Προς το περιεχόμενο
  • 0
ΜΑΝΩΛΗΣ1

Phishing issue στο site της εταιρείας μας

Ερώτηση

Καλησπέρα

Εδώ και λίγες μέρες βρήκαν ένα κενό ασφαλείας σε ένα component Και τρέχουμε να σώσουμε την κατάσταση]

Το component ήταν σχετικό με μαζική αποστολή mail και newsletters. Το απεγκατέστησα μιας και δεν το χρησιμοποιήσαμε ποτέ και έσβησα όλα τα Logs και τα data μέσω query

 

Το άλλο που μας έχουν στείλει αφορά κάποια urls της μορφής

 

.gr/media/media/square/index.php
.gr/media/media/square/
.gr/media/media/square/5f37aebd3a5bc34c762236d30ad3423e?cmd=_identifier_Demarrer_ID=3383471639827+_TIme:Sat,Jan,14,2017-2:53pm
.gr/media/media/square/5f37aebd3a5bc34c762236d30ad3423e/?cmd=_identifier_Demarrer_ID=3383471639827+_TIme:Sat,Jan,14,2017-2:53pm

 

Βρήκα τον φάκελο μέσω ftp , δεν μπορώ να τον σβήσω , έχει κάτι δικαιώματα 00 , ειναι όλα τσεκαρισμένα και δεν ξέρω τι να κάνω. Φοβάμαι να αλλάξω τα δικαιώματα σε 644 πχ μην κάνει καμιά ζημιά


Τελικά μίλησα με την εταιρεία hosting και έσβησαν τον φάκελο. 

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες

Προτεινόμενες αναρτήσεις

  • 0

Δικαιωματα 00 ειναι ο root χρηστης. Αν εισαι σε shared μονο ο provider μπορει να τα σβησει. Αν εχεις root με ενα rm - R 'φακελος' θα σβησει το φακελο και τους υποφακελους. Καποιοι providers δινουν σε shared μερικη προσβαση σε root, δες στο cpanel σου αν μπορεις.

 

Edit τωρα ειδα οτι μιλησες μαζι τους.

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Μανώλη σε ποιο extension υπήρχε θέμα ;

Βλέπω πως έχεις Opencart και έχω αρκετούς γνωστούς με Opencart.

Να έχουμε το νου μας.

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Καλησπέρα

 

Δεν μπήκαν στο opencart αλλά στο site της εταιρείας στο οποίο έχουμε joomla

 

Αυτοί είχαν χτυπήσει μέσω ενός component (acymailing) το οποίο το έσβησα

Τον φάκελο που είχε δικαιώματα 00 μου τον έσβησαν από την εταιρεία

 

Εδώ και λίγη ώρα ξανάρχισαν τα ίδια . Κλειδώσαμε πάλι το site και ψάχνουμε να δούμε τι γίνεται.

Πιθανόν να βρήκαν κάτι άλλο

 

Εγώ θα κάνω τα απαραίτητα updates τώρα και θα δούμε

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

θες να μας πεις το url tou site joomla?

 

EDIT: 

λογικά θα είναι αυτό http://www.foteinon.gr και βλέπω πως είναι joomla 2.5 οπότε πρέπει να κανείς αναβάθμιση σε 3.Χ 

λογικό είναι, γιατί έχει πολλά κενά το 2.5 

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Παίρνω backup τώρα βάσεις και αρχεία και ξεκινάω update. Ευχαριστώ

 

Υπάρχουν τίποτα σελίδες που τσεκάρουν εξ'ολοκλήρου μια σελίδα για τυχόν περίεργα πράγματα ? Θέλω να δω τι χτύπησαν πάλι και για να έχω κάποιο οδηγό για το μέλλον

 

Το πρόβλημα είναι ότι είχαμε αφήσει το Joomla λόγω του eshop. Ήδη στήνεται εκ νέου το site σε drupal εδώ και κάποιες μέρες αλλά αν είναι να σου κάτσει η στραβή θα σου κάτσει

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Ευχαριστώ. Γενικά ψάχνω να δω url's μέσα στο site τα οποία τα βγάζει προβληματικά.

Κατά την διάρκεια του backup μου έβγαλε το kaspersky τα παρακάτω αρχεία . Τα πέταξε κατευθείαν καραντίνα

 

components\com_mailto\views\sent\tmpl\wt.php


Πήγανε στο root και έχουν βάλει αρχεία Php με δικαιώματα 00 τα οποία δεν μπόρεσα να τα κατεβάσω με ftp.

