Chyba v Joomla! jde zneužít pro DDoS útok

By

Po rozšířeném problému s vykrádáním hesel na FTP, o kterém jsme psali před několika měsíci, tu bohužel máme další nepříjemné bezpečnostní riziko. Problém se opět netýká našich serverů, zabezpečení či nastavení, ale redakčního systému Joomla! a je potenciálně ještě nebezpečnější.

V rozšířené administrátorské šabloně Bluestork v Joomla! se objevila bezpečnostní díra, kterou mohou hackeři zneužít pro nahrání DDoS skriptů. S těmito skripty pak útočí na jiné servery a páchají tak škodu nejen vám, ale i jiným webům, které ani Joomla! nepoužívají.

Problém se týká širokého spektra instalací Joomla!, především verzí 1.6.3, 1.7.0., 2.5.2. a novějších.

Vzhledem k závažnosti celého problému jsme při nalezení takto napadeného webu nuceni jednat rychle a musíme napadený hosting odstavit, než skrze škodlivé skripty napáchá ještě více škod.

Řešení problému

Zatím není úplně jasná příčina, nicméně podle ohlasů uživatelů na fórech se jeví jako nejlepší řešení odstranit celou šablonu Bluestork. Teprve pak se škodlivých skriptů zbavíte s jistotou.

Šablonu naleznete ve složce

/administrator/templates/bluestork/

Řešením je šablonu změnit na jinou než Bluestork, a poté smazat celý její adresář z FTP.

 


Nepodceňujte aktualizaci svého webu, ušetříte si starosti

By

V poslední době jsme zaznamenali zvýšený počet útoků na webové stránky, které byly bohužel mnohdy úspěšné. Útoky spočívají v napadení webových stránek škodlivým kódem, který skrze ně potom útočí mimo náš server. To poškozuje nás i naše klienty a jsme nuceni jednat.

Jelikož tyto útoky se zabezpečním našich serverů, nebo s naším nastavením, nijak nesouvisí, nemůžeme páchání škod nijak zabránit. Ve většině případů vás na problém upozorníme, ale v extrémních případech musíme napadený web i odstavit.

Příčina napadení

Jednou z nejčastějších příčin úspěšnosti útoku je zastaralost redakčních systémů. Vždy si vaše CMS udržujte aktuální. Staré verze mohou obsahovat různé bezpečnostní chyby, které nové verze opravují. Některé CMS (např. WordPress) umožňují aktualizaci na novější verzi přímo z uživatelského rozhraní jedním kliknutím. Využijte toho a aktualizujte.

Škodlivý kód se k vám může dostat i přes FTP klienta, například velmi rozšířený Total Commander. Návod, jak se proti takovému viru bránit, najdete zde.

Řešení

  1. Ujistěte se, že počítač, ze kterého přistupujete na FTP, není sám infikovaný (použijte antiviru a antispyware)
  2. Projděte FTP a kód webu a eliminujte škodlivé kódy a soubory, které tam dříve nebyly a nemají tam co dělat. Vodítkem mohou být data poslední změny souborů, podezřelé názvy souborů, dlouhé řetězce zdánlivě nesmyslných posloupností znaků v kódu apod. Škodlivý kód často začíná takto: (base64_decode('aWYoZnVuY3Rpb25fZXhpc3R...
  3. Aktualizujte CMS – Joomla, WordPress…
  4. Aktualizujte všechny pluginy redakčního systému

Pro jistotu změňte heslo k FTP a nikam ho neukládejte. Pamatujte si ho. Umožňuje-li to váš FTP klient, použijte hlavní (master) heslo.

Prevence

  • používejte dlouhá a nepředvídatelná hesla, nikam je neukládejte, nikomu je neříkejte, používejte ideálně pro každou službu jiné heslo
  • neustále udržujte všechny CMS aktuální
  • jednou za čas dělejte zálohu webu
  • poznejte svůj web – měli byste vědět, co do kódu patří a co tam naopak nemá co dělat

Zkroťte svého emailového klienta

By

Máte náš hosting a nevíte jak nastavit email na iPadu? V Outlooku? Jste na správném místě.

Pro spoustu lidí primární komunikační nástroj, pro někoho okrajová záležitost. Pro jiné symbol moderní doby. Přitom byl první email odeslán už v roce 1971.

Jestli vám zrovna nevoní námi používaný webový Roundcube a nechcete si do Gmailu přidávat další účet, zbývá vám poslední možnost – emailový klient.

Jeho nastavení ne každý rozumí. Proto jsme si řekli, že nabídneme pomocnou ruku. Po několika instalacích, jednom zapůjčeném Androidovi a 44 vytípaných obrázcích jsme přišli s polopatickými obrázkovými radami, aneb jak si nastavit emailového klienta.

