Re: Joomla - valaki fájlokat próbál futtatni
Egy olyan kérésem lenne, hogy aki 3.2.7-es joomlat használ, csinálna nekem egy fotót a www mappájáról? Csak az érdekelne, hogy vannak-e felesleges fájljaim. Egyet rakok fel én is tisztán, de az nem biztos, hogy jó. 2015. február 25. 9:22 Veres Sándor írta, ver...@kossuthzs-szeged.sulinet.hu: Szia! 2015.02.25. 7:55 keltezéssel, Zsolt Farkas írta: Feltörték a Joomla alapú Sulinet szerverén lévő weblapunkat. Elhelyeztek egy fájlt, majd futtatták,aminek következtében több 1000 spam ment ki. A fájlt letöröltük, jelszó változtatás volt, Joomla frissítés szintén, de a próbálkozások megmaradtak. Hogyan lehetne megszüntetni? Az access log tele van hasonló bejegyzésekkel, az IP változik (orosz, francia, német, holland IP) A hivatkozott .admin.php már nincs a megadott helyen. Az oldal szeptember óta készülget, és gyakorlatilag már a legelejétől fogva ott vannak ezek a sorok (jóformán tartalom sem volt az oldalon) a logban, így biztonsági mentés sincs, amit visszaállíthatnék. Amint te is írod, ezek próbálkozások, 404-es Not Found hibaüzenetek. A hibaüzeneteket a webszerver generálja, ezeket úgy tudnád megszüntetni, ha csomagszinten tiltanád az érintett IP címek felől a csatlakozást a 80-as portra, pl iptables-el, vagy a webszerverben valamilyen geoip modul használatával tiltanád az adott országokból érkező kéréseket. De mivel a webszervert a NIIF üzemelteti, ez nagy valószínűséggel nem megoldható. A legfontosabb, hogy mindig a lehető leghamarabb telepítsd a biztonsági frissítéseket a Joomlához, és ne használj kétes eredetű modulokat. De szerintem, mivel folyamatosan próbálkoznak (és célzottan mivel tudják, hogy Joomla oldal), ezért ha kiderül egy biztonsági hiba a Joomla-ban, akkor nagy valószínűséggel hamarabb fogják feltörni, mint ahogy a frissítést telepíted. Továbbá ha egy fájlt el tudtak helyezni a szerveren, akkor nincs garancia arra, hogy nem módosították az adatbázist. Inkább úgy fogalmazok, hogy akkor nagy valószínűséggel módosították az adatbázist is. Tehát az .admin.php törlésével nem biztos, hogy teljesen tiszta a Joomla oldal. Erre megoldás lehetne egy korábbi mentésből visszaállított adatbázis, majd a Joomla frissítése, de a mentés visszatöltésével nem gátolnád meg a robotokat abban hogy próbálkozzanak. Sajnos a Joomla oldalakat elég gyakran törik, ezért én inkább a drupalt preferálom és ajánlom. Veres Sándor --- A levél vírus, és rosszindulatú kód mentes, mert az avast! Antivirus védelme ellenőrizte azt. http://www.avast.com ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Joomla - valaki fájlokat próbál futtatni
2015.02.25. 11:28 keltezéssel, Zsolt Farkas írta: Egy olyan kérésem lenne, hogy aki 3.2.7-es joomlat használ, Csak jelzem, hogy jelenleg a 3.4 verzió a legfrissebb... (ez mai kiadás, előtte a 3.3.6 volt aktuális) -- Dicső Géza Budenz admin ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Joomla - valaki fájlokat próbál futtatni
Sulineten van az oldal és gyenge hozzá a PHP. Ez a max, ami elmegy Kaptam egy ilyen levelet, erről vélemény? Az alábbi helyeken megtalálható állományokat felhasználva próbálták illetéktelenek a rendszerünket ismételten leterhelni: - neumann-szhely.sulinet.hu/protected/www/components/com_search/models/gallery .php - neumann-szhely.sulinet.hu/protected/www/plugins/editors-xtd/title.php Kérem, hogy vizsgálják meg a hivatkozott fájlokat, hogy azok a weboldal részét képezik-e, szükségesek-e az oldal működéséhez! 2015. február 25. 11:33 Dicso Geza írta, d...@budenz.sulinet.hu: 2015.02.25. 11:28 keltezéssel, Zsolt Farkas írta: Egy olyan kérésem lenne, hogy aki 3.2.7-es joomlat használ, Csak jelzem, hogy jelenleg a 3.4 verzió a legfrissebb... (ez mai kiadás, előtte a 3.3.6 volt aktuális) -- Dicső Géza Budenz admin ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Joomla - valaki fájlokat próbál futtatni
Akkor váltani kellene Joomla-ról valami egyszerűbb CMS-re. Az oldal címe jól elterjedt a rossz fiúk között, most jó hosszú ideig lehet bot támadásokra számítani, melyek ilyen-olyan sebezhetőség kihasználására lettek felkészítve. Ha nem követed majd ~napi szinten a frissítéseket, akkor záros határidőn belül visszaestek. Nem játék a dolog. Alapvetően, ha az ember nem volt még fertőzött, akkor is rengeteg próbálkozás érkezik mindenhonnan. Mondjuk orosz és kínai ip-k kitiltásával a helyzet drasztikusan javul. :) 2015-02-25 11:34 GMT+01:00 Zsolt Farkas fazs...@gmail.com: Sulineten van az oldal és gyenge hozzá a PHP. Ez a max, ami elmegy Kaptam egy ilyen levelet, erről vélemény? Az alábbi helyeken megtalálható állományokat felhasználva próbálták illetéktelenek a rendszerünket ismételten leterhelni: - neumann-szhely.sulinet.hu/protected/www/components/com_search/models/gallery .php - neumann-szhely.sulinet.hu/protected/www/plugins/editors-xtd/title.php Kérem, hogy vizsgálják meg a hivatkozott fájlokat, hogy azok a weboldal részét képezik-e, szükségesek-e az oldal működéséhez! 2015. február 25. 11:33 Dicso Geza írta, d...@budenz.sulinet.hu: 2015.02.25. 11:28 keltezéssel, Zsolt Farkas írta: Egy olyan kérésem lenne, hogy aki 3.2.7-es joomlat használ, Csak jelzem, hogy jelenleg a 3.4 verzió a legfrissebb... (ez mai kiadás, előtte a 3.3.6 volt aktuális) -- Dicső Géza Budenz admin ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ -- Üdvözlettel, Takács László lac...@gmail.com ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
dns probléma sürgős
Sziasztok! Én vagyok Zsolt helyett, új állása lett. Sürgős probléma megoldás kellene: dhcp linux szerver, win2003 dns szerver. Két címzés van a gépek egy része 192.168.64.x címeket másik része 10.0.0.x címeket kap a dhcptől. A 192eseknél működik a névfeloldás, a 10-esknél nem, illetve a win2003szerver domaint meg lehet pingelni 192-es és 10-es cimet kapó gépekről is, a linux szerver domaint nem lehet egyikről sem. A Szerverek ip cimei, kliensgépek ip címei pingelhetők mindkettő cimzésrő oda vissza. A weboldalakat időnként elkapja egy pillanatra és bejön a weboldal vagy olyan is van hogy féllig jön be, hiányosan. Ubuntu szerver verziója: 2 3.2.0-4-686-pae #1 SMP Debian 3.2.63-2 i686 GNU/Linux. Várom a javaslatokat, előre is köszönöm. Józsa Bence admin Horváth Mihály Gimnázium --- Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta. http://www.avast.com ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Joomla - valaki fájlokat próbál futtatni
