Форум русской поддержки Joomla!® CMS
11.12.2016, 08:14:38 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Как найти дыру?

 (Прочитано 899 раз)
0 Пользователей и 1 Гость смотрят эту тему.
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 473



« : 26.12.2015, 22:22:35 »

Добрый день, обнаружил сегодня случайно, что на сайте вирус. Начал смотреть логи увидел такую вот фигню, все от нее произошло. ВРоде что-то похожее на ветках читал, но все не то.
Залили виурсный файл trojan template.php ну и далее пошло
Показать текстовый блок
Joomla 3.4.7 была. Помогите разжевать? НА хостинге 9 сайтов. Все полетели или только этот? Мои действия восстановить сайт от 23 .12 , базу данных не знаю надо ли трогать, и далее поменять пароли все установить AI-Bolit но как такую атаку избежать? Это же тихий ужас.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #1 : 26.12.2015, 22:30:03 »

А что в логах. Проверить файлы, к которым запрос POST
/libraries/cms/model84.php Вряд ли файл Joomla. А так да- проверять все
Хостинг - VPS/VDS и для каждого сайта свою пользователь, с определением open_basedir
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #2 : 26.12.2015, 22:33:36 »

так вот тут же обсуждали уже что делать http://joomlaforum.ru/index.php/topic,321787.msg1606860.html#msg1606860
« Последнее редактирование: 26.12.2015, 23:18:09 от AlexeyGal » Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #3 : 27.12.2015, 00:07:38 »

Ээ.. ТС же говорит что стоит 3.4.7
Или врёт?
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #4 : 27.12.2015, 00:08:39 »

Залили виурсный файл trojan template.php ну и далее пошло
Секундочку.
А его то кто\как залил?
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #5 : 27.12.2015, 00:10:50 »

Если поставил обновление 3.4.7 но утечка паролей либо файлы залиты- были ДО обновления, то могли любые трояны уже занести, хоть последняя версия Joomla.
К примеру утечка ftp пароля или пароли от базы данных- вообще не влияют на версию, могут просто зайти под админом и засунуть любые трояны.
Надо не только чистить файлы, но и все пароли обязательно сменить.
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #6 : 27.12.2015, 00:12:19 »

Ну это понятно, 3.4.7 когда была залита?
Еще вариант - что просто ТС сам себе шелл поставил.
Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 473



« Ответ #7 : 27.12.2015, 00:25:03 »

Цитировать
Ну это понятно, 3.4.7 когда была залита?
Еще вариант - что просто ТС сам себе шелл поставил.
Еще вариант - что просто ТС сам себе шелл поставил.
Да вот в том то и дело что не устанавливал стороннего. Обновление было Joomla 22.12.2015 в 22.07, кроме этого устанавливал (обновлял ) шаблон от yootheme (с оф.сайта) и пару картинок для категорий JoomShopping (вот сча я их и проверяю на наличие различных маркеров). Вариант что сайт старый был 2.5. версия, возможно какой то старый плагин, сейчас попробую все проверить. Для меня непонятно как мне залили это троян  template.php , как это вообще возможно?
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #8 : 27.12.2015, 00:27:56 »

Обновление было Joomla 22.12.2015 в 22.07
6 дней много, особенно, учитывая что уязвимость была 0day - то есть начала эксплуатироваться до патча (с 12 числа в буржунете).
В рунете, судя по сообщениям, дырка начала эксплуатироваться через 4-6 часов после патча, а через 1-2 дня был уже пик.
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #9 : 27.12.2015, 00:31:32 »

Атаки с заливанием троянов пошли 14.12.2015 (с 12-го числа в буржунете), уже 15.12.2015 - атаки стали сложнее и разнообразнее, если Вы обновляли 22.12.2015 то это значит - все что угодно могли залить за 8 дней.
Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!
И иметь возможность обновить, закрыв дыры.
« Последнее редактирование: 27.12.2015, 00:36:35 от AlexeyGal » Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #10 : 27.12.2015, 00:34:09 »

Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!
Такие дырки бывают раз в много лет.
era же все таки был заставлен сделать рассылку, надо было лишь прочитать )
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #11 : 27.12.2015, 00:43:21 »

Такие дырки бывают раз в много лет.

На почту приходит много бесполезного Спама и одно письмо о выходе обновлений для сайта, закрывающее дыры- вполне может сэкономить много нервов и времени.
Хорошо если 1 сайт, а представьте, что на Joomla вот у меня 17 сайтов, и все одновременно заразятся- мне надо кучу времени убить, уделив каждому время.

