Hakovan HTACCESS file

[markofon]

Najpre, pozdrav fantasticnom forumu i njegovim clanovima.

Hakovan mi je sajt. Kod Verat.net-a je hostovan.
Tacnije, upisan je kod u fajl .htaccess koji pravi redirekciju na neki ruski sajt.
Tako da svaki link sa google koji vodi ka mome sajtu zapravo odlazi na taj ruski sajt.
I zaista kada obrisem taj kod (pronasao sam ga) linkovi idu na moj sajt.
Ali ne prodje ni 30 minuta taj kod se opet upise (da li automatski ili haker ponovo upadne) i opet sam u problemu.

Moje pitanje glasi: Kako jednom zauvek da obrisem postavljeni kod od hakera (redirekciju),
a da mi se problem opet ne vrati kao bumerang?

Ps. Svakako, menjao sam sifru i za joomla pristup i za cpanel ali nema rezultata.

Hvala svima na pomoci.

[arsago]

Moguće je da je tvoj računar zaražen i da imaš viruse koji pokupe tvoje lozinke i pomoću njih se loguju na server i menjaju htaccess. Kada promeniš šifre na serveru, nemoj da ih čuvaš nigde, ni u brovseru ni u nekom ftp programu, već ih isključivo čuvaj u glavi, jer ako imaš virus na kompu onda će on da ih ponovo iščita iz programa. Druga mogućnost je da su hackovali sam server i sve naloge na njemu. Ako je to slučaj onda konaktiraj hosting podršku da srede to.

[oberknezev]

Potpuno isti problem!!

Razlika je samo sto sam ja na Eunetu.

Sifre za web hosting cesto menjam i naravno ne pamtim u firefoxu, za ftp koristim totalcmd u kojem ostaje upisana sifra (da li to treba da regulisem ? ).

Racunar skeniram redovno sa nodom, mse, pandom i spybotom - nista.

Problem je neka skripta koja, kao sto je receno, uporno prepravlja htaccess i redirektuje sajt na ruse.

Pretpostavljam da cak i ako bih nasao skriptu (sto ne umem), ostaje problem : kako je upala? verovatno preko neke komponente. Sajt nije menjan vise od 6 meseci a ovo se desilo pre 2 meseca tako da cak i da vratim bekap od pre 6 meseci necu biti siguran. Jedino mi mozda ostaje da skidam komponenetu po komponentu dok rewrite ne prestane ....

*edit evo prosam sam kroz sve komponente (ima ih 7,8), ni jedna nije na VEL listi. Da li to moze da znaci da nije problem u komponentama?

A kao sto sam vec video na nekoj od tema za bezbednost, mozda je i sam eunet bushan pa mi je sve ovo zadzabaka.

Shta vi mislite? Hvala!

[cicans]

za ftp koristim totalcmd u kojem ostaje upisana sifra (da li to treba da regulisem ? ).

naravno!

[pirossi]

Priča je standardna - "kradu vam šifre sa računara". I, uglavnom je netačna.
Na taj način provajder prikriva svoju nesposobnost da podesi servere kako valja, PHP posebno. A i Joomla 1.5 je šuplja što se toga tiče.

U poslednje vreme sam se bavio problemima sigurnosti na nekoliko Joomla 1.5 sajtova i svi su bili slično uhakovani. Prodorom neautorizovanih SQL upita tzv. "SQL injectiona".
Preko toga slede izmene na htaccess i pojedinim index.php fajlovima.

Jedino rešenje:
Redovan update te instalacija nekog security plugina uz obavezan backup "čistog" sajta.

I da - dobar firewall/antivirus na lokalnom računaru.

[cicans]

@Pirrosi sta si tacno otkrio, za koju Joomlu i koje ekstenzije?
Podeli svoja iskustva sa nama ostalima, ili bar prijavi razvojnom timu Joomle, ako si siguran da je ranjivost Joomle u pitanju.
Iako sam vec pisala na slicne teme, moze jos jednom:
Prvo i osnovno je Verat - hosting? - ne secam se koliko je bilo vec negativnih komentara za njih sto se bezbednosti tice. Upad na server ili na sajt ne mora biti samo vasa greska (osim ako se ne racuna u gresku to sto imate sajt na losem serveru). Ako neko moze da provali u sistem hostinga, nema veze i da imate sajt radjen u nasigurnijem i najbezbednijem softveru. Sto se bezbednosti na Eunetu tice, do sada nisam imala nikakvih problema sa njima.
2. kada neko kaze "hakovana" mi je Joomla, treba da kaze i koja verzija je u pitanju, koje ekstenzije ima instalirane, kakva poruka je u pitanju, koji fajlovi su izmenjeni itd... postoje alati, kao i globalni forum za bezbednost gde mozete proveriti i potraziti resenje - da ne bih prepisivala sve, proverite sebe tj. procitajte izmedju ostalog i ovo: http://forum.joomla.org/viewtopic.php?f=432&t=475313
3. Ne znam tacno koliki je procenat u pitanju, cinjenica je da je uzrok velikog broja "hakovanih" sajtova greska vlasnika tj. administratora istog. Na kakvom se serveru nalazi sajt (to spada u odluku vlasnika sajta), kakve sifre se koriste, da li se softver tj. Joomla i njene ekstenzije redovno azuriraju, da li se sifre redovno menjaju, da li se radi redovni bekap, da li... mnogo je stvari koje treba redovno raditi - a ne rade se generalno!
4. Kada primetite gresku, odnosno otkrijete da vam je neko upao na sajt i izmenio fajlove:
- obrisite sve fajlove na serveru, sto ukljucuje i bazu,
- skenirajte svoj racunar na viruse,
- proverite kod svoje hosting kompanije da li postoji skeniranje na viruse na njihovim serverima, proverite i kod hosta a i sa njihovim ostalim korisnicima da li se jos nekom osim vas desilo isto na istom serveru
- promenite SVE sifre vezane i za vas racunar i za server
- kada ste sigurni da ste sve ocistili, iskopirajte na server poslednji bekap vaseg sajta za koji znate da je cist i da je u redu
- i naravno i pored svega toga niko ne moze da vam garantuje da vam se opet nece desiti nesto slicno. Ono sto vi sigurno mozete da uradite je da se pridrzavate nekoliko osnovnih principa sigurnosti na netu http://forum.joomla.org/viewtopic.php?f=432&t=622474 i ako ne mozete da ih potpuno sprecite, ono makar smanjite mogucnost da vam se cesto desavaju provale.