Szia! 2015.02.25. 7:55 keltezéssel, Zsolt Farkas írta: Feltörték a Joomla alapú Sulinet szerverén lévő weblapunkat. Elhelyeztek egy fájlt, majd futtatták,aminek következtében több 1000 spam ment ki. A fájlt letöröltük, jelszó változtatás volt, Joomla frissítés szintén, de a próbálkozások megmaradtak. Hogyan lehetne megszüntetni? Az access log tele van hasonló bejegyzésekkel, az IP változik (orosz, francia, német, holland IP) A hivatkozott .admin.php már nincs a megadott helyen. Az oldal szeptember óta készülget, és gyakorlatilag már a legelejétől fogva ott vannak ezek a sorok (jóformán tartalom sem volt az oldalon) a logban, így biztonsági mentés sincs, amit visszaállíthatnék. Amint te is írod, ezek próbálkozások, 404-es Not Found hibaüzenetek. A hibaüzeneteket a webszerver generálja, ezeket úgy tudnád megszüntetni, ha csomagszinten tiltanád az érintett IP címek felől a csatlakozást a 80-as portra, pl iptables-el, vagy a webszerverben valamilyen geoip modul használatával tiltanád az adott országokból érkező kéréseket. De mivel a webszervert a NIIF üzemelteti, ez nagy valószínűséggel nem megoldható. A legfontosabb, hogy mindig a lehető leghamarabb telepítsd a biztonsági frissítéseket a Joomlához, és ne használj kétes eredetű modulokat. De szerintem, mivel folyamatosan próbálkoznak (és célzottan mivel tudják, hogy Joomla oldal), ezért ha kiderül egy biztonsági hiba a Joomla-ban, akkor nagy valószínűséggel hamarabb fogják feltörni, mint ahogy a frissítést telepíted. Továbbá ha egy fájlt el tudtak helyezni a szerveren, akkor nincs garancia arra, hogy nem módosították az adatbázist. Inkább úgy fogalmazok, hogy akkor nagy valószínűséggel módosították az adatbázist is. Tehát az .admin.php törlésével nem biztos, hogy teljesen tiszta a Joomla oldal. Erre megoldás lehetne egy korábbi mentésből visszaállított adatbázis, majd a Joomla frissítése, de a mentés visszatöltésével nem gátolnád meg a robotokat abban hogy próbálkozzanak. Sajnos a Joomla oldalakat elég gyakran törik, ezért én inkább a drupalt preferálom és ajánlom. Veres Sándor --- A levél vírus, és rosszindulatú kód mentes, mert az avast! Antivirus védelme ellenőrizte azt. http://www.avast.com ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Joomla - valaki fájlokat próbál futtatni
Próbálj meg phpmyadminba rákeresni a .admin.php -ra. cron-t nézted nem-e raktak be valami scriptet? 2015. február 25. 9:22 Veres Sándor írta, ver...@kossuthzs-szeged.sulinet.hu: Szia! 2015.02.25. 7:55 keltezéssel, Zsolt Farkas írta: Feltörték a Joomla alapú Sulinet szerverén lévő weblapunkat. Elhelyeztek egy fájlt, majd futtatták,aminek következtében több 1000 spam ment ki. A fájlt letöröltük, jelszó változtatás volt, Joomla frissítés szintén, de a próbálkozások megmaradtak. Hogyan lehetne megszüntetni? Az access log tele van hasonló bejegyzésekkel, az IP változik (orosz, francia, német, holland IP) A hivatkozott .admin.php már nincs a megadott helyen. Az oldal szeptember óta készülget, és gyakorlatilag már a legelejétől fogva ott vannak ezek a sorok (jóformán tartalom sem volt az oldalon) a logban, így biztonsági mentés sincs, amit visszaállíthatnék. Amint te is írod, ezek próbálkozások, 404-es Not Found hibaüzenetek. A hibaüzeneteket a webszerver generálja, ezeket úgy tudnád megszüntetni, ha csomagszinten tiltanád az érintett IP címek felől a csatlakozást a 80-as portra, pl iptables-el, vagy a webszerverben valamilyen geoip modul használatával tiltanád az adott országokból érkező kéréseket. De mivel a webszervert a NIIF üzemelteti, ez nagy valószínűséggel nem megoldható. A legfontosabb, hogy mindig a lehető leghamarabb telepítsd a biztonsági frissítéseket a Joomlához, és ne használj kétes eredetű modulokat. De szerintem, mivel folyamatosan próbálkoznak (és célzottan mivel tudják, hogy Joomla oldal), ezért ha kiderül egy biztonsági hiba a Joomla-ban, akkor nagy valószínűséggel hamarabb fogják feltörni, mint ahogy a frissítést telepíted. Továbbá ha egy fájlt el tudtak helyezni a szerveren, akkor nincs garancia arra, hogy nem módosították az adatbázist. Inkább úgy fogalmazok, hogy akkor nagy valószínűséggel módosították az adatbázist is. Tehát az .admin.php törlésével nem biztos, hogy teljesen tiszta a Joomla oldal. Erre megoldás lehetne egy korábbi mentésből visszaállított adatbázis, majd a Joomla frissítése, de a mentés visszatöltésével nem gátolnád meg a robotokat abban hogy próbálkozzanak. Sajnos a Joomla oldalakat elég gyakran törik, ezért én inkább a drupalt preferálom és ajánlom. Veres Sándor --- A levél vírus, és rosszindulatú kód mentes, mert az avast! Antivirus védelme ellenőrizte azt. http://www.avast.com ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Joomla - valaki fájlokat próbál futtatni
2015.02.25. 11:34 keltezéssel, Zsolt Farkas írta: Az alábbi helyeken megtalálható állományokat felhasználva próbálták illetéktelenek a rendszerünket ismételten leterhelni: - neumann-szhely.sulinet.hu/protected/www/components/com_search/models/gallery .php http://neumann-szhely.sulinet.hu/protected/www/components/com_search/models/gallery.php - neumann-szhely.sulinet.hu/protected/www/plugins/editors-xtd/title.php http://neumann-szhely.sulinet.hu/protected/www/plugins/editors-xtd/title.php Nálam nincs 3.2 verzió, csak 3.3.6, de alaptelepítésben a fenti mappákban nincsenek ilyen nevű fájlok... Azaz valaki odatette őket... -- Dicső Géza Budenz admin ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: dns probléma sürgős
Szia! A linux szerver milyen IP tartományban van? Onnan lehet pingelni a win szervert? A tűzfalban le lehet tiltani, hogy ne válaszoljon a ping kérésekre. Ezt is érdemes megnézned. Esetleg DNS beállító felületről egy képernyőkép? Attila 2015-02-25 10:53 keltezéssel, Horváth Mihály Gimnázium admin írta: Sziasztok! Én vagyok Zsolt helyett, új állása lett. Sürgős probléma megoldás kellene: dhcp linux szerver, win2003 dns szerver. Két címzés van a gépek egy része 192.168.64.x címeket másik része 10.0.0.x címeket kap a dhcptől. A 192eseknél működik a névfeloldás, a 10-esknél nem, illetve a win2003szerver domaint meg lehet pingelni 192-es és 10-es cimet kapó gépekről is, a linux szerver domaint nem lehet egyikről sem. A Szerverek ip cimei, kliensgépek ip címei pingelhetők mindkettő cimzésrő oda vissza. A weboldalakat időnként elkapja egy pillanatra és bejön a weboldal vagy olyan is van hogy féllig jön be, hiányosan. Ubuntu szerver verziója: 2 3.2.0-4-686-pae #1 SMP Debian 3.2.63-2 i686 GNU/Linux. Várom a javaslatokat, előre is köszönöm. Józsa Bence admin Horváth Mihály Gimnázium http://www.avast.com/ Ez a levél vírus, és rosszindulatú-kód mentes, mert az avast! Antivirus http://www.avast.com/ védelem aktív. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ -- Kovács Attila sysadmin Fényi Gyula Jezsuita Gimnázium és Kollégium Miskolc ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/