V těchto návodech vás krok za krokem provedeme nastavením vašeho oblíbeného klienta, ať už je to Thunderbird, Outlook, Windows Live Mail, Mail na Mac OS, iPad, iPhone, nebo Android.

Pokud jste se rozhodli pro jiného emailového klienta, vždy platí následující:

  • příchozí server: mail.vasedomena.xx (port 110)
  • odchozí server: mail.vasedomena.xx (port 587)
  • odchozí vždy ověřovat a zabezpečovat pomocí SSL
  • nezapomeňte si aktivovat server odchozí pošty v Klientské sekci)

A až dokončíme kurz herectví, připravíme pro vás i video návody (nejen pro emaily). Od doby, kdy jsme na základní škole pilně recitovali básně, už přece jen uběhla nějaká doba.


Jak se bez výpadku stěhuje web k Blueboardu

By

Odpovídáme na hlavní otázky, které vás mohou trápit, pokud uvažujete o stěhování na nový hosting. Měli byste vědět, že s námi vás nic trápit nemusí. Najdete odpověď na svou obavu?

Budou mé stránky na novém hostingu fungovat?

To si u nás můžete nezávazně vyzkoušet. Aniž byste nám zaplatili jedinou korunu, aktivujeme vám hosting na provizorní doméně. Na ní si můžete své stránky celý měsíc zdarma testovat. Pak se rozhodnete, zda zůstanete, nebo odejdete.

Jak dlouhý bude výpadek?

Žádný výpadek nebude. Doménu převedeme až ve chvíli, kdy budete mít u nás nahrány funkční stránky a založené emaily. Návštěvníci vašeho webu budou při převodu domény postupně směrováni k nám.

Neztratí se mi během stěhování nějaké příchozí emaily?

Neztratí. Schránky si u nás založíte předem. Potom se bude převádět doména a příchozí emaily začnou plynule padat do vaší nové schránky u nás.

Jak převedu doménu?

My se o ni postaráme. Od držitele domény budeme potřebovat pouze potvrdit nebo přeposlat jeden nebo dva emaily.

Půjde hladce moje velká databáze importovat skrz phpMyAdmin (Adminer)?

Máme lepší způsob. Vaši exportovanou databázi nahrajete přes FTP do složky _sql a pak ji jednoduše importujete skrz Klientskou sekci. Bude to pekelně rychlé!

Lze přetáhnout emaily?

Ano lze. Máme nástroj na import emailů z emailových schránek na původním hostingu, takže o žádné emaily nepřijdete.

Jak probíhá stěhování k Blueboardu?

  1. Stáhnete si stránky (případně exportujete databázi) z původního hostingu
  2. Objednáte hosting s doménou přes náš formulář
  3. My hosting aktivujeme a vám přijde Aktivační email s informacemi
  4. Vy si k nám nahrajete stránky, importujete databázi, založíte emaily (a naimportujete zprávy). Vše si můžete odzkoušet, protože hosting už běží na provizorní doméně.
  5. Jste připraveni, takže můžeme převést doménu. Trvá několik hodin, než se aktualizují DNS domény. Návštěvníci vašeho webu jsou postupně směrováni na na váš nový hosting.

Máte nějaké další otázky spojené se stěhováním svého webu? Sem s nimi, odpovíme vám na ně.

 


Jak opravit špatné zobrazování diakritiky

By

22. ledna jsme aktualizovali PHP na našich serverech. Pokud máte svůj web v kódování iso-8859-2 a nemáte po připojení k databázi nastavenou správnou definici kódování, mohli jste si všimnout špatného zobrazování diakritiky.

Opravení tohoto problému je jednoduché. Stačí hned po připojení k databázi do vašeho PHP skriptu přidat příkaz:

SET CHARACTER SET latin2

V souvislosti s novým nativním klientem MySQL v poslední verzi PHP již toto nastavení nemůžeme udělat centrálně a tento příkaz je vyžadován. Pokud máte stránky v iso-8859-2, mohlo vám to dříve fungovat i bez této definice a diakritika se zobrazovala správně.

Nastavením definice SET CHARACTER SET v podstatě oznámíte databázi, v jakém kódování s ní chcete komunikovat. Na straně serveru se potom data přeloží do kódování databáze.

O data se bát nemusíte, s těmi se nestalo nic. Problém spočívá pouze ve zobrazení dat z databáze na webu, který má nastaveno jiné kódování, než v jakém jsou původně data uložena.

Více lze o této problematice nalézt zde na blogu Jakuba Vrány.