Florre

[Basher52]

Det var även fel på .htaccess
Jag har även modifierat den så att alla Turkiska IP är blockade !!!

Du kanske kan tipsa oss andra hur du gjorde det? En av mina sidor blev hackad av turkar tidigare så det låter som ett bra tips att blocka bort dom, speciellt som jag inte alls vänder mig till Turkiet med mina sajter.

/Florre

Ja detta kan vara intressant, ev kanske t o m att spärra allt utom Svenskar eller liknande om det finns ett enkelt sätt att göra det. det jag hoppas på är isåfall att detta görs redan i branväggen

[icebear]

Det finns möjlighet att göra detta i .htaccess

[Basher52]

att spärra ja, men tycker personligen att det "ligger lite sent i kedjan"
eftersom dom då redan kommit "in" i burken.
Detta borde göras i FW'n.

Frågan är hur man kan spärra alla IP's som tillhör ett visst land?

[Peligro]

Spørsmålet er om dette med IP-blokkering har noe for seg i det hele tatt hvis hensikten er å sikre seg mot angrep...

Crackere/script kiddies benytter ofte anonyme proxyservere og denslags slik at de like gjerne kan bli logget med en helt legitim IP-adresse...

Løsningen må bli å "herde" J! installasjonen etter beste evne og sørge for at 3djepart utvidelser er av god kvalitet og holdes oppdatert. Et godt sted å begynne: http://forum.joomla.org/index.php/topic,81058.0.html

Bare noen tanker.... 

[Basher52]

Precis vad jag trodde