Επιθέσεις από Κοσοβάρους στην πρώτη σελίδα

[webgift]

Αρκεί και 1 Joomla στο server να σου κάνει την ζημιά!Μπαίνουν εγκαθιστούν το script και αρχίζει το πάρτι με 2-3 εντολές.
Σημαντικό αυτό :
Εναλλακτικό σενάριο.
Επειδή στο 90% των περιπτώσεων τις επιθέσεις τις τρώνε 3-4 αρχεία μπορείτε να κάνετε μη-εγγράψιμα (permissions 444) μόνο αυτά:
index.php
index2.php
configuration.php
templates/to_template_mou/index.php

και

Μου χάκεψαν το site, τι κάνω;
Αν έχουν χακέψει το site σας έστω και στο ελάχιστο μην προσπαθήσετε να συνδεθείτε στην διαχείριση. Μην το βλέπετε καν από το browser εκτός αν απενεργοποιήσετε πρώτα την javascript (firefox -> επιλογές -> περιεχόμενο -> ενεργοποίηση javascript on/off). Και αυτό γιατί μπορεί να υπάρχει κακόβουλος κώδικας που να σας υποκλέψει κωδικούς ή κάτι άλλο. Συνδεθείτε στο ftp και επεξεργαστείτε το configuration.php βάζοντας το $mosConfig_offline σε 1 ώστε να βγει το site offline.

Δείτε τα logs
Δείτε τα logs (access και error) του apache για να εντοπίσετε τι έγινε.

Κάντε έλεγχο για το ποια αρχεία αλλοιώθηκαν.
Για να το κάνετε εκτός elxis συνδεθείτε σε ένα shell και δείτε ποια αρχεία τροποποιήθηκαν την τελευταία ημέρα:
cd /path/to/elxis/root/folder/
find . -type f -mtime -1

Σημείωση: μερικά script πειράζουν την ημερομηνία τροποποίησης ώστε να μην φαίνεται ότι αλλοιώθηκαν, εκεί θέλετε διαφορετικό τρόπο εύρεσης των αλλοιώσεων (κατά περίπτωση). Για παράδειγμα αν γνωρίζετε το trojan μπορείτε να ψάξετε με το όνομά του ή με το μέγεθός του. Πχ αν το κακόβουλο script έχει μέγεθος 150kb μπορείτε εύκολα να το εντοπίσετε ελέγχοντας όλα τα αρχεία που είναι μεγαλύτερα από 140kb με αυτό:
find . -type f -size +140k

Έλεγχος βάσης
Συνδεόμαστε στο phpmyadmin και κάνουμε έλεγχο στον πίνακα users αν έχει γραφτεί κάποιος χρήστης ως διαχειριστής ή κάτι άλλο. Εναλλακτικά μπροούμε να επαναφέρουμε ένα backup της βάσης. Αν θέλουμε αλλάζουμε και κωδικό πρόσβασης για τον χρήστη admin (γράφουμε τον κωδικό και επιλέγουμε κρυπτογράφιση md5).

Αφού επαναφέρετε τα σωστά αρχεία και ελέγξετε τη βάση βάλτε το site online, βάλτε τον firefox σε "ιδιωτική περιήγηση", απενεργοποιήστε την javascript και δείτε τον html κώδικα που παράγει το site σας και ψάξτε για περίεργα javascript, εικόνες και frames. Αν όλα είναι οκ ενεργοποιήστε την javascript, συνδεθείτε στη διαχείριση και κάντε έλεγχο συστήματος αρχείων με το εργαλείο updiag.

[nikos65]

....
ένα μόνο elxis δεν μου έπιασαν, αυτό που είχα μετονομάσει το index.php στον φάκελο administrator. Μεγάλη υπόθεση αυτή η ιδέα του Elxis. Μπράβο παιδιά
Αχ μακάρι να μπορούσε να μπει και στο 2006  :'(

Άρα να συμπεράνω ότι σου χτυπήσανε έκδόσεις 2006.x διότι η απόκρυψη του admin καθιερώθηκε από το 2008.0 και μετά.

Νίκο εσένα τι εκδόσεις σου χτυπήσανε;

Και την τελευταία αλλά δεν μπήκανε από την διαχείριση του elxis !!

Θα ήθελα και εγώ το range των ip της Αλβανίας !!

[webgift]

Last IP ranges database updated ==> July 02, 2011
71 αποτελέσματα για την χώρα με κωδικό:  AL
deny from 31.22.48.0 - 31.22.63.255
deny from 31.44.64.0 - 31.44.79.255
deny from 31.171.152.0 - 31.171.159.255
deny from 31.201.4.0 - 31.201.4.255
deny from 31.201.75.0 - 31.201.75.255
deny from 31.201.142.0 - 31.201.142.255
deny from 31.201.211.0 - 31.201.211.255
deny from 31.222.40.0 - 31.222.47.255
deny from 46.19.224.0 - 46.19.224.191
deny from 46.19.225.0 - 46.19.227.255
deny from 46.19.230.128 - 46.19.231.255
deny from 46.36.198.116 - 46.36.198.120
deny from 46.99.0.0 - 46.99.255.255
deny from 46.136.8.0 - 46.136.8.255
deny from 46.136.86.0 - 46.136.86.255
deny from 46.136.150.0 - 46.136.150.255
deny from 46.183.120.0 - 46.183.127.255
deny from 46.252.32.0 - 46.252.47.255
deny from 46.255.144.0 - 46.255.151.255
deny from 62.75.65.0 - 62.75.66.255
deny from 77.242.16.0 - 77.242.31.255
deny from 79.98.112.0 - 79.98.119.255
deny from 79.106.0.0 - 79.106.255.255
deny from 79.171.48.0 - 79.171.55.255
deny from 80.78.64.0 - 80.78.79.255
deny from 80.80.160.0 - 80.80.165.179
deny from 80.80.165.184 - 80.80.165.191
deny from 80.80.165.208 - 80.80.175.255
deny from 80.90.80.0 - 80.90.95.255
deny from 80.91.112.0 - 80.91.127.255
deny from 81.26.200.0 - 81.26.207.255
deny from 82.114.64.0 - 82.114.67.255
deny from 82.114.76.176 - 82.114.76.183
deny from 82.114.81.144 - 82.114.81.151
deny from 82.114.89.160 - 82.114.89.171
deny from 82.114.89.208 - 82.114.89.208
deny from 82.114.89.220 - 82.114.89.227
deny from 82.114.90.236 - 82.114.90.239
deny from 82.114.91.160 - 82.114.92.255
deny from 82.114.93.128 - 82.114.93.191
deny from 84.20.64.0 - 84.20.95.255
deny from 88.202.104.192 - 88.202.104.207
deny from 88.202.108.192 - 88.202.108.207
deny from 88.210.152.128 - 88.210.152.255
deny from 91.187.96.0 - 91.187.127.255
deny from 91.188.11.168 - 91.188.11.175
deny from 91.210.136.0 - 91.210.139.255
deny from 92.60.16.0 - 92.60.31.255
deny from 93.90.64.0 - 93.90.79.255
deny from 93.159.192.0 - 93.159.199.255
deny from 94.125.112.0 - 94.125.119.255
deny from 95.107.128.0 - 95.107.255.255
deny from 109.69.0.0 - 109.69.7.255
deny from 109.69.160.0 - 109.69.167.255
deny from 109.75.18.16 - 109.75.18.23
deny from 109.104.128.0 - 109.104.159.255
deny from 109.234.232.0 - 109.234.239.255
deny from 109.236.32.0 - 109.236.47.255
deny from 141.8.200.0 - 141.8.207.255
deny from 173.0.53.83 - 173.0.53.85
deny from 193.254.1.0 - 193.254.3.255
deny from 194.1.149.0 - 194.1.149.255
deny from 207.241.168.0 - 207.241.168.255
deny from 207.241.174.0 - 207.241.174.255
deny from 213.149.101.0 - 213.149.101.255
deny from 213.149.113.240 - 213.149.113.255
deny from 213.207.32.0 - 213.207.63.255
deny from 213.209.187.64 - 213.209.187.127
deny from 217.21.144.0 - 217.21.159.255
deny from 217.24.240.0 - 217.24.255.255
deny from 217.73.128.0 - 217.73.143.255

[rentasite]

Πολύ σωστά! 71 εμφανίζονται και το διασταύρωσα.

[CREATIVE Options]

Arxo έχεις εσύ τα logs ;
Arxo έχεις κρατήσει το script ; ή μήπως το διάβασες ; τι έκανε ;

Γιατί από αυτά που γράφεται δύνεται την εντύπωση ότι μπήκαν λόγο κενού ασφαλείας του Elxis, αλλά είμαι 99% σίγουρος ότι δεν είναι έτσι.

Ακόμα ότι είσαστε στον ίδιο server 99% σημαίνει ότι κάποια τρύπα έχει ο server και από εκεί μπήκανε.

[CREATIVE Options]

Επίσης εδώ θα βρείτε ενημερωμένες τις ip range από τις χώρες:

# China (CN)
# Hong Kong (HK)
# India (IN), Bangladesh (BD) and Pakistan (PK)
# Indonesia (ID)
# Japan (JP) (hacking, scraping, or spamming)
# Korea (KR)
# Yahoo-Korea

Neighboring Asian countries:
# Malaysia (MY)
# Philippines (PH)
# Singapore (SG)
# Taiwan (TW)
# Thailand (TH)
# Vietnam (VN)

http://www.wizcrafts.net/chinese-blocklist.html

[rentasite]

Εδώ θα βρείτε τις ενημερωμένες IP Range, ΟΛΩΝ των χωρών!

www.ipdeny.com/ipblocks

_{Zone files last updated: Wed Aug 10 15:07:29 EDT 2011}

[ArXoS]

είχα συγκεκριμένα 5 elxis
ένα με 2006
τέσσερα με 2009.2
Σε όλα τροποποίησαν την τελευταία δημοσίευση, και την έβαλαν να εμφανίζεται στην πρώτη σελίδα, άλλαξαν το επίπεδο χρήστη του διαχειριστή σε απλό χρήστη και έκαναν νέα εγγραφή χρήστη με το όνομα admin σαν υπερδιαχειριστή (έχω το συνήθειο σε όλα μου τα elxis να μην έχω υπερδιαχειριστή admin αλλά το nick μου)
Μόνο σε ένα που έχω υπο κατασκευή δεν μπήκαν (2009.2, e-shop), που το έχω κάνει rename το index του administration και είναι σε subdomain (δεν ξέρω αν την γλίτωσε το οτι ήταν σε sub ή το rename)
Δεν είπα οτι μπήκαν από τρύπα του elxis, νομίζω οτι από το πρώτο μου μήνυμα γράφω οτι μπήκαν από τον server, για να μην παρεξηγούμαστε.
Το script το σήκωσαν από ένα domain του ίδιου server, που δεν πρόλαβα να το σώσω, γιατί μόλις ενημέρωσα τον server αμέσως το απενεργοποίησαν το account
Σίγουρα πρόκειται για τρύπα κάπου CMS γείτονα και ΟΧΙ του elxis, και αναγκαστικά πήρε μπάλα και εμάς. Ευθύνεται 1000% ο φιλοξενιτής, πρώτα απ.όλα γιατί εγώ βρίσκομαι σε ανεξάρτητο μηχάνημα με 5 μόνο ιδιοκτήτες (έτσι μου έχουν πει τουλάχιστον), ενώ στο domain list του χάκερ (ήταν δίπλα στο script)  αναφέρονται να χτύπησαν πάνω από 200 domains (εκτός και αν οι άλλοι 5 συγκάτοικοι έχουν στήσει από 50 domains ο καθένας  )

Δεν βρήκα αρχεία τροποποιημένα ούτε ξένα trojans/scripts. Άλλαξα κωδικούς και ελπίζω να μην μας ξανατύχει