[pirossi]

nemam šta posebno da prijavljujem jer se radilo o nažurnim Joomlama, tu negde oko 1.5.6 ili starija i ni makac dalje.
čistio sam ručno, ažurirao joomlu na poslednju verziju & bekapovao i pre i posle čišćenja.

i ne, nije Verat. ko još uopšte hostuje kod njih
dva sajta kod domaćeg Oriona i dva sajta na stranom irskom hostingu (blacknight.com).

svi sajtovi su bili "set it & forget it", tj. ljudi naručili i platili sajt i zaboravili da je održavanje neophodno, iako kod par njih poslovanje firme zavisi od ispravnog sajta.

iako se zadnjih pola godine bavim isključivo Drupalom, šef ume da me iscima oko nekih problema za sajtove koje ja niti sam pravio niti znam koje su sve komponente i pluginovi korišćeni.
znači lov na slepo. ali snalazim se za sada

edit:
e i da, ljudi otkriju da im je sajt uhakovan tek kada ga google blacklistuje.
nakon čišćenja sajta obavezno preko google webmaster toolsa zatražite review sajta kako bi vas odblokirali.

happy unhacking

[milos87popovic]

Ja hostujem svoje sajtove kod EUneta, za sada sve OK, imao sam samo jedan upad ali ništa opasno. Naime, ukoliko platite malo veću sumu i "zaposlite" admine EUneta da se bave bezbednošću vašeg sajta, verujte mi da nikakvih propusta neće biti

[mikronet]

@
.... , cinjenica je da je uzrok velikog broja "hakovanih" sajtova greska vlasnika tj. administratora istog. Na kakvom se serveru nalazi sajt (to spada u odluku vlasnika sajta), kakve sifre se koriste, da li se softver tj. Joomla i njene ekstenzije redovno azuriraju, da li se sifre redovno menjaju, da li se radi redovni bekap, da li... mnogo je stvari koje treba redovno raditi - a ne rade se generalno!
4. Kada primetite gresku, odnosno otkrijete da vam je neko upao na sajt i izmenio fajlove:
- obrisite sve fajlove na serveru, sto ukljucuje i bazu,
- skenirajte svoj racunar na viruse,
- proverite kod svoje hosting kompanije da li postoji skeniranje na viruse na njihovim serverima, proverite i kod hosta a i sa njihovim ostalim korisnicima da li se jos nekom osim vas desilo isto na istom serveru
- promenite SVE sifre vezane i za vas racunar i za server
- kada ste sigurni da ste sve ocistili, iskopirajte na server poslednji bekap vaseg sajta za koji znate da je cist i da je u redu

Iako je tema davno započeta mislim da je ustvari uvijek dovoljno aktualna, da se može nešto dodati ili komentirati.
Osobno se poduže bavim takvim problemima i analizom što i kako se dogodilo. Nažalost ne na mnogo slučajeva, jer je vlasnike teško nagovoriti da vam daju pristup stranicama ako vas osobno ne poznaju.

Nadovezao bi se vezano na povrat sadržaja iz nekog backupa na lokanom računalu. Moja preporuka je da se ne vračaju core datoteke same Joomle, komponenata i modula , nego ako je moguće da se ponovo instaliraju , koliko god je to moguće, a samo baza podataka da se nakon toga ažurira. Naime to je iz razloga posebno ako nismo sigurni na koji način je napad napravljen. Možda je ućinjen u dva koraka.
U prvom je pribavljen pristup i došlo se do administratorskih privilegija. Na taj način obezbbijeđen je legalan pristup stranicama. U idučem koraku haker makne sve vidljive tragove i legalno pristupa stranicama. Kada smo u tome periodu napravili backup, opet smo vratili datoteke u stanje koje je omogučilo pribavljanje administratorskih privilegija. Ovakva vrsta hakerskoga napada ne može se detektirati od hosting kompanije, ako ne poznaje cjelu proceduru i veoma je teško dokaziva, posebno u okolini kada više osoba ima administratorske ovlasti nad stranicama. Promjena administratorskoga pasworda u ovome slučaju nema efekta.