Zavirovaná joomla - kudy z toho ven?

[Stene]

Ahoj. Nikdy jsem s Joomlou nedělal, ale doufám, že mi tu někdo poradí.
Jedná se o odkaz atletikajihlava.cz

Zde je rekace na zablokovaný web od wedosu
Web byl odstaven z důvodu napadení. Posílám Vám e-mail od technika:

Dobrý den,

na základě našeho zjištění došlo k napadení vašeho webu. Pravděpodobně se útočník na váš web dostal přes bezpečnostní chybu ve vámi používaném redakčním systému, případně také mohl získat heslo k FTP účtu.

Došlo minimálně k následujícímu zneužití, které jsme zjistili:
- masivní spamování
- umístění škodlivých skriptů pro útoky na další cíle


Je pravděpodobné, že na vašem webu se nachází více takových škodlivých stránek a skriptů, které je potřeba smazat. Útočník také může skrze bezpečnostní díru soubory snadno nahrát znovu (jejich pouhé smazání tedy nemusí stačit).

Důrazně doporučujeme následující:

1) Zkontrolujte si váš počítač antivirovým programem. Je možné, že jej máte zavirovaný a touto cestou mohl útočník zjistit vaše přístupové údaje k webu.

2) Změňte si všechna hesla k webům, databázím, FTP účtům, doménám, e-mailům apod.

3) Zkontrolujte si obsah vašeho webu. Nejlépe uděláte, když obsah celého webu smažete a nahrajete jej znovu. Může se totiž stát, že na vašem webu je umístěn další skrytý škodlivý kód, o kterém nevíme.

4) Ujistěte se, že máte aktuální verzi vámi používaného redakčního systému a že máte poslední bezpečnostní záplaty. Povypínejte nevyužívané pluginy nebo neoficiální pluginy, které jsou neznámého původu.

Rady pro zabezpečení systémů WordPress:
http://codex.wordpress.org/Hardening_WordPress

Rady pro zabezpečení systémů Joomla:
http://docs.joomla.org/Security_Checklist/Joomla!_Setup

Vzhledem k rozsahu a nebezpečnosti napadení jsme byli nuceni web odstavit.



Řešil jste někdo tento problém? Co mám nejdřív vyzkoušet? Posuňte mě, prosím, správným směrem.

[lamin_cz]

1. zkontrolovat si PC ...
2. udělat si zálohu webu a tu také projet antivirem (i ony dokáží najít známé back doory v PHP souborech)
3. smazat obsah webu a udělat čistou instalaci staženou z oficiálního webu (a zkusit se vyhnout doplňkům a vzhledům z neoficiálních a nedůvěryhodných webů)

[Stene]

Avast pár souborů označil jako BackDoor[trj]
Jak v tch souborech poznám, co tam nepatří? Popřípadě jestli tam ten soubor vůbec patří

Například je tam spousta složek s názvem mod_araticles(něco dalšího) a jedna je tady mod_araticlws - ta mi tady moc nesedí..

[LuCaCZ]

Porovnej to s čistou Joomlou, kterou si stáhneš na homepage http://www.joomla.org/download.html

[Stene]

Stejným antivirem jsem projel nyní staženou joomlu (z tvého odkazu) a nehlásí to žádný poplach.

Dá se někde z joomly stáhnout starší verze k porovnání?

[LuCaCZ]

https://github.com/joomla/joomla-cms/releases

[Stene]

Nakonec je mi to stejně k ničemu, viry jsou nalezeny v pluginech a ty v tom souboru nestáhnu

[LuCaCZ]

tak je nepoužívej nebo najdi alternativu.... popřípadě by šlo projít ten závadný soubor a najít škodlivý kód - většinou bývá na konci souboru nebo zašifrovaný base64_encode() funkcí a jí podobné fce..