Предлагаю внести в платформу joomla- модуль обязательного уведомления на почту администратора, о выходе Обновлений.
Типа галочки "Уведомлять о выходе важных обновлений платформы" - если на Joomla миллионы сайтов- это реальная экономия Миллионов человеко-часов и несколько цистерн валерьянки!  
« Последнее редактирование: 27.12.2015, 01:32:16 от AlexeyGal » Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #12 : 27.12.2015, 00:45:20 »

Будет в 3,5 уже вроде.
Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 473



« Ответ #13 : 27.12.2015, 00:48:24 »

Так я все же теперь не могу понять, что делать?Бекапнуть все сайты от 12.12.2015?И базы данных?Одним словом все бекапнуть? Либо только один сайт?
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #14 : 27.12.2015, 01:36:03 »

Если троянов нет в сторонних расширениях, то Вы правильно поняли- атаки начались с 12.12.2015. Сначала сменить ВСЕ пароли, а затем залить бекап.
Можно воспользоваться программой сравнения файлов winmerge и сравнением существующий сайт с бекапом до 12.12.2015- и вычистить левые файлы.
« Последнее редактирование: 27.12.2015, 02:22:12 от AlexeyGal » Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 473



« Ответ #15 : 27.12.2015, 04:34:08 »

Обнаружил в одном изображении странный код, посреди-это нормально? Может отсюда и пошло заражение? или это параноя у меня?
Показать текстовый блок
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #16 : 27.12.2015, 14:03:13 »

Нет ни чего странного это код формирует photoshop
По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #17 : 27.12.2015, 15:25:13 »

К примеру утечка ftp пароля или пароли от базы данных- вообще не влияют на версию, могут просто зайти под админом и засунуть любые трояны.
Надо не только чистить файлы, но и все пароли обязательно сменить.
Даже если есть доступ к БД, как он расшифрует пароль админа ? И где гарантия что нет скрипта, залитого хакером, перехватывающего измененный пароль админа.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #18 : 27.12.2015, 19:31:56 »

Даже если есть доступ к БД, как он расшифрует пароль админа ?
Вас научить?

И как вариант, можно использовать просто админскую сессию которая хранится в БД, и пройти в админку...
Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 473



« Ответ #19 : 27.12.2015, 22:36:03 »

Цитировать
По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.

Да похоже на правду. Проверил Ai-bolit очень много чего показал, сейчас проверяю версии дампа более ранние от  07.12 и т.д.
По теме читал этот топик http://joomlaforum.ru/index.php/topic,246899.660.html , там настоятельно рекомендуется отключать сайт на период выполнения работ (либо как только был обнаружен вредоносный код типо шел, бекдоры).
Из всего, что я прочел за эти 2 дня, попробую сделать вывод:
 я понял что у меня был шел через который был залит вирус троян template.php (просто запросом
Показать текстовый блок
 и множество других файлов. Лечить надо все, всей сайты на хостинге. Устанавливать надо себе скрипт  по защите для хостинга типо ai-bolit (так рекомендовал хостинг), следить за всеми обновлениями Joomla (чуть ли не с разбежкой до часа). Все левые сайты которые были на хостинге (которые набирали себе возраст  и были версии 2.5.28) я скосил, вернусь к ним позже, пока надо спасть то, что кормит. Обновил все расширения, поменял логи пароли админки, пользователей бд, через admin tools проверил права папок и поменял пароли htaccess.  Также теперь в файлообменике надо как то разграничить доступы по сайтам, чтобы не расползались версии (тут немного не понял как). Ну и последнее -раз уже точно есть вирусный код-надо заказывать работу специалиста, т.к. тут однозначно нужен опыт, тут нужен именно лекарь). Вроде все правильно написал либо еще что-то?
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #20 : 27.12.2015, 22:43:39 »

Вроде все правильно написал либо еще что-то?
используй генератор паролей
« Последнее редактирование: 01.03.2016, 16:34:10 от AlexeyGal » Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #21 : 28.12.2015, 00:28:29 »

Да похоже на правду. Проверил Ai-bolit очень много чего показал, сейчас проверяю версии дампа более ранние от  07.12 и т.д.
По теме читал этот топик http://joomlaforum.ru/index.php/topic,246899.660.html , там настоятельно рекомендуется отключать сайт на период выполнения работ (либо как только был обнаружен вредоносный код типо шел, бекдоры).
Из всего, что я прочел за эти 2 дня, попробую сделать вывод:
 я понял что у меня был шел через который был залит вирус троян template.php (просто запросом
Показать текстовый блок
  и множество других файлов. Лечить надо все, всей сайты на хостинге. Устанавливать надо себе скрипт  по защите для хостинга типо ai-bolit (так рекомендовал хостинг), следить за всеми обновлениями Joomla (чуть ли не с разбежкой до часа). Все левые сайты которые были на хостинге (которые набирали себе возраст  и были версии 2.5.28) я скосил, вернусь к ним позже, пока надо спасть то, что кормит. Обновил все расширения, поменял логи пароли админки, пользователей бд, через admin tools проверил права папок и поменял пароли htaccess.  Также теперь в файлообменике надо как то разграничить доступы по сайтам, чтобы не расползались версии (тут немного не понял как). Ну и последнее -раз уже точно есть вирусный код-надо заказывать работу специалиста, т.к. тут однозначно нужен опыт, тут нужен именно лекарь). Вроде все правильно написал либо еще что-то?
Да все верно.
Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 473



« Ответ #22 : 29.12.2015, 01:05:23 »

Цитировать
Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!
Это где такой плагин найти?
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #23 : 29.12.2015, 03:34:19 »

Это где такой плагин найти?

http://extensions.joomla.org/extensions/extension/access-a-security/site-security/cupdater
Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 473



« Ответ #24 : 29.12.2015, 23:03:29 »

Цитировать
http://extensions.joomla.org/extensions/extension/access-a-security/site-security/cupdater
Спасибо как закончат цементацию сайта сразу установлю
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet