Usuwanie plików

[Destiny]

Witam, nie wiem, czy piszę w dobrym dziale, nie wiem czy ktokolwiek zdoła mi pomóc ale muszę spróbować, bo nic innego mi nie pozostało.No więc około 2 miesięcy temu podjąłem współpracę z pewną osobą "X", udostępniłem jej dane do FTP mojej strony. Po jakimś czasie tej osobie zaczęło coś nie pasować i postanowiła, że wyczyści mi zawartość FTP, wcześniej zrobiłem na wszelki wypadek kopię forum, kiedy ją wgrywałem, ta osoba wszystko usuwała, w ten sposób z mojej sieci nic nie zostało, nie mogłem zmienić danych do FTP, ponieważ domena znajdująca się na BiznesHoście należała do mojego znajomego , a ten dopiero kilka dni temu mi ją odsprzedał, (wcześniej z przczyn prywatnych nie było takiej możliwości). Gdy tylko dostałem dane, zmieniłem hasło do hostingu, FTP, DirectAdmiin oraz phpMyAdmin, wgrałem forum od nowa nie minęły24 h a forum znów było skasowane. Nie miałem pojęcia jak to jest możliwe, skanowałem pliki w poszukiwaniu wirusa, usunąłem zapamiętane hasła, pozmieniałem bieżące na bardzo trudne do złamania, wgrałem forum po raz kolejny i znów zostało usunięte. Zauważyłem natomiast, ze zawsze , gdy wgrywam do katalogu głownego folder pod nazwą "forum", to tylko jego zawartość zostaje usuwana, tak jakby robiło się to automatycznie, ale wczoraj w owym folderze zostało kilka plików, a ich nazwy zmienione na np : "hahahaha" i nie mam pojęcia, jak to jest możliwe, pisałem już do wielu osób i nikt nie potrafi mi pomóc, pisałem do hostingu to odpisali :

Witam,

Prosze o przeszukanie witryn pod kątem oprogramowania - jest ono usuwane poprzez skrypt php a nie przez ftp, więc ciezko nam cokolwiek znaleść.

Siedzę w tym stosunkowo od niedawna, nie jestem specem, bo uczę się dopiero, proszę Was o pomoc, zapłacę jeśli będzie trzeba.

Pozdrawiam.

Edytowane 13 Listopada 2012 przez Destiny

[Destiny]

Właśnie w tej chwili zawartość folderu "forum" znów została usunięta, a nie ma w FTP żadnego śladu, że folder był edytowany. Co najlepsze pliki zostały usunięte jeszcze w trakcie wgrywania ich przeze mnie. Wątpie, by ktoś siedział 24/h i to robił ale z drugiej strony skąd zmienione nazwy poszczególnych plików?! Poddaje się.

Edytowane 13 Listopada 2012 przez Destiny

[semenedar]

Automatyczna wiadomość

Temat przeniesiony z forum

Invision Power Board → Invision Power Board 3.3 → Ogólny support IPB

do

Ogólne → Admin Extra

[DawPi]

Masz inne pliki na FTP? Może jakieś zadanie CRON dodane na serwerze? Sprawdź.

[semenedar]

Warto by sprawdzić swój komputer, czy nie masz tam jakiegoś backdoora i od tego zacznij. Jeszcze raz od początku: Zmieniłeś wszystkie hasła, tak? Do głównego konta FTP, zmieniłeś hasło do bazy danych (i to samo hasło zmieniłeś również w pliku konfiguracyjnym conf_global.php) tak? Jeżeli zmieniasz hasło do Direct Admin, to tym samym- już zmieniasz hasło do głównego katalogu FTP, ponieważ jest to- to samo hasło. Jak napisał Dawid, czy są jakieś inne pliki na FTP? Co to są za pliki? Jeżeli ich nie potrzebujesz, usuń je, lub sprawdź czy któryś z nich, nie jest skryptem który to powoduje. Sprawdź też w Direct Admin, czy nie jest dodane żadne zadanie w sekcji Zaawansowane-->Terminarz Zadań (Cron Jobs).

Jeżeli jednak ktoś Ci zmienia nazwy plików na "hahahaha" to znaczy że musi posiadać dostęp do plików przez FTP, poprzez Direct Admin lub załadowany skrypt. Musisz więc upewnić się co do pozostałych plików na serwerze.

Sprawdź po ponownym załadowaniu plików, kto ma dopstęp do ACP w samym IP Board w sekcji "Administratorzy". Być może Twój szacowny kolega, zanim został usunięty, stworzył sobie Użytkownika, któremu nadał w grupie podrzędnej prawa Administratora. Na pierwszy rzut oka, taki Użytkownik "wygląda" jak zwykły User, bo grupa podrzędna nie nadaje koloru:

Zmiany grup Użytkownikom, możesz równie dokonać poprzez bazę danych, bez dostępu do ACP w ogóle. I jeśli mogę coś doradzić, rób to wszystko w porze, kiedy lunatycy schodzą z dachów, żeby Twojemu koledze, nie chciało się ślęczeć nad komputerem. Upewnij się że tylko Ty masz dostęp do Direct Admin. Zabezpiecz przez Direct Admin wejście do folderu "forums" czy gdzie tam wgrywasz pliki forum, hasłem (.htaccess) na czas wykonywanych prac. Gdy będziesz pewny że atak nie może już nastąpić, zdejmiesz to zabezpieczenie.

Gdy już masz pewność że tylko Ty masz dostęp do Direct Admin, gdy masz pewność że tylko Ty jesteś Adminem na swoim forum, to teraz zmień hasło do bazy danych i nie zapomnij zmienić go również w pliku conf_global.php

Sprawdź też sekcję zadań w samym IP Board ACP. Gdy już będziesz miał posprzątane, zastosuj się do wszystkich zaleceń z sekcji ACP-->Centrum Bezpieczeństwa w IP Board. Wygeneruj wszędzie pliki zabezpieczające, zmień ścieżkę do folderu "admin" zabezpiecz ją hasłem .htaccess itd.

Pamiętaj też o tym, że dopóki ktoś niepowołany ma fizycznie dostęp do pliku conf_global.php tak długo zmiana hasła do bazy danych nie ma sensu, ponieważ to hasło można w tym pliku bez żadnego kłopotu odczytać. Pamiętaj więc aby upewnić się że wszystko jest należycie zabezpieczone i wszystkie CHMOD plików prawidłowo nadane włącznie z CHMOD pliku conf_global.php co możesz zrobić we wspomnianym centrum bezpieczeństwa.

Upewnij się, czy podawane przez Ciebie hasła nie mogą zostać odgadnięte drogą dedukcji. Zapomnij o wszelkich datach urodzin i tym podobnych. Nie używaj żadnych haseł, których do tej pory używałeś, żadnych "zestawów" które Ty tam sobie pamiętasz choć są trudne. Ustaw nowe, abstrakcyjne, trudne hasła do wszystkich poziomów i na pewno je zapamiętaj lub zapisz sobie w komórce, albo na kartce i przypnij nad kompem.

[Destiny]

Zabezpieczyłem forum, wgrałem pliki od nowa ale teraz pojawia się taki błąd na stronie

Warning: require(/home/virt5913/domains/zabijamy.pl/public_html/forum/admin/sources/base/ipsMember.php) [function.require]: failed to open stream: No such file or directory in /home/virt5913/domains/zabijamy.pl/public_html/forum/admin/sources/base/ipsRegistry.php on line 396

Fatal error: require() [function.require]: Failed opening required '/home/virt5913/domains/zabijamy.pl/public_html/forum/admin/sources/base/ipsMember.php' (include_path='.:/usr/local/php5/lib/php:/home/virt5913/domains/zabijamy.pl/public_html/forum/ips_kernel/') in /home/virt5913/domains/zabijamy.pl/public_html/forum/admin/sources/base/ipsRegistry.php on line 396

Wcześniej też był ale po usunięciu tej linijki wszystko działało, teraz gdy t robię to wyskakują kolejne w innych plikach.

[DawPi]

No brak plików forum. Dograj je ze świeżo pobranej paczki z panelu klienta, by przy okazji zaaplikować najnowsze fixy bezpieczeństwa.

[semenedar]

Wgrywasz inną wersję plików IPB niż ta, do której odnosi się baza danych. Z błędu wynika, że brakuje pliku.

Skoro wcześniej działało, to musi działać również teraz. Prawdopodobnie masz nieaktualny backup i próbujesz te pliki podłączyć do aktualnej bazy. Mógłbyś też opisać dokładnie co zrobiłeś a nie tylko "zabezpieczyłem forum" bo tutaj jasnowidzów brak.

Kiedy ostatni raz robiłeś backup plików, bo z pewnością nie dzień przed usunięciem ich przez intruza (bo skąd miałeś wiedzieć że atak nastąpi). Jaką wersję forum miałeś przed atakiem. (I to powiedz na pewno jaką a nie jaką Ci się wydaje że miałeś). Co z folderami upload, co z plikami załączników, gdzie to wszystko masz. Czy po załadowaniu plików na serwer, nadałeś wszystkim wymaganym katalogom poprawne CHMODy zgodnie z tabelą w plikach pomocy skryptu IP Board. Odpowiedz konkretnie na zadane pytania.

Jeżeli to była wersja 3.3.4 to tak jak Dawid mówi, pobierz najnowszą paczkę z panelu klienta i wgraj na serwer. Mam nadzieję że nie muszę Ci mówić o tym, byś plik conf_global.php pozostawił stary, już skonfigurowany oraz wgrał resztę plików (załączniki, obrazy z IP Gallery jeżeli posiadałeś itp do odpowiednich folderów). Jeżeli to była starsza wersja plików oraz bazy (bo nie wiem czy wgrywasz ją z backup czy też jest cały czas ta sama) to się dowiedz jaka to wersja bazy i plików. Opisuj konkretnie swoje poczynania.

[Destiny]

Znalazłem takie konta w DC, czy możliwe, że przez to ktoś mógł wchodzić do ftp nie znając hasła? Zawiesiłem je.

[semenedar]

I co mam Ci odpowiedzieć? Chyba widzisz jaka jest zawartość tych kont i co sie tam znajduje? Dostałeś, kupiłeś (niepotrzebne skreślić) ten hosting, to sobie zrób tam porządek i powywalaj wszystko co nie Twoje. Z tego co widzę to na tych kontach leżeć może część forum. Nie znam się na CSach bo mnie ten nurt w ogóle nie interesuje, ale widzę tam jakieś psychostats i inne dziwne rzeczy których jako dodatki to forum może używać. Nie odpowiedziałeś mi na żadne z pytań które Ci zadałem, mniemam więc że radzisz sobie świetnie . W razie czego, jest też dział giełda. Widzę że Ty w ogóle nie masz pojęcia o tym, co się składa na Twoje forum a co nie jest w ogóle potrzebne. Otrzymałeś porady, dzięki którym każdy średnio rozgarnięty Administrator jest w stanie już sam sobie poradzić z wszystkim.

[Destiny]

Nie mam pojęcia z czego składa się forum, bo nie ja je stawiałem.

Forum było na 3.1.4, dołączył do mnie człowiek "x" a , a właściwie nie będę ukrywać jego tożsamości, znany jako "naXe" , zaktualizował forum na swojej licencji do 3.3.4 i też po tej aktualizacji zrobiłem kopię, którą wgrywam, a która jest usuwana. Chciałem ją wgrać i wpisać w ACP mój klucz licencyjny, by forum stało na mojej licencji, to nigdy nie miałem okazji bo zostawało usuwane. Nie znam się na tym dlatego wszystko jest bez ładu i składu.

Znalazłem teraz w ftp plik robots.txt z taka zawartością :

# HOW TO USE THIS FILE:

# 1) Edit this file to change "/forum/" to the correct relative path from your base URL, for example if your forum was at "domain.com/sites/community", then you'd use "/sites/community/"

# 2) Rename the file to 'robots.txt' and move it to your web root (public_html, www, or htdocs)

# 3) Edit the file to remove this comment (anything above the dashed line, including the dashed line

#

# NOTES:

# Even though wild cards and pattern matching are not part of the robots.txt specification, many search bots understand and make use of them

#------------------------ REMOVE THIS LINE AND EVERYTHING ABOVE SO THAT User-agent: * IS THE FIRST LINE ------------------------------------------