Τα έστειλα τώρα στην εταιρεία να τα σβήσουν

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Για κάποιες ώρες σταματάνε, μετά ξαναρχίζουν πάλι

Έχω αλλάξει παντού κωδικούς. 

Έχουμε cpanel και χρησιμοποιούν τον κύριο λογαριασμό στον οποίο έχω αλλάξει και εκεί κωδικό για να στέλνουν mail.

Από χτες το βράδυ στις 4 εχουν γυρίσει με mail delivery failed γύρω στα 5200 mails.

 

Μας είπαν από την εταιρεία Hosting να προχωρήσουμε σε νέα εγκατάσταση και να φτιάξουμε εκ νέου το site.

Επίσης άρχισαν να έχουν πρόσβαση και να βάζουν users στο joomla admin .Χτες βρήκα ενα νέο λογαριασμό enabled. Σήμερα αλλους 2 disabled.

 

Αυτό που με προβληματίζει επιπλέον είναι οτι και χτες και πριν λίγο είδα οτι στέλνουν και spam από το mail του προηγουμενου διαχειριστη του site Ο οποίος έχει gmail. Αυτομάτως δημιουργείται ένας user στο joomla. 

Το mail πχ σημερα δεν πήγε και ο νεος user ειναι disabled. Χτες που είχε πάει το mail ήταν enabled

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Ήταν ενεργοποιημένη. Την απενεργοποίησα

Το θέμα είναι δεν ξέρω αν έχουν χτυπήσει το public_html η κάτι άλλο. Αν δηλαδή σβήσω τελείως site και βάσεις και φτιάξω κάτι από την αρχή θα διορθωθεί?

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Αυτα που γράφεις θα σου πρότεινα να κάνεις κάτι καινούργιο απο την αρχή . Αν δε μπορείς τότε δε θα είσαι σίγουρος πότε. Μπορεί να εχουν backdoors σχεδόν στα πάντα. 

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

και πάλι μπορεί κάποιος να κάνει εγγραφή!

το joomla είναι ένα τρύπιο σουρωτήρι!

αλλά, υπάρχει τρόπος να το σταματήσεις αυτό!

 

εσένα λογικά μπαίνουν έτσι domain.gr/index.php/component/users/?view=registration

αλλά , δεν θα μπορώ σε λεπτομέρειες...
εσύ το μόνο που έχεις να κανείς είναι να κανείς ανακατεύθυνση στο domain.gr
 
edit .htaccess
Redirect 301 /index.php?option=com_users&view=registration http://www.domain.gr/ 
Redirect 301 /index.php/component/users/?view=registration http://www.domain.gr/

http://www.domain.gr/ άλλαξετο με το δικό σου domain

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες
  • 0

Το site ειχε φτιαχτει το 2012 και μέχρι το 2016 που ήρθα εγω το βρήκα στην έκδοση 2.5.8

Το θέμα είναι ότι χτύπησαν τον κύριο λογαριασμό του cpanel και όλα τα spam έφευγαν από τον λογαριασμό [email protected]

Αυτό τώρα (επειδή δεν ξέρω) . Χτύπησαν μέσω joomla το account αυτό και απέκτησαν πρόσβαση στα mails? Γιατι από τα στησίματα που έχω κάνει σε Joomla δεν μπαίνουν μέσα στο cms Πουθενά τα mail accounts και τα φτιάχνεις πάντα ξεχωριστά.

 

Δεν έχω καταλάβει τι μπορεί να χτύπησαν

Βρέθηκαν αρχεία μέσα στο joomla Πάντως. Να χτύπησαν την βάση η οποία είχε έναν απλό κωδικό με γράμματα και αριθμούς?

Κοινοποιήστε αυτήν την ανάρτηση


Σύνδεσμος στην ανάρτηση
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε έναν λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι εύκολο!

Εγγραφείτε για έναν νέο λογαριασμό

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
×
×
  • Δημιουργία νέου...

Χρήσιμες πληροφορίες

Με την περιήγησή σας στο insomnia.gr, αποδέχεστε τη χρήση cookies που ενισχύουν σημαντικά την εμπειρία χρήσης.