[rentasite]

είχα συγκεκριμένα 5 elxis
ένα με 2006
τέσσερα με 2009.2
Σε όλα τροποποίησαν την τελευταία δημοσίευση, και την έβαλαν να εμφανίζεται στην πρώτη σελίδα, άλλαξαν το επίπεδο χρήστη του διαχειριστή σε απλό χρήστη και έκαναν νέα εγγραφή χρήστη με το όνομα admin σαν υπερδιαχειριστή (έχω το συνήθειο σε όλα μου τα elxis να μην έχω υπερδιαχειριστή admin αλλά το nick μου)

Εάν θυμάμαι καλά, έχει γραφτεί πολύ παλιά, usernames τύπου admin κλπ... να υπάρχουν αλλά απενεργοποιούντε (ως μέτρο ασφαλείας). Καλύτερα να δημιουργούμε άλλα usernames με δικαιώματα Administrator. Στην προκειμένη όμως περίπτωση, τίποτα δεν σε σώζει.

Το script το σήκωσαν από ένα domain του ίδιου server, που δεν πρόλαβα να το σώσω, γιατί μόλις ενημέρωσα τον server αμέσως το απενεργοποίησαν το account

Ίσως αυτή να είναι η πιο χρήσιμη πληροφορία. Να ξέραμε... τι στο %@!$#@$ εφαρμογή έτρεχε σε αυτό το domain!

εγώ βρίσκομαι σε ανεξάρτητο μηχάνημα με 5 μόνο ιδιοκτήτες (έτσι μου έχουν πει τουλάχιστον), ενώ στο domain list του χάκερ (ήταν δίπλα στο script)  αναφέρονται να χτύπησαν πάνω από 200 domains (εκτός και αν οι άλλοι 5 συγκάτοικοι έχουν στήσει από 50 domains ο καθένας  )

Αυτό δεν λέει απολύτως τίποτα. Είσαι σε shared hosting? Έχεις δικό σου VPS; Το ότι ήταν "μόνο" 5 ιδιοκτήτες είναι σχετικό. Όπως ορθά λες... εάν είχαν από 50 ο καθένας = 250. Να τα τα 200 domains που χτυπήσανε.

Τελικά με τον nikos65 είσαστε στην ίδια εταιρία; Ή ήταν σύμπτωση;

[ArXoS]

Τελικά με τον nikos65 είσαστε στην ίδια εταιρία; Ή ήταν σύμπτωση;

στην ίδια 

[webgift]

Παίδες το ενδεχόμενο να έχουν χρησιμοποιήσει proxy server και να είναι π.χ. Έλληνες το έχετε σκεφτεί;  Μην κλειδώνετε ολόκληρη χώρα έτσι επειδή φαίνεται η IP από AL.

[ArXoS]

η ΙΡ είναι proxy Αλβανίας
 

[rentasite]

Μην ψάχνετε από που προήλθαν οι επιθέσεις. Μπορεί να "έρθουν" και από τη Γουατεμάλα! Δεν λέει κάτι αυτό. 

Ψάξτε το ΓΙΑΤΙ... και σ αυτό δεν έχουμε ακόμα απάντηση!

[nikos65]

Θέλω να ρωτήσω εάν η προσθήκη νέου χρήστη με διαφορετικό όνομα από admin θα βοηθήσει και εάν μπορούμε να επιλέξουμε τον αριθμό του id που θα του δώσουμε.


Δοκίμασα να αλλάξω την id του admin από 62 σε άλλο αριθμό μέσα από phpadmin αλλά μετά δεν με άφηνε το elxis να συνδεθώ !

[webgift]

Πρέπει να συμπληρώσεις και στον πίνακα elx_core_acl στο πεδίο value το ίδιο id που άλλαξες στον πίνακα elx_users. Θα αποσυνδεθείς και θα συνδεθείς με επιτυχία αυτή την φορά.
Προσοχή μόνο ποιο value θα αλλάξεις ε ;