User-agent: *

Disallow: /forum/admin/

Disallow: /forum/cache/

Disallow: /forum/converge_local/

Disallow: /forum/hooks/

Disallow: /forum/ips_kernel/

Disallow: /forum/retail/

Disallow: /forum/public/style_captcha/

Disallow: /forum/index.php?app=core&module=task

Disallow: /forum/index.php?app=forums&module=moderate&section=moderate

Disallow: /forum/index.php?app=forums&module=extras&section=forward

Disallow: /forum/index.php?app=members&module=messaging

Disallow: /forum/index.php?app=members&module=chat

Disallow: /forum/index.php?app=members&module=search

Disallow: /forum/index.php?app=members&module=search&do=active

Disallow: /forum/index.php?&unlockUserAgent=1

Disallow: /forum/*app=core&module=global&section=reputation

Disallow: /forum/*app=core&module=usercp

Disallow: /forum/*app=core&module=usercp

Disallow: /forum/*app=members&module=messaging

Disallow: /forum/*&p=

Disallow: /forum/*&pid=

Disallow: /forum/*&hl=

Disallow: /forum/*&start=

Disallow: /forum/*view__getnewpost$

Disallow: /forum/*view__getlastpost$

Disallow: /forum/*view__old$

Disallow: /forum/*view__new$

Disallow: /forum/*view__getfirst$

Disallow: /forum/*view__getprevious$

Disallow: /forum/*view__getnext$

Disallow: /forum/*view__getlast$

Disallow: /forum/*&view=getnewpost$

Disallow: /forum/*&view=getlastpost$

Disallow: /forum/*&view=old$

Disallow: /forum/*&view=new$

Disallow: /forum/*&view=getfirst$

Disallow: /forum/*&view=getprevious$

Disallow: /forum/*&view=getnext$

Disallow: /forum/*&view=getlast$

Disallow: /forum/*?s=

Disallow: /forum/*&s=

Disallow: /forum/index.php?app=core&module=global&section=login&do=deleteCookies

Disallow: /forum/index.php?app=forums&module=extras&section=rating

Disallow: /forum/index.php?app=forums&module=forums&section=markasread

Disallow: /forum/*&do=who

Disallow: /forum/*&section=dname

Nie wiem co to jest.

Edytowane 13 Listopada 2012 przez Destiny

[semenedar]

Jak wyżej, otrzymałeś wszystkie stosowne porady, plus ponad plan- pochodzące z Direct Admin. Gdyby było tak jak mówisz, że posiadasz pełen zrzut plików po aktualizacji do wersji 3.3.4 i ten zrzut zrobiłeś sobie sam, to żadnego pliku siłą rzeczy nie może Ci brakować. Baza danych i pliki to monolit, którego kopię robi się jednocześnie. Nic więcej w tym temacie nie mam do dodania, otrzymałeś maksymalną możliwą pomoc której można udzielić bezpłatnie. Chyba że ktoś, ma coś jeszcze do dodania. Radziłbym Ci szybko podjąć edukację dotycząca skryptu, z czego się składa oraz zasięgnąć języka u poprzedniego właściciela całego "ustroistwa". Jeżeli nie jesteś w stanie sam sobie pomóc, złóż zlecenie na giełdzie naszego forum, a być może ktoś to zlecenie przyjmie i tym samym zobowiązuje się do naprawy i odpowiedniego zabezpieczenia Twojego forum.

Pozdrawiam.

[DawPi]

Mogę jeszcze dodać że plik którego brakuje, (patrz komunikat require once który dałeś wyżej) pochodzi z paczki w wersji 3.1.4 Tego pliku w najnowszej paczce już nie ma, bo ta klasa została dopisana do core.php.

Tzn. którego pliku już nie ma, bo nie załapałem albo coś nie rozumiem..

[semenedar]

Pomyłka Dawidzie, wyciąłem to ze swojej wypowiedzi w tym samym czasie jak pisałeś ten post. Oczywiście plik ipsMember.php jest w nowej paczce, chodziło mi o te różnicę w pliku core.php która była omawiana na forum.

[Destiny]

zmieniłeś hasło do bazy danych (i to samo hasło zmieniłeś również w pliku konfiguracyjnym conf_global.php)

Jak zmieniam hasło do bazy danych, a następnie wpisuje je w pliku conf.global , to forum wtedy nie działa, też nie mam pojęcia czemu,działa tylko ze starym hasłem, mimo zmiany na nowe.

Trudno, dziękuję za pomoc, nic nie zdziałam, można zamknąć.

Edytowane 13 Listopada 2012 przez Destiny

[semenedar]

Nie wiem co to jest.

To jest plik robots.txt który jest standardowo w paczce IP Board.

[semenedar]

Jak zmieniam hasło do bazy danych, a następnie wpisuje je w pliku conf.global , to forum wtedy nie działa, też nie mam pojęcia czemu,działa tylko ze starym hasłem, mimo zmiany na nowe.

To jakaś kompletna bzdura. W takim razie nie łączysz się wcale z właściwą bazą danych, tylko zmieniasz hasło w innej bazie co w pewnym sensie tłumaczy błąd (require once). Nawet nie wiesz z jaką bazą się łączysz. Dobrze się wyedukuj. Na tę chwilę, polecam giełdę i zamykam zgodnie z życzeniem ten temat.