Site som hackas. Skumt!

Locked
magnusd
Joomla! Explorer
Joomla! Explorer
Posts: 443
Joined: Sat Dec 08, 2007 4:36 pm

Site som hackas. Skumt!

Post by magnusd » Thu Feb 20, 2014 9:02 pm

Hej
Har en site där jag nyligen fått problem med att den hackas regelbundet. Joomla 2.5 numera 18. Var ett betydligt lägre nummer för en timme sedan.

Verkar som ett antal filer med mindre roliga redirects laddas upp. .htaccess och en textfil med samma innehåll.

Har raderat siten, raderat database, ändrat MySQL-lösenordet, Ändrat FTP-lösenordet, läst upp originalsaiten, ändrat admin samt satt en bra lösenord. Kollat CHMOD. www mappen har 700, övriga mappar 755 och filer 644. Har installerat kareebu Secure. Trots detta så laddades ny .htaccess och en textfil upp nu ikväll. Raderade dessa och siten fungerar igen, men förmodligen tillfälligt.

Tips på vad sjutton jag ska göra tas tacksamt emot. Har laddat upp siten 2 gånger nu. Originalet från det att siten byggdes.

Hjälp!! :)
Magnus

User avatar
sgagner
Joomla! Ace
Joomla! Ace
Posts: 1302
Joined: Wed Sep 27, 2006 8:40 pm
Location: Norrköping, Sweden
Contact:

Re: Site som hackas. Skumt!

Post by sgagner » Sat Mar 01, 2014 11:14 am

Hej,

Det finns garanterat ett skript på sajten som gör ändringarna.
Titta i mappen /images/ och även i undermappen /stories/ och leta efter PHP-filer och eventuella .js-filer. Du skall endast ha bildfiler i dessa mappar.

Om du återställer en backup skall du se till att radera allt från webbservern innan du återställer, annars finns dessa skript kvar.

De kan finnas även i andra mappar såsom /media/ men är lite svårare att hitta där.

Om du hittar filer i images-mappen så måste du troligen uppdatera JCE-editor (om du använder den) till senaste version och även alla tillägg du använder i den.
Stefan Gagner, CMS Universal - http://www.mei-ya.se
Coordinator of Swedish Joomla Translator group.
We make the impossible while you wait. Wonders may take a little longer.

magnusd
Joomla! Explorer
Joomla! Explorer
Posts: 443
Joined: Sat Dec 08, 2007 4:36 pm

Re: Site som hackas. Skumt!

Post by magnusd » Sat Mar 01, 2014 2:06 pm

Tack!!
Siten är helt raderad inkl databas ett flertal gånger, men kapas på nytt. Ibland direkt. Ibland efter ett par dagar. Men eftersom siten är uppgraderad till 2.5 tittade jag igenom mapparna som du föreslog och hittade .cache_hlomrg.php i stories-mappen. Hur jag ska veta vad jag letar efter i media övergår dock mitt förstånd.

Edit: Nu jämfört media-mappen med liknande installation och gått igenom mapp för mapp. Får väl göra ett nytt försök och läsa upp siten en gång till! :-)

Om det är php-filen jag hittade i stories, då är det bara att tala om vart tårtan ska skickas! :-)

Hälsningar
Magnus

User avatar
sgagner
Joomla! Ace
Joomla! Ace
Posts: 1302
Joined: Wed Sep 27, 2006 8:40 pm
Location: Norrköping, Sweden
Contact:

Re: Site som hackas. Skumt!

Post by sgagner » Sat Mar 01, 2014 3:09 pm

Hej,

Det är sannolikt att det är denna fil som är boven.
Det är inte säkert att det finns fler filer än denna.
Se till att uppdatera alla komponenter som har möjlighet till att ladda upp filer på din sajt.
Stefan Gagner, CMS Universal - http://www.mei-ya.se
Coordinator of Swedish Joomla Translator group.
We make the impossible while you wait. Wonders may take a little longer.

magnusd
Joomla! Explorer
Joomla! Explorer
Posts: 443
Joined: Sat Dec 08, 2007 4:36 pm

Re: Site som hackas. Skumt!

Post by magnusd » Sat Mar 01, 2014 3:28 pm

Då var redan den gamla installationen kapad så att jag fick med den vid uppgraderingen. Man undrar ju varför den helt plötsligt "aktiveras" nu när det var ett halvår sedan den uppgraderades. När det gäller komponenter var ett led i felsökningen att avinstallera allt som inte krävdes. Eftersom denna site är rätt statisk tog jag även bort JCE så det finns i princip inga tilläggskomponenter installerade. Endast Akeeba just nu och den är "up to date".

User avatar
sgagner
Joomla! Ace
Joomla! Ace
Posts: 1302
Joined: Wed Sep 27, 2006 8:40 pm
Location: Norrköping, Sweden
Contact:

Re: Site som hackas. Skumt!

Post by sgagner » Sat Mar 01, 2014 3:33 pm

En kapning av denna typ går i två eller flera steg.
Först skannar en webbspindel av vilken version man av Joomla eller så försöker den helte enkelt bara lägga till skriptet med en anpassad URL som utnyttjar kända säkerhetshål i tex. JCE-editor av tidigare version.
Senare kommer en annan webbspindel och kör skriptet som tex. skriver in redirect-kod i .htaccess-filen

Jag har sett värre exempel där hacket legat inne en längre tid och där till slut hela sajten raderas. Då är det bra om man har en renad backup att lägga tillbaka.
Stefan Gagner, CMS Universal - http://www.mei-ya.se
Coordinator of Swedish Joomla Translator group.
We make the impossible while you wait. Wonders may take a little longer.

magnusd
Joomla! Explorer
Joomla! Explorer
Posts: 443
Joined: Sat Dec 08, 2007 4:36 pm

Re: Site som hackas. Skumt!

Post by magnusd » Sat Mar 01, 2014 4:04 pm

Ja, att TRO att man har en ren backup hjälper uppenbarligen inte! :-) Men jag laddar upp nu och återrapporterar självklart. Ett mycket stort tack för hjälpen!


Locked

Return to “Allmänna frågor”