Форум русской поддержки Joomla!® CMS
06.12.2016, 04:53:04 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Спам-бот Stealrat

 (Прочитано 701 раз)
0 Пользователей и 1 Гость смотрят эту тему.
fishlove
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 3


« : 03.06.2014, 14:09:27 »

Спам-бот Stealrat
http://habrahabr.ru/post/221871/
Зацепил такую хрени, траф жрет до 40ГБ в день
почистил и антивирусом и  сканером из темы http://joomlaforum.ru/index.php?PHPSESSID=640a61fa55633849a889d615a7c6b69f&topic=198048.0
загрузил на хост, траф снова тютю кто столкнулся ? что делать? версия Joomla 1.5.2.6
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #1 : 03.06.2014, 14:13:00 »

Плохо чистили опять же. Может это и не тот вирус, на который вы дали ссылку.
Записан
fishlove
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 3


« Ответ #2 : 03.06.2014, 14:15:51 »

он.
 посмотрел стату, вычислил пару ип(трафф >3гб на ип). Google сказал что те IP входят в спамботнет Stealrat
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #3 : 03.06.2014, 14:17:52 »

Тогда вы просто не дочистили или не закрыли уязвимости.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #4 : 03.06.2014, 15:21:43 »

версия PHP ?
Записан
fishlove
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 3


« Ответ #5 : 03.06.2014, 15:38:51 »

кажется нашел
в components\com_rsform\assets\themes\green\css\article.php, спалился по траффу за 10 мин 250мб ()если комуто интересно сам файл
http://www.sendspace.com/file/s99mbx
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #6 : 03.06.2014, 18:27:21 »

Ясно, что это не очень хорошая штука. Обфускация на уровне Azn. Это может не все еще быть.
Записан
amitakrishna
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 31


« Ответ #7 : 13.07.2016, 17:59:43 »

Тоже поймал, сразу на нескольких сайтах на одном хостинге. Скачал всё, антивирусом нашел с десяток php файлов, поудалял, также нашел подозрительные папки bin на тех сайтах, где их быть не должно, поудалял, на следующий день - бац... опять Stelart (его идентифицировал хостинг-провайдер). Смотрю, в корне сайтов post.php, как змей горыныч, опять появился... удаляешь, на след. день опять появляется. Как его удалять-то?
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #8 : 13.07.2016, 18:46:16 »

Как его удалять-то?

Отделить сайты от друг друга пользователем или хотя бы open_basedir и обновить и чистить к примеру ai-bolit скриптом.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet