Wirus na joomla i wordpress

Sprawa wygląda następująca: miałem włamanie na hosting, pozmieniało mi tysiące plików php i podopisywało linijkę z rosyjską stroną (zaczyna się od słowa "psy").

Nie ma sensu usuwać tego ręcznie, mam już chyba pomysł jak wywalić ten kod masowo, jednak co dalej - czy jeśli usunę kod, aktualizuję strony (z 7 ich jest), zmienie hasła do ftp czy to pomoże?

Stąd pytanie - czy jest jakieś zabezpieczenie, na przykład po stronie dostawcy hostingu, żeby przykładowo zablokować dostęp z zagranicy? (Bo haker prawdopodobnie siedzi poza Polską), albo zablokować możliwość edycji plików bez podania hasła?

Jaki problem, zgrywasz wszystko a potem bulk file manager czy poedit(tylko on domyślnie działa z plikami *.po) i dalej dajesz do masowego usuwania wybranej zawartości pliku.

Po pierwsze wina leży raczej po twojej stronie, jeśli nie doszło do złamania zabezpieczeń serwera ogólnych, ale wtedy poszkodowanych jest i więcej. Zasady bezpiecznego korzystania:

1. Aktualizuj skrypty - nawet przez templatkę Wordpressa można się włamać (patrz plik timthumb.php)
2. Nie używaj Total Commander - wirusy łatwo wychwytują z niego hasła
3. Zmień hasło od konta, nie może być proste etc. również do konta administratora na portalu
4. Nie wgrywaj nielegalnych plików, których źródła nie znasz!
5. Zabezpiecz sobie foldery, aby nie można było nic wgrywać bez odpowiednich uprawnień są gotowce rozwiązań w postaci wtyczek.

Sprawa wygląda następująca: miałem włamanie na hosting, pozmieniało mi tysiące plików php i podopisywało linijkę z rosyjską stroną (zaczyna się od słowa "psy").

Nie ma sensu usuwać tego ręcznie, mam już chyba pomysł jak wywalić ten kod masowo, jednak co dalej - czy jeśli usunę kod, aktualizuję strony (z 7 ich jest), zmienie hasła do ftp czy to pomoże?

Jeśli tylko ty miałeś konto ftp i korzystałeś z niego, a masz pewność że nie złapałeś robala na żadnym sprzęcie z którego się łączyłeś, zmiana hasła (pod warunkiem że hasło nie było lipnej jakości) nic nie zmieni - bo infekcja wcale nie musiała zostać dokonana tym kanałem. Poza tym i zarówno do tego co wymienił makensis, sama aktualizacja skryptów CMS to nie wszystko, bo dziurawe są najczęściej rozszerzenia/pluginy/dodatki do cms-ów.

TCMD jak i cała reszta aplikacji do łączenia się poprzez ftp jest tak samo podatna na kradzież hasła, gdy te nie będą szyfrowane. I tu akuratnie TCMD dzięki wbudowanemu menedżerowi głównego hasła sprawdza się bardzo dobrze. Pod warunkiem że te hasło zostanie ustanowione :\

Generalnie nie powinno się trzymać haseł w żadnej aplikacji, która automatycznie i domyślnie tych haseł nie szyfruje.

Stąd pytanie - czy jest jakieś zabezpieczenie, na przykład po stronie dostawcy hostingu, żeby przykładowo zablokować dostęp z zagranicy? (Bo haker prawdopodobnie siedzi poza Polską), albo zablokować możliwość edycji plików bez podania hasła?

Niewielu dostawców hostingu daje taką możliwość bezpośrednio z poziomu panelu (ostatnio widziałem to tylko na webserwer.pl) choć jeśli FTP jest oparte na proftpd, można ręcznie przygotować reguły blokady dostępu. Blokada edycji plików jest nierealna z Twojej strony (mam tu na myśli hosting współdzielony), bo jak już się zdobędzie dostęp do FTP, to jak to sobie wyobrażasz ?

Możesz ewentualnie ustawić atrybuty plików na wyłącznie do odczytu (404), wtedy w przypadku dziurawego skryptu określony plik nie powinien zostać nadpisany. Jednakże nie zablokujesz wszystkich, przez co i tak ten czy inny plik złapie bakcyla. Jeśli rzadko korzystasz z ftp, to deaktywuj konto i włączaj je tylko gdy będziesz potrzebował.

Najlepiej jeśli podeślesz do administracji hostingu cały kod jaki został doklejony do twoich plików. W zasadzie mogą również z automatu przejechać po wszystkich Twoich plikach i oczyścić je w kilka min. Odpowiednio przygotowana sygnatura powinna zablokować dodawanie tego kodu. Zależy oczywiście komu płacisz za usługi

Makensis, a mi własnie chodzi o te zabezpieczenia, bo ja wiem w czym jest problem i czystki już robię, tylko czy jest w ogóle sens. Wcześniej miałem to na joomla 1.5, teraz mam na 3.0. No i najnowszys Wordpress. Staram się nie instalować niepotrzebnych wtyczek.

Najczęściej dziurawe są pluginy i theme, a w szczególności ich pirackie wersje pobierane z Internetu. Paradoksalnie u mnie backdoora otworzyła sobie wtyczka, która miała poprawiać bezpieczeństwo tj. Login Ninja (odnotowywała wszystkie próby logowania do wp-admin). 

Ej, a ja mam taki problem, że stworzyły mi się na Joomla 3 dodatkowe konta użytkowników. Ktoś wie o co biega?

Ja kiedyś miałam taki problem w Joomla że ktoś zakładał mi konta. Nie wiem jak to robił. Załatwiłam to tak, usunęłam możliwość zapisów i edycji plików na serwerze no i problem się skończył. Pewnie jakiś wirus na serwer się wkradł.