Форум русской поддержки Joomla!® CMS
03.12.2016, 00:10:48 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взламывают сайт

 (Прочитано 587 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« : 22.07.2015, 22:22:14 »

Ахтунг. Взламывают магазин. На почту сайта приходят сотни писем якобы с отзывами о товарах либо обратным звонком. Видно что происходит подбор различных комбинаций имен пользователей и паролей. Хостер мне сразу отписал, что с сайта происходит рассылка спама и  заблокировал возможность использования sendmail (возможность отправки почты без smtp-авторизации). После этого письма продолжают пачками приходить. Я отключил модуль обратного звонка, но это не помогает. По-прежнему приходят сотни писем такого содержания

Клиент ../../../../../../../../../../../../../../../../../../../../../etc/passwd 22/07/2015 в 18:47 заказал звонок на со страницы "О магазине". Телефон для связи: 1002007
Клиент ../etc/passwd 22/07/2015 в 18:47 заказал звонок на со страницы "Доставка". Телефон для связи: 9856907

Подскажите что делать, что бы остановить это безобразие
« Последнее редактирование: 22.07.2015, 22:36:07 от Lepiloff » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #1 : 22.07.2015, 22:26:13 »

Это попытка взлома, есть некие техники которые позволяют результаты получать при отправке письма... а возможно уже и взломали, в данном примере попытка произвести локальное чтения или инклуд
Записан
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« Ответ #2 : 22.07.2015, 22:36:11 »

хостинг сделал проверк на вирусы, ответ отрицательный. Что мне сейчас делать?
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2649


step by step


« Ответ #3 : 22.07.2015, 22:43:32 »

а что за форма? http://php.net/manual/ru/security.filesystem.nullbytes.php
Записан
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« Ответ #4 : 22.07.2015, 22:52:52 »

Вы имеете ввиду форму обратной связи? Не совсем понял вопрос.
« Последнее редактирование: 22.07.2015, 22:59:20 от Lepiloff » Записан
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« Ответ #5 : 22.07.2015, 23:37:06 »

Полностью удалил модуль обратного звонка и закрыл воможность оставлять отзывы незарегистированным пользователям. Непомогло, письма продолжают приходить. Как такое возможно если компонент для отправки отсутствует.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2649


step by step


« Ответ #6 : 23.07.2015, 08:27:39 »

Выложи заголовок письма. А то что непонятно у тебя. ))
Как узнать откуда рассылается спам ?
Записан
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« Ответ #7 : 23.07.2015, 11:21:33 »

Сегодня с хостинга пришло письмо о превышении нагрузки на сервер. После этого полностью снес модуль обратного звонка, установил дополнительный пароль на админку, сменил пароль почты сайта, установил защищенный протокол почты в настройках Joomla. Пока вроде спокойно. В лог-файлах покопался, но никаких подозрительных скриптов не нашел, хотя я в этом не силен. В общем, что это было не понятно.

заголовок соответствует содержанию, например:

Клиент admin") oR updatexml(1,concat(0x5e,(0x574352575653)),0) oR (" 22/07/2015 в 18:53 заказал звонок на со страницы "Купить велокомпьютер Polar V650 HR в Минске". Телефон для связи: 6103659
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #8 : 23.07.2015, 11:48:48 »

CAPTCHA была установлена на модуле обратного звонка?
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2649


step by step


« Ответ #9 : 23.07.2015, 13:00:25 »

заголовок соответствует содержанию, например:

Клиент admin") oR updatexml(1,concat(0x5e,(0x574352575653)),0) oR (" 22/07/2015 в 18:53 заказал звонок на со страницы "Купить велокомпьютер Polar V650 HR в Минске". Телефон для связи: 6103659
Я про заголовок/header RFC
Записан
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« Ответ #10 : 23.07.2015, 13:31:02 »

CAPTCHA была установлена на модуле обратного звонка?
Поначалу не было. После первых писем поставил, но безрезультатно.
Записан
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« Ответ #11 : 23.07.2015, 13:33:51 »

draff, где смотреть? загадками говоришь, не понимаю я))
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2649


step by step


« Ответ #12 : 23.07.2015, 14:25:48 »

https://www.spamcop.net/fom-serve/cache/19.html
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #13 : 25.07.2015, 05:14:07 »

Клиент admin") oR updatexml(1,concat(0x5e,(0x574352575653)),0) oR (" 22/07/2015 в 18:53 заказал звонок на со страницы "Купить велокомпьютер Polar V650 HR в Минске". Телефон для связи: 6103659
Если это действительно так, то это мало известная или относительно известная техника хакинга, раз уж заговорили об этом, то вам нужно свой модуль привести в порядок, детали ищите в Google...
Это если при условие того, что ваш модуль взаимодействует с БД...
Записан
Lepiloff
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 186


« Ответ #14 : 27.07.2015, 21:44:49 »

Модуль просто удалил, пока полет нормальный
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet