brakos Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Γεια χαρα φιλοι μου. Εχω φιλοξενια με cpanel σε εταιρια στις ΗΠΑ. Στον server εχω καμμια 20αρια sites οπου μερικα ειτε ειναι joomla αλλα και html only ή flash only ιστοσελιδες. Εδω και 3 ημερες ΣΕΡΙ, τουλαχιστον 10 σελιδες αλλαζει το αρχικο index.html με το παρακατω (παραθετω ενα παραδειγμα απο τις σελιδες ωστε για να γινω κατανοητος) http://klaydianos.gr Τι γινεται ; Πως διορθωνεται ; Τι να κοιταξω ; Εχω απογοητευτει πλεον. Μια και βαλε ωρα αφιερωνω για ξανα upload απο τα backup μου. Ευχαριστω για το χρονο σας.
antonisid Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 "Palistine is our, and America will be one of our colonies" omg που έχει μπλέξει? Πέρα απ'την πλάκα.Επικοινώνησες με την εταιρεία που φιλοξενεί τις σελίδες σου? Και το κυριότερο άλλαξες κωδικό FTP?
sandbird Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Πιθανότατα φταίει το Joomla σου. Έχεις παλιότερη έκδοση και έχει βγεί exploit για αυτήν. Μπορείς να κάνεις Update τα site σου στην τελευταία έκδοση joomla ? Επίσης δες στο cpanel αν έχει Logs. Ισως από τα logs να δεις το IP που σου έκανε τη ζήμια (και να το κάνεις ban) ή τι ακριβώς τρέξανε και πήρανε access στο site σου. Επίσης μπες στο ftp και ταξινόμησε τα αρχεία ανά ημερομηνία....και δες αν ανέβασαν τίποτε php αρχεία επάνω (για να έχουν πρόσβαση ξανά...ακόμα και αν αλλάξεις το ftp pass)
fouros Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Με το να ανεβάζεις backup δεν κάνεις απολύτως τίποτα.Κάθε μέρα θα σε ξαναχακάρουν. Πρέπει να βρείς την αιτία.Για αρχή τσεκάρεις τα παρακάτω 1)Check για troyan στο pc σου (κατά συνέπεια υποκλοπή του ftp password) 2)Joomla updates 3)Permissions 4)Components, plugins, modules 5)Template 6)Secure host (suphp, mod security κ.λ.π) ζήτα βοήθεια από τον host σου και τα logs για να δειτε από που μπαίνουν 7) Όταν και μόνο τότε βρεις από που μπήκαν και βεβαιωθείς πως το pc σου είναι καθαρό από troyan τότε αλλάζεις όλα τα password
routsounmanman Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Ποιό FTP client χρησιμοποιείς; Πές μου ότι δεν είναι ο FileZilla.
brakos Δημοσ. 27 Αυγούστου 2010 Μέλος Δημοσ. 27 Αυγούστου 2010 antonisid : ναι αλλαξα κωδικο, περιεργως τα αρχεια μεσα δεν διαγραφονται ή σβηνονται, μονο το αρχικο index.html sanbird, ποιο exploit και που θα το βρω ; Εχει ναι cpanel logs ειναι ενα κατεβατο ατελειωτο...πως θα δω τι παιζει ; fouros : ναι trojan τσεκαρα δεν εχω κατι. Πιθανον ειναι τα joomla updates αλλα περιεργο και σε sites που ουτε καν joomla εχουν. Θα δω τα logs, τα εχω κατεβασει αλα μονο GET λενε....ως εντολες. ---------- Προσθήκη στις 08:23 ---------- Προηγούμενο μήνυμα στις 08:18 ---------- Ποιό FTP client χρησιμοποιείς; Πές μου ότι δεν είναι ο FileZilla. Δεν χρησιμοποιω καν ftp. Μπαινω απο το cpanel το filemanager. Εν τω μεταξυ ειδα κατι οπως οι φιλοι ειπαν στα logs 2.114.94.42 - - [26/Aug/2010:16:56:53 +0000] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider Cache Manager" 82.114.94.42 - - [26/Aug/2010:16:56:53 +0000] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1" 82.114.94.42 - - [26/Aug/2010:16:56:53 +0000] "GET /_vti_inf.html HTTP/1.1" 500 685 "-" "Mozilla/2.0 (compatible; MS FrontPage 4.0)" 82.114.94.42 - - [26/Aug/2010:16:56:54 +0000] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 - "-" "MSFrontPage/4.0" 82.114.94.42 - - [26/Aug/2010:16:56:54 +0000] "GET /_vti_inf.html HTTP/1.1" 500 685 "-" "Mozilla/2.0 (compatible; MS FrontPage 4.0)" 82.114.94.42 - - [26/Aug/2010:16:56:54 +0000] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 - "-" "MSFrontPage/4.0"
Cool-processor Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 αμα δώ κανένα hacker μπροστά μου(επειδή εχουν κανει και εμενα hack) εχει να γινει το ελα να δεις............
Uberalles_gr Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Πέρα απ'την πλάκα.Επικοινώνησες με την εταιρεία που φιλοξενεί τις σελίδες σου? Και το κυριότερο άλλαξες κωδικό FTP? Αυτά ακριβώς πρέπει να κάνεις αρχικά
brakos Δημοσ. 27 Αυγούστου 2010 Μέλος Δημοσ. 27 Αυγούστου 2010 Και βρηκα σε ΟΛΑ τα hackeμενα sites ενα αρχειο reports.php οπου και σβηνω
zen3 Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Πάντως έχουν κάνει πολλά δουλειά τα παλικάρια: http://www.google.gr/search?q=Aljyyosh+Team&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a
Haros Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Και βρηκα σε ΟΛΑ τα hackeμενα sites ενα αρχειο reports.php οπου και σβηνω Μπορείς να ανεβάσεις το reports.php να δούμε τον κώδικα; Κάποιο shell θα είναι αλλά ίσως δώσει περισσότερες πληροφορίες.
kostas0928 Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Θεωρώ ως πιθανότερο αυτό που λέει ο sanbird. Οτι δηλαδή φταίει το joomla σου. Αν είχαν κωδικό ftp θα στα είχαν χακέψει όλα. Περιμένω με ανυπομονησία να εμφανιστεί ο Δελαπόρτας και να αρχίσει να αναλύει ( δικαιωμένος ) τα κενά και τις τρύπες του Joomla!:lol:
Cool-processor Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Πάντως έχουν κάνει πολλά δουλειά τα παλικάρια: http://www.google.gr/search?q=Aljyyosh+Team&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a άμα σου πω οτι το σαιτ ενος γνωστου το εκαναν αυτοι hack?
routsounmanman Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Θεωρώ ως πιθανότερο αυτό που λέει ο sanbird. Οτι δηλαδή φταίει το joomla σου. Αν είχαν κωδικό ftp θα στα είχαν χακέψει όλα. Περιμένω με ανυπομονησία να εμφανιστεί ο Δελαπόρτας και να αρχίσει να αναλύει ( δικαιωμένος ) τα κενά και τις τρύπες του Joomla!:lol: Όχι απαραίτητα. Παλαιότερα μου είχαν "hackarei" ένα Magento και το μόνο που άλλαζαν ήταν το .htaccess και ένα index.html που έκανε ανακατεύθυνση σε ένα trojan τους.
kostas0928 Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Όχι απαραίτητα. Παλαιότερα μου είχαν "hackarei" ένα Magento και το μόνο που άλλαζαν ήταν το .htaccess και ένα index.html που έκανε ανακατεύθυνση σε ένα trojan τους. Εννοώ θα του είχαν χακέψει όλα τα site ( Οχι ολα τα αρχεία ).
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.