Spam/Virus in Writer - ???

witam,
przed chwila dostalem wiadomosc:


Witam serdecznie,

Nasz system monitoringu odnotował wysyłkę spamu z Państwa serwera:

=== Dane Państwa usługi ===

Wysyłka miała miejsce ze skryptu:

domena.pl:80/

Spam został rozesłany najprawdopodobniej na skutek włamania, do którego
doszło poprzez lukę w nieaktualizowanej od dawna aplikacji, lub któregoś z
jej komponentów. Ze względów bezpieczeństwa dostęp do www dla tej domeny
został automatycznie zablokowany. Prosimy o usunięcie luki i aktualizację
oprogramowania do najnowszej wersji oraz sprawdzenie czy na konto nie zostały
podrzucone dodatkowe pliki, ewentualnie doklejony jakiś złośliwy kod, który
umożliwiłby włamywaczom dostęp do konta nawet po usunięciu luki.

Wiadomość została nadana automatycznie.
W razie pytań prosimy o kontakt na adre

Witam,

>sprawdzilem ustawienia i logi i jakos sie wlamania doszukac nie moge... poza
>
>
>tym aplikacja joomli jest w najnowszej wersji... jak mozna to wszystko
>odblokowac plus prosze o konkrety tego "spamu"

Nie ma możliwości odblokowania w takim "stanie"

Zaznacz, ze samo usunięcie zroślich skryptów nie rozwiąże problemu.

Incident: ...(1)
Ilość wysylek: 931
Ilość wysylek za granice: 720 ( 77% )

Ilosc ip z jakich wysylano maile: 3

Źródło spamu: skrypt

.....pl:80/ ( 105)

Domeny na jakie wysłano najwięcej maili:

gmail.com (210)

aol.com (201)

yahoo.com (172)

hotmail.com (152)

live.com (14)

outlook.com (13)

5 najbardziej aktywnych IP:
37.57.231.240,UA,Ukraine (54)
62.122.74.100,PL,Poland (36)

37.57.231.110,UA,Ukraine (7)

W głównym index też jest doklejony iframe

550 VIRUS - PHP:Shell-JP [Trj] -
/home/users...../modules/mod_articless/mod_articless.php
550 VIRUS - PHP:Decode-DL [Trj] -
/home/users/....components/com_finder/.login.php
550 VIRUS - PHP:Decode-DL [Trj] -
/home/users/..../administrator/components/com_akeeba/views/backup/tmpl/.include81.php
550 VIRUS - PHP:Decode-DL [Trj] -
/home/users/....administrator/language/en-GB/.code24.php



W razie dalszych pytań pozostaję do Państwa dyspozycji.

Dobry wieczór,

Obawiam się, że wina raczej leży po stronie niezaktualizowanych rozszerzeń lub samego joomla - proszę w pierwszej kolejności sprawdzić stan aktualizacji używanych komponentów i Joomla.

Joomla byla aktualna, takze wszystkie komponenty byly aktualne.... co moglo zawinic? Do tej pory wszystko dzialalo, htacsses blokowal wiekszosc krajow
writera zainstalowalem "testowo", zeby sprawdzic funkcjonalnosc, wiec wielkiego problemu nie ma, bo instalacje moge usunac. Pytanie pozostaje, co i jak zrobic, zeby sie chronic przed tym?

Tak naprawdę to może być wszystko - od zbyt dużych uprawnień dla katalogów lub użytkowników aż po jakieś nieopublikowane luki w rozszerzeniach. Nie mieliśmy podobnych zgłoszeń a wygląda to na robotę jakiegoś bota, więc moim zdaniem problem nie leży w samym szablonie.

Witam wszystkich

problemów "zarażenia" strony może być kilka... wspomniane niezaktualizowane lub dziurawe dodatki, ale także:
- źle zabezpieczony serwer - administracja oczywiście zwali na właściciela strony
- łączenie się z serwerem przez zawirusowany komputer
- łączenie się np. z ftp do strony przez "dziurawy" program np. jak łączysz się za pomocą TC to tu masz odpowiedź.

Pozdrawiam