Hakovan HTACCESS file

Moderators: TheHacker, cicans

Locked
markofon
Joomla! Apprentice
Joomla! Apprentice
Posts: 17
Joined: Wed Dec 29, 2010 2:44 pm

Hakovan HTACCESS file

Post by markofon » Tue Mar 27, 2012 10:44 pm

Najpre, pozdrav fantasticnom forumu i njegovim clanovima.

Hakovan mi je sajt. Kod Verat.net-a je hostovan.
Tacnije, upisan je kod u fajl .htaccess koji pravi redirekciju na neki ruski sajt.
Tako da svaki link sa google koji vodi ka mome sajtu zapravo odlazi na taj ruski sajt.
I zaista kada obrisem taj kod (pronasao sam ga) linkovi idu na moj sajt.
Ali ne prodje ni 30 minuta taj kod se opet upise (da li automatski ili haker ponovo upadne) i opet sam u problemu.

Moje pitanje glasi: Kako jednom zauvek da obrisem postavljeni kod od hakera (redirekciju),
a da mi se problem opet ne vrati kao bumerang?

Ps. Svakako, menjao sam sifru i za joomla pristup i za cpanel ali nema rezultata.

Hvala svima na pomoci.

arsago
Joomla! Intern
Joomla! Intern
Posts: 93
Joined: Sat Jul 28, 2007 3:52 pm
Contact:

Re: Hakovan HTACCESS file

Post by arsago » Thu Mar 29, 2012 11:04 pm

Moguće je da je tvoj računar zaražen i da imaš viruse koji pokupe tvoje lozinke i pomoću njih se loguju na server i menjaju htaccess. Kada promeniš šifre na serveru, nemoj da ih čuvaš nigde, ni u brovseru ni u nekom ftp programu, već ih isključivo čuvaj u glavi, jer ako imaš virus na kompu onda će on da ih ponovo iščita iz programa. Druga mogućnost je da su hackovali sam server i sve naloge na njemu. Ako je to slučaj onda konaktiraj hosting podršku da srede to.

oberknezev
Joomla! Fledgling
Joomla! Fledgling
Posts: 4
Joined: Wed Aug 01, 2012 7:35 am

Re: Hakovan HTACCESS file

Post by oberknezev » Tue Aug 07, 2012 11:26 am

Potpuno isti problem!! :(

Razlika je samo sto sam ja na Eunetu.

Sifre za web hosting cesto menjam i naravno ne pamtim u firefoxu, za ftp koristim totalcmd u kojem ostaje upisana sifra (da li to treba da regulisem ? ).

Racunar skeniram redovno sa nodom, mse, pandom i spybotom - nista.

Problem je neka skripta koja, kao sto je receno, uporno prepravlja htaccess i redirektuje sajt na ruse.

Pretpostavljam da cak i ako bih nasao skriptu (sto ne umem), ostaje problem : kako je upala? verovatno preko neke komponente. Sajt nije menjan vise od 6 meseci a ovo se desilo pre 2 meseca tako da cak i da vratim bekap od pre 6 meseci necu biti siguran. Jedino mi mozda ostaje da skidam komponenetu po komponentu dok rewrite ne prestane ....

*edit evo prosam sam kroz sve komponente (ima ih 7,8), ni jedna nije na VEL listi. Da li to moze da znaci da nije problem u komponentama?

A kao sto sam vec video na nekoj od tema za bezbednost, mozda je i sam eunet bushan pa mi je sve ovo zadzabaka.

Shta vi mislite? Hvala!

User avatar
cicans
Joomla! Hero
Joomla! Hero
Posts: 2229
Joined: Fri Oct 12, 2007 10:31 am
Location: Novi Sad, Serbia
Contact:

Re: Hakovan HTACCESS file

Post by cicans » Thu Aug 09, 2012 7:29 am

oberknezev wrote:za ftp koristim totalcmd u kojem ostaje upisana sifra (da li to treba da regulisem ? ).
naravno! :D
Blog: http://www.kuvarancije.com/
Serbian Joomla!® Translation Team Coordinator http://www.joomla-serbia.com/
Follow me on Twitter @cicans - Svetlana Zec

User avatar
pirossi
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 207
Joined: Wed Oct 07, 2009 3:49 am
Location: Belgrade, Serbia

Re: Hakovan HTACCESS file

Post by pirossi » Thu Aug 09, 2012 1:31 pm

Priča je standardna - "kradu vam šifre sa računara". I, uglavnom je netačna.
Na taj način provajder prikriva svoju nesposobnost da podesi servere kako valja, PHP posebno. A i Joomla 1.5 je šuplja što se toga tiče.

U poslednje vreme sam se bavio problemima sigurnosti na nekoliko Joomla 1.5 sajtova i svi su bili slično uhakovani. Prodorom neautorizovanih SQL upita tzv. "SQL injectiona".
Preko toga slede izmene na htaccess i pojedinim index.php fajlovima.

Jedino rešenje:
Redovan update te instalacija nekog security plugina uz obavezan backup "čistog" sajta.

I da - dobar firewall/antivirus na lokalnom računaru.

User avatar
cicans
Joomla! Hero
Joomla! Hero
Posts: 2229
Joined: Fri Oct 12, 2007 10:31 am
Location: Novi Sad, Serbia
Contact:

Re: Hakovan HTACCESS file

Post by cicans » Thu Aug 09, 2012 6:21 pm

@Pirrosi sta si tacno otkrio, za koju Joomlu i koje ekstenzije?
Podeli svoja iskustva sa nama ostalima, ili bar prijavi razvojnom timu Joomle, ako si siguran da je ranjivost Joomle u pitanju.
Iako sam vec pisala na slicne teme, moze jos jednom:
Prvo i osnovno je Verat - hosting? - ne secam se koliko je bilo vec negativnih komentara za njih sto se bezbednosti tice. Upad na server ili na sajt ne mora biti samo vasa greska (osim ako se ne racuna u gresku to sto imate sajt na losem serveru). Ako neko moze da provali u sistem hostinga, nema veze i da imate sajt radjen u nasigurnijem i najbezbednijem softveru. Sto se bezbednosti na Eunetu tice, do sada nisam imala nikakvih problema sa njima.
2. kada neko kaze "hakovana" mi je Joomla, treba da kaze i koja verzija je u pitanju, koje ekstenzije ima instalirane, kakva poruka je u pitanju, koji fajlovi su izmenjeni itd... postoje alati, kao i globalni forum za bezbednost gde mozete proveriti i potraziti resenje - da ne bih prepisivala sve, proverite sebe tj. procitajte izmedju ostalog i ovo: http://forum.joomla.org/viewtopic.php?f=432&t=475313
3. Ne znam tacno koliki je procenat u pitanju, cinjenica je da je uzrok velikog broja "hakovanih" sajtova greska vlasnika tj. administratora istog. Na kakvom se serveru nalazi sajt (to spada u odluku vlasnika sajta), kakve sifre se koriste, da li se softver tj. Joomla i njene ekstenzije redovno azuriraju, da li se sifre redovno menjaju, da li se radi redovni bekap, da li... mnogo je stvari koje treba redovno raditi - a ne rade se generalno!
4. Kada primetite gresku, odnosno otkrijete da vam je neko upao na sajt i izmenio fajlove:
- obrisite sve fajlove na serveru, sto ukljucuje i bazu,
- skenirajte svoj racunar na viruse,
- proverite kod svoje hosting kompanije da li postoji skeniranje na viruse na njihovim serverima, proverite i kod hosta a i sa njihovim ostalim korisnicima da li se jos nekom osim vas desilo isto na istom serveru
- promenite SVE sifre vezane i za vas racunar i za server
- kada ste sigurni da ste sve ocistili, iskopirajte na server poslednji bekap vaseg sajta za koji znate da je cist i da je u redu
- i naravno i pored svega toga niko ne moze da vam garantuje da vam se opet nece desiti nesto slicno. Ono sto vi sigurno mozete da uradite je da se pridrzavate nekoliko osnovnih principa sigurnosti na netu http://forum.joomla.org/viewtopic.php?f=432&t=622474 i ako ne mozete da ih potpuno sprecite, ono makar smanjite mogucnost da vam se cesto desavaju provale.
:pop
Blog: http://www.kuvarancije.com/
Serbian Joomla!® Translation Team Coordinator http://www.joomla-serbia.com/
Follow me on Twitter @cicans - Svetlana Zec

User avatar
pirossi
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 207
Joined: Wed Oct 07, 2009 3:49 am
Location: Belgrade, Serbia

Re: Hakovan HTACCESS file

Post by pirossi » Thu Aug 09, 2012 7:24 pm

nemam šta posebno da prijavljujem jer se radilo o nažurnim Joomlama, tu negde oko 1.5.6 ili starija i ni makac dalje.
čistio sam ručno, ažurirao joomlu na poslednju verziju & bekapovao i pre i posle čišćenja.

