Форум русской поддержки Joomla!® CMS
08.12.2016, 13:52:41 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Обнаружил левый файл

 (Прочитано 543 раз)
0 Пользователей и 1 Гость смотрят эту тему.
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6458



« : 12.05.2015, 23:47:50 »

Выявил в папке /media ранее отсутствующий там файл.
Имя файла: member.4.php
Размер: 67630
Время создания: 22.11.2014 22:58
Строк: 1522
Когда появился: неизвестно.
Бекап: 1 раз в мес.

Пр открытии файла локально имею следующее: http://www.floomby.ru/s2/2UmnFA/full
Лог J - 16мб, лог сервера недоступен.
ХЗ, что это. Сайту 7 мес., конкурентов тьма, есть такие, которые угрожают конторе в открытую.
В базе сайта хранятся секретные данные конторы, размещены файлы для платного (оч.дорогого) распространения.
Сделать анализ самому слабо. Бюджет отсутствует.
Ткните носом, куда копать нужно, желательно подробнее.
« Последнее редактирование: 12.05.2015, 23:53:11 от AlekVolsk » Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6458



« Ответ #1 : 13.05.2015, 00:22:45 »

Код файла в картинках:
Часть 1
Часть 2
Часть 3
Часть 4
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #2 : 13.05.2015, 09:35:38 »

WSO шелл. Лечить надо. Для того, чтобы мог что-то подсказать надо больше информации.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #3 : 13.05.2015, 09:40:34 »

Напишите хосту вашу предъяву.Почему у вас в папки залазят файлы.Они до секунды обязаны сказать, вплоть, до IP, откуда он взялся и что он делал спустя время, которое он там находился.Моя тех поддержка это делает.
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8720


любит наш народ всякое гавно...


« Ответ #4 : 13.05.2015, 09:46:15 »

Напишите хосту вашу предъяву.Почему у вас в папки залазят файлы.Они до секунды обязаны сказать, вплоть, до IP, откуда он взялся и что он делал спустя время, которое он там находился.Моя тех поддержка это делает.
С чего это обязан?
Если он залит через http то можно увидеть в логах конечно.
Но уж много лет как при заливке шелла тут же через него заливается еще десяток - и никаких логов куда и когда..
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #5 : 13.05.2015, 09:52:00 »

Как с чего? Если уязвимость папок и загружается на хост!Или я не так понял.
И у хоста логи другие и повторюсь, они обязаны вам это предоставить!
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #6 : 13.05.2015, 09:56:20 »

Цитировать
В базе сайта хранятся секретные данные конторы, размещены файлы для платного (оч.дорогого) распространения.
Хостинга виртуальный, а нужно брать VPS/VDS
Сканер айболит в помошь
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #7 : 13.05.2015, 10:43:16 »

уж большенкий, про шелы то знаешь не по наслышкам, что стоит из расширений и какая версия движка была на дату файла, ну и бубен в руки и пляски с обновлением уязвимостей и поиском остальных файлов, ну и если соседние сайты на хосте есть без разграничений прав то пляски будут долгими
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6458



« Ответ #8 : 13.05.2015, 11:46:02 »

Дата файла старше сайта, из сторонних расширений:
- табы от Elle, мною же наполовину и написанные
- акиба бакуп - обнова регулярна
- эйсимайлинг - обнова регулярна
- все остальное самопис
Версия J на момент создания сайта 3.3.6, обнова регулярна.
Доступ к хосту ограничен, запросил его, как будет - айболитом пройдусь.

Главная печаль: хост - проходной двор, доступ к нему имеют 100500 фрилансеров, работающих на контору, у всех одинаковые админские права, ибо админ хоста - {далее_много_межнационального_фольклора}
Записан
aspidy
Живу я здесь
******

Репутация: +55/-1
Offline Offline

Пол: Мужской
Сообщений: 1072


Миграция joomla 1.0-1.5-2.5


« Ответ #9 : 13.05.2015, 12:18:46 »

Цитировать
Главная печаль: хост - проходной двор, доступ к нему имеют 100500 фрилансеров, работающих на контору, у всех одинаковые админские права, ибо админ хоста - {далее_много_межнационального_фольклора}
Это действительно печаль, могут "хакнуть" одновременно несколько сайтов на хосте, но судя по коду дверь рубили адресно. Ищите дальше, могут быть еще "сюрпризы" Лазейка при загрузке. Грузят как медиа, затем меняют на php
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6458



« Ответ #10 : 13.05.2015, 12:25:27 »

С фронта ничего нельзя загрузить, в части для зарегенных - только скачка.

Айболит уложил сервак, выдал 504. fsl.php выдал лог на 30 страниц, приложил

* log.pdf (380.24 Кб - загружено 19 раз.)
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6458



« Ответ #11 : 13.05.2015, 12:27:40 »

Сколько будет стоить проверка/лечение знающим спецом?
Записан
aspidy
Живу я здесь
******

Репутация: +55/-1
Offline Offline

Пол: Мужской
Сообщений: 1072


Миграция joomla 1.0-1.5-2.5


« Ответ #12 : 13.05.2015, 12:38:29 »

Снимите логи с сервера, может быть они что то дадут. Смотрите обращение к этому файлу.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #13 : 13.05.2015, 12:40:49 »

Сколько будет стоить проверка/лечение знающим спецом?
Обращайтесь.
От 1000, в зависимости от количества установленных расширений.
п.с.
Советую поставить сканер создания/изменения файлов.
« Последнее редактирование: 13.05.2015, 12:45:30 от draff » Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #14 : 13.05.2015, 12:45:45 »

 Smileyза 100 уе возьмусь
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #15 : 13.05.2015, 14:00:26 »

Сколько будет стоить проверка/лечение знающим спецом?
Если вопрос лечения сайта от вирусов не решился у вас, пишите мне в аську, по цене конечно же подороже у меня чем у draff, но опыт в подобных вопросах приличный!
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6458



« Ответ #16 : 13.05.2015, 15:19:17 »

Снял свежий бекап, развернул локально. Айболит выда следующее:
http://www.floomby.ru/s2/yUmT78/full - fls удалил, файл от nonumber оригинальный, скрипты оригинальные от "рассылочника"
http://www.floomby.ru/s2/vUmT75/full - перезалил с дистриба J, хотя файлы не отличаются
http://www.floomby.ru/s2/JUmTPq/full - тоже перезалил, вроде все оригинальное
В списке "Скрипт использует код, который часто встречается во вредоносных скриптах" 22 позиции, но там все оригинальные файлы, на всякий пожарный перезалил с дистриба J
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #17 : 14.05.2015, 12:38:43 »

@AlekVolsk
соседние сайты есть?
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet