Nejste přihlášeni
Stránky 1
Dobrý den,
již druhým dnem se snažím vyřešit problémy na doméně ivao.cz, případně ivao.mzf.cz
Včera docházelo, z mě dosud neznámých důvodů, k přepisování .htaccessu (včetně jeho práv). Do původního htaccessu se dopsala data způsobující redirect kamsi do Ruska a přepsání errordocuments také do ruska. K tomuto jevu došlo na několika dalších doménách, do kterých mám přístup. Připustil jsem tedy, že nějakým způsobem unikla hesla ven. Problém jsem vyřešil změnou hesel a přidáním IP restrikcí FTP účtům, které mají právo k daným doménám a soubory .htaccess opravil všude manuálně. Před provedenými změnami se .htaccess vracel do napadeného tvaru během několika sekund, po změnách již zůstal korektní. Situace se vyřešila.
Nicméně, a to je důvod proč píšu sem, dnes ráno jsem s hrůzou zjistil, že databáze se jménem ivaocz byla smazána. K údržbě databází včera došlo, nicméně úplně jiných a právě tato zůstala nezměněná. Včera jsem PC opouštěl s tím, že vše funguje, jak má, dnes nikoli. Oba výše zmíněné weby hlásí "unable to connect to mysql db", protože tam prostě není. Pokud se přihláším do myadmina, s účtem, ze kterého má přistupovat web, v levém sloupci s databázema není vůbec, ale zhola nic.
V souvislosti s tímto se zde chci zeptat, jakým způsobem mohla být databáze smazána, případně zda nejde o souvislost s plánem migrace databází?
Zároveň se chci zeptat, zda je možné provést obnovení dat ze zálohy? V adminu to totiž nejde, protože tam ta databáze vůbec není uvedená.
Co udělat pro to, aby k podobným situacím nedocházelo i v budoucnu?
Předem děkuji za jakoukoli odpověď
Update 12:07: Je technicky možné, aby při mazání domény došlo ke smazání databáze úplně jiné domény? Protože to tak vypadá. Databáze určená pro smazanou doménu zůstala a zmizela databáze aktivního webu.
Offline
defaultne je ftp ze zahranici blokovano
db si znovu zalozte a pak by mela byt videt v zalohach
Ruseni domen neni na ruseni db nijak navazane. Jedina moznost jak mohla zmizet je ze nemela dele jak 30 dnu zadny pristup.
Offline
Děkuji,
zálohy tam skutečně byly a tedy se podařilo celý web obnovit do původního stavu.
Nicméně mi lehce vrtá hlavou, jak je možné, poškodit .htaccess soubory na několika doménách najednou, přesný popis problému je zde: http://sucuri.net/malware/malware-entry-mwhta7
Zda se jedná pouze o mé zanedbání bezpečnosti ve smyslu jednoduchých hesel, případně nějaký cílený útok. Jsou někde k dispozici logy transakcí na FTP :?:
Ještě jednou děkuji
Offline
Offline
Dobře, díky.
Vzdáleného útočníka jsem se pokusil vyloučit tím, že jsem omezil všem odpovídajícím FTP účtům přístupy na určitou IP. Nepovedlo se, za chvíli to tam bylo zas.
U jednoho z těch dvou účtů (ten druhý byl bezpečně vypnutý úplně), jsem provedl analýzu všech paketů a nic takového, co by mohlo způsobovat přepsání .htaccessů x domén jsem nenašel - což si myslím, že vylučuje problém viru v PC. I přesto došlo k přepsání.
Problém tedy začínám hledat na vyšší úrovni. Přímo v kódu všech webů.. to bude dlouhá noc :oops: .. tak, že php by mohlo být schopno mazat a generovat .htaccess soubory ve své vlastní struktuře. Čímž mi ale nesedí vždy stejný čas úpravy těch souborů.
Inu, je to boj :-)
Ale díky !
Offline
Offline
Ano, nad tím jsem uvažoval a dospěl k názoru, že to také nebude ono.
:idea:
Založil jsem doménu: csa447test.mzf.cz která je na tom samém účtu jako výše uvedené (10 dom). Úplně prázdná, jen index.php s printem textu uvnitř. Během několika málo minut se v ní (a všech dalších) vytvořil .htaccess s redirectem do Rus.
Domnívám se, že není možné aby php soubor z jedné domény ovlivňoval obsah ftp složek jiných domén, byť na stejném účtu. Tedy, že souborem neco.mzf.cz/cokoli.php, nemohu upravit/vytvořit .htaccess od domeny necojineho.mzf.cz i za předpokladu, že oba účty spravuji já jedním účtem. Nebo ano?
Nějaké nápady?
Offline
Offline
Aha, a dá se tomuto (pro mě celkem nežádoucímu) jevu zabránit ?
Offline
Offline
Tak škodlivý kód se najít nepodařilo. Je to jako hledat jehlu v kupce sena.
Napadá mě už snad jen jednotlivé domény rozházet do "svých" účtů - tedy je decentralizovat nějak a počkat, na které doméně se problém projeví a tu patřičně ošetřit. :?
Při pokusu o stažení všech dat z FTP (abych je mohl proparsovat na výskyt podezřelých řetězců) připojení každých x-minut padlo, a z už tak zdlouhavého sosání se vyklubala nikdynekončící noční můra.
.htaccessy jsem dočasně "obešel" cronem, který je přepisuje zpět do původního tvaru. :oops:
I přes veškerou snahu byla včera jedna z domén odstavená právě kvůli tomuto problému. Paráda. :cry:
PS: Proč ten cron cronuje jen občas? Pak by možná problém přemlátil dřív, než by ta doména spadla do blokace :?:
Offline
Offline
Mám stejný problém... dnes se mi začal tvořit soubor .htaccess a v něm nějaké kód na přesměrování do RUS. Ovšem vůbec nevím co tím. Po smazaní změně všech hesel jak do FTP, CMS atd... problém stále přetrvává.
Offline
Hurá, aspoň nejsem sám.
Problém s .htaccessy stále řeším externím cronem (protože ten, co nabízí endora dost rád "vynechává" - viz poslední odstavení jedné z domén v důsledku tohoto....) na php, které mi přepisuje php do správného tvaru.
Zdá se, že problém je buď nějaká díra v Joomle, kdesi mezi servery, nebo zde mezi židlí a klávesnicí.
Offline
Skúste opravenému .htaccessu nastaviť atribúty na 400 - mohlo by pomôcť. Prípadne máte zavírený PC a vírus odosiela vaš login a heslo čo máte uložené vo FTP klientovi niekam do sveta a oni to menia.
Offline
Máme podobný problém na webu, který s Endorou teda nemá nic společného a vidím to na problém nějakého pluginu v Joomle... A vidím to na problém joomly 1.5 která problémy má, to je známá věc.
Předělání atribut nepomáhá, .htaccess si zase předělá atributy jak chce... Když si do nich napíšu cokoliv, přelinkování na rusko se PŘIDÁ... Příjde mi to už jako boj s větrnými mlýny... Co se týče odesílání hesel... Tam to nevidím moc reálně, heslo mám X let uložené a případný virus by je přes detekci kláves nevyčetlo, snad jen že by odeslal celej win_ftp.ini z Total Commandera:-D Jako fakt nevím no... Už mě to dere, pač Chrome a Firefox hází varování o nebezpečným webu...
Offline
Odstráňte súbor ktorý to spôsobuje, na tomto fóre to bolo už niekoľkokrát preberané a tiež boli uvedené súbory o ktoré sa jednalo. Následne nezabudnite každý modul, komponent aktualizovať, prípadne si preveriť vydavateľa, alebo stránku s ktorej ste doplnok stiahli či naozaj patrí vydavateľovi. Mne osobne sa to na poslednej aktualizácií Joomly 1.5.26 nestalo a preto netuším kde presne môže byť pes zakopaný
Offline
... heslo mám X let uložené a případný virus by je přes detekci kláves nevyčetlo, snad jen že by odeslal celej win_ftp.ini z Total Commandera:-D ...
O úniku hesel z TCMD bylo popsáno také dost článků. Snad poslední verzi se dá trochu věřit. Já osobně hesla k žádnému FTP účtu nemám uložena (pamatuji si je). Navíc je v TCMD poznámka právě u hesla - "Upozornění: Uložení hesla není zabezpečeno".
Co se týče problému přesměrovávání - jak psal JF - mnohokráte probíráno i s uvedením souboru. Počítejte s tím, že daný soubor může měnit název, to že změníte všechna hesla a ponecháte soubor na webu nic nevyřešíte. Je tam a tak nic nebrání jeho spuštění...
Již admin zde také zmiňoval problém s přetěžováním serveru, který způsobila nějaká bezpečnostní díra v systému Joomla! - osobně jsem přesvědčen, že se jedná o doplněk, který nebyl schválen a prověřen.
Na svém webu mám také Joomla! v základní verzi a nic podobné se na mém webu neděje, ale aktualizovat verze by mělo být povinností každého uživatele. Jde především o jeho data!!!
1. Murphyho zákon:
Na počátku nebylo nic. I to se pokazilo!
stránky: CMS test
kontakt - instalace systémů, MySQL, FTP přístup, ...
Instalační balíky vybraných CSM
Problémy spojené s provozem služeb Endora, řešte na tomto fóru.
Offline
Offline
Stránky 1