i ne, nije Verat. ko još uopšte hostuje kod njih :D
dva sajta kod domaćeg Oriona i dva sajta na stranom irskom hostingu (blacknight.com).

svi sajtovi su bili "set it & forget it", tj. ljudi naručili i platili sajt i zaboravili da je održavanje neophodno, iako kod par njih poslovanje firme zavisi od ispravnog sajta.

iako se zadnjih pola godine bavim isključivo Drupalom, šef ume da me iscima oko nekih problema za sajtove koje ja niti sam pravio niti znam koje su sve komponente i pluginovi korišćeni.
znači lov na slepo. ali snalazim se za sada :)

edit:
e i da, ljudi otkriju da im je sajt uhakovan tek kada ga google blacklistuje.
nakon čišćenja sajta obavezno preko google webmaster toolsa zatražite review sajta kako bi vas odblokirali.

happy unhacking :geek:

milos87popovic
I've been banned!
Posts: 44
Joined: Thu Aug 19, 2010 9:36 am
Contact:

Re: Hakovan HTACCESS file

Post by milos87popovic » Mon Feb 25, 2013 9:47 am

Ja hostujem svoje sajtove kod EUneta, za sada sve OK, imao sam samo jedan upad ali ništa opasno. Naime, ukoliko platite malo veću sumu i "zaposlite" admine EUneta da se bave bezbednošću vašeg sajta, verujte mi da nikakvih propusta neće biti :)

mikronet
Joomla! Apprentice
Joomla! Apprentice
Posts: 39
Joined: Wed Aug 18, 2010 5:50 am

Re: Hakovan HTACCESS file

Post by mikronet » Sun Mar 24, 2013 10:14 pm

cicans wrote:@
.... , cinjenica je da je uzrok velikog broja "hakovanih" sajtova greska vlasnika tj. administratora istog. Na kakvom se serveru nalazi sajt (to spada u odluku vlasnika sajta), kakve sifre se koriste, da li se softver tj. Joomla i njene ekstenzije redovno azuriraju, da li se sifre redovno menjaju, da li se radi redovni bekap, da li... mnogo je stvari koje treba redovno raditi - a ne rade se generalno!
4. Kada primetite gresku, odnosno otkrijete da vam je neko upao na sajt i izmenio fajlove:
- obrisite sve fajlove na serveru, sto ukljucuje i bazu,
- skenirajte svoj racunar na viruse,
- proverite kod svoje hosting kompanije da li postoji skeniranje na viruse na njihovim serverima, proverite i kod hosta a i sa njihovim ostalim korisnicima da li se jos nekom osim vas desilo isto na istom serveru
- promenite SVE sifre vezane i za vas racunar i za server
- kada ste sigurni da ste sve ocistili, iskopirajte na server poslednji bekap vaseg sajta za koji znate da je cist i da je u redu

:pop
Iako je tema davno započeta mislim da je ustvari uvijek dovoljno aktualna, da se može nešto dodati ili komentirati.
Osobno se poduže bavim takvim problemima i analizom što i kako se dogodilo. Nažalost ne na mnogo slučajeva, jer je vlasnike teško nagovoriti da vam daju pristup stranicama ako vas osobno ne poznaju.

Nadovezao bi se vezano na povrat sadržaja iz nekog backupa na lokanom računalu. Moja preporuka je da se ne vračaju core datoteke same Joomle, komponenata i modula , nego ako je moguće da se ponovo instaliraju , koliko god je to moguće, a samo baza podataka da se nakon toga ažurira. Naime to je iz razloga posebno ako nismo sigurni na koji način je napad napravljen. Možda je ućinjen u dva koraka.
U prvom je pribavljen pristup i došlo se do administratorskih privilegija. Na taj način obezbbijeđen je legalan pristup stranicama. U idučem koraku haker makne sve vidljive tragove i legalno pristupa stranicama. Kada smo u tome periodu napravili backup, opet smo vratili datoteke u stanje koje je omogučilo pribavljanje administratorskih privilegija. Ovakva vrsta hakerskoga napada ne može se detektirati od hosting kompanije, ako ne poznaje cjelu proceduru i veoma je teško dokaziva, posebno u okolini kada više osoba ima administratorske ovlasti nad stranicama. Promjena administratorskoga pasworda u ovome slučaju nema efekta.


Locked

Return to “Bezbednost”