[ Tajmija @ 23.11.2017. 08:15 ] @
kako i na koji nacin ne znam, mogu samo da nagadjam, ali websajt mi je pre par dana hakovan i kada sam pokusao da udjem, pisalo je da pocetna stranica nema dozvolu za otvaranje.

Koristim Joomla CMS, da napomenem da nije bila najnovija verzija.


Admin panel je radio normalno, kao i cpanel. U Cpanelu su bili promenjene dozvole za index.php stranicu, vratio na normalne vrednosti i sajt je proradio.

radio jos jedan dan, pa me docekala ista poruka s tim sto sada nisam mogao da udjem ni na admin panel, a cpanel lozinka je bila promenjena. tj nisam mogao da udjem kako sam inace ulazio.

promenim preko provajdera cpanel lozinku, ulazim u fajl menadzer. u public_html nema nista, ali je hosting space zauzet identicno kao i kada je sve bilo ok. promenim nekako dozvole za ceo folder pubic_html, fajlovi se pojave, ali su isto nekako zakljucani.

uspem nekako da obrisem to, ubacim svezu instalaciju CMS-a ali opet isto. fajlovi brljave, kada se obrisu oni se sami vrate...

za pocetak zna li neko koja dijagnoza hakera moze biti ovo sto sam naveo?

cekam od provajdera da resetuje kompletan cpanel, ali su malo vise azurni pa na to cekam vec 2 dana.


i jos nesto, kada sam i ranije pokusavao da vratim backup koji sam skinuo preko cpanela, nikako nisam uspeo da pokrenem sajt, uvek sam dobijao poruku tipa:

database connection error (1) the mysql adapter ‘mysqli’ is not available.

trazio tutorije sa neta, pokusavao, menjao php vrednosti i verzije, ali bez uspeha.

nakon obracanja tehnickoj podrsci oni su ubacili svoj backup koji redovno rade.

ako neko zna kako bi mogao da resim problem sa bazom, bio bih mu zahvalan.


[ Branimir Maksimovic @ 23.11.2017. 09:24 ] @
Proveri da nemas trojanac koji je poslao passworde hakerima. Passworde promeni svakako. Vidi kod provajdera kolko je server kompromitovan. Ako je kod njih cisto, onda je velika verovatnoca da su se prvo probili na tvoju Windows masinu a odatle pokupili passworde.
[ Tajmija @ 23.11.2017. 17:48 ] @
Citat:
Branimir Maksimovic: Proveri da nemas trojanac koji je poslao passworde hakerima. Passworde promeni svakako. Vidi kod provajdera kolko je server kompromitovan. Ako je kod njih cisto, onda je velika verovatnoca da su se prvo probili na tvoju Windows masinu a odatle pokupili passworde.



sada je kasno jer sam sve obrisao a oni napravili nov cist nalog na serveru.

nagadjam da je za sve kriva hotjar extenzija koju sam skoro ubacio, tacnije par dana posle toga se to dogodilo, a pre toga dve godine nisam imao nikakvih problema sa sajtom. Sajt nije nesto popularan da bi provaljivali u windows, mada ni to nije iskljuceno. Na windowsu nisam imao nikakvih problema sa virusima.

inace taj hotjar prikljucak sluzi da se hotjar sajt poveze sa joomlom, cudno mi bilo posto je to popularan sajt da ima samo jedna extenzija tog tipa, da je verzija 1.00 stara 3 godine i da nema nikakvih ocena ni utisaka.

sada znam da je vise necu koristiti, a mozda ovo pomogne i drugima.

ocekujem od provajdera da mi vrati stari backup, pa cu sajt obezbediti Two Factor Authentication, i dodati jos neke sigurnosne mere.

nadam se da sve raditi kako treba.
[ Branimir Maksimovic @ 23.11.2017. 23:00 ] @
Ma scenario je tipa: pokupis trojanac slucajno i onda sve sifre odu na filipine ili gde vec... ako ti sajt nije busan u najvecem broju slucajeva hakovanje tako ide...
[ Tajmija @ 26.11.2017. 19:35 ] @
Da javim epilog celog slucaja.


uspeo sam, il se bar nadam da sam donekle uspeo da dovedem situaciju u neku normalnu.

-prvo sam reinstalirao windows zbog mogućih trojanaca, i dodao kaspersky antivirus kao dodatnu zastitu.
-promenio sve passworde, na svim mejlovima, servisima koje sam koristio.
-posto mi je provajder napravio novi hosting nalog zbog mogucih virusa, i tu stavio sve nove sifre cpanela, baze itd..
-vratio backup i joomlu obezbedio sa two factor authentication uz google authenticator.


i to popodne sajt radi savrseno.


ustajem danas ulazim na sajt kad ono 508 Resource Limit Is Reached

ulazim na cpanel(jedva) imam i sta da vidim, cpu na 100%i sve ostalo na ludacko visokom nivou.

DDos napad iz kine i hongkonga

traffic iz cloudflare analistike:

China 270109
Hong Kong 33953

u firewall opciji ukljucio Im under attack, gde pre prikazivanja bilo koje stranice Cloudflare proverava pretrazivac, i sve se smirilo.

neko se izgleda bas nameracio na moj sajt, ili mu je zanimljiva ta igra macke i misa, pa ko ce vise da izdrzi i ko ce bolje da se snadje.


da napomenem da sam u prvim napadima dobio 1700+ spam mailova preko kontakt forme, i tu sam ubacio captchu tako da samo i to resio donekle.

[ Tajmija @ 27.11.2017. 11:37 ] @
update:

ovi ne odustaju, ali ne mogu da probiju cloudflare DDoS zastitu.


sajt radi normalno, nema sumnjivih konekcija.

pokusaj konekcija se sa :

China 270.109
Hong Kong 33.953

popeo na :

China 1.035.138
Hong Kong 122.438
United States 24.939

i USA IP adrese su u igri jer je cloudflare blokirao dva Threats sa USA IP adresama.