Форум русской поддержки Joomla!® CMS
04.12.2016, 08:00:47 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Два проникновения на сайт с обновленной Joomla 3.4.8

 (Прочитано 2256 раз)
0 Пользователей и 1 Гость смотрят эту тему.
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« : 10.01.2016, 06:53:46 »

Пишу подробно, чтобы лишних вопросов не было.

Дано:
  • Сайту около 2 лет
  • Joomla обновила сразу, как узнала про уязвимость
  • Шаблон - самопис
  • Из сторонних компонентов стоят PhocaGallery и Xmap - оба скачаны с официальных сайтов, своевременно обновляются
  • Сторонних модулей и плагинов нет вообще ни одного. Мелочи вроде кнопки "вверх", замены генератора и т. п. делались своими силами - пару лет назад пыталась освоить php и JavaScript, так и не выучила, но на мелочи моего базового набора навыков вполне хватило.
  • До декабря взломов не замечала, было несколько попыток брута безуспешных
  • Пароли и хостинга и сайта с БД сложные, с буквами разного регистра и спецсимволами, массово меняю примерно раз в месяц
  • На сайте нет рекламы,  сапы и прочего - проект по истории, некоммерческий
  • Админка дополнительно запаролена средствами хостинга
  • Доступ по ftp отключен года полтора назад под влиянием паранойи.


Через несколько дней после обновления Joomla (28 декабря) заметила, что сайт стал адски долго загружаться. При том, что он полностью оптимизирован для быстрой загрузки - сжаты скрипты, своя сборка мотулз, оптимизированы изображения, HTML без ошибок, в htaccess прописан кэш контроль, гзип и т. п. В общем, обычно сайт просто летает, а тут на загрузку страницы уходило около минуты. Написала хостеру, думала, что хостинг тупит. Хостер ответил, что у меня взлом.
Взлом был один в один как описывалось на хакер.ру в статье про уязвимость Joomla. Я так и поняла, что ею успели воспользоваться до того, как обновила движок.
Что было сделано: прогнала ай-болитом, удалила все, что он нашел. Вручную проверила набор файлов Joomla, который был указан в качестве приоритетных при использовании этой уязвимости - удалила из них вражеский код, дополнительно прошлась поиском по файлам на предмет нахождения бейз64 и прочих радостей, выпилила все найденное. Дополнительно хостер прогнал каким-то своим софтом на предмет уязвимостей и левых кодов - все чисто было. Сменила все до единого пароли, сделала бэкап и успокоилась.

И вот сутки назад мне пришло письмо от гугла:
"Мы обнаружили, что Ваш сайт был взломан и на нем разместили вредоносный контент. Посетители перенаправляются на страницы с нерелевантным или опасным содержанием, что приводит к ухудшению результатов поиска. В связи с этим были вручную приняты определенные меры. Пользователи видят предупреждение о наличии взломанного контента на сайте."

Полезла в cpanel, а там помимо моих обычных файлов и папок оказалось 400 мб хтмл-страниц левых.


Их удалила, была еще папка левая с такой же начинкой - ее тоже выпилила, удалила все левые скрипты, какие нашла. В логах просмотрела ошибки и пост-запросы. Обнаружила, что обращения пост были к стандартным компонентам - баннерс и веблинкс. Снесла их немедленно. Плюс в папках Joomla были размещены скрипты с вражеской начинкой. Там бейз64 поиском не находился, но присутствовал в таком виде "ibiaisie6i4i_dieicoide". Их тоже снесла. Перепроверила и роботом Google - не находит ничего. Опять сменила пароли полностью, сделала бэкап (его дополнительно проверила антивирем и XSS и SQL Injection сканером - ничего не нашлось).

Собственно, после этого пока не было ни левых модификаций файлов, ни появления незапланированной начинки в цпанели, но мне неспокойно. В error log сегодня пачка строк такого вида "Trying to get property of non-object in /home/....../public_html/components/com_search/controller.php on line 89". Это опять лезут?

Кто-то сталкивался с подобным? Где еще может быть спрятана зараза? Первый взлом и второй связаны? - То есть, я после первого взлома что-то недочистила или это два разных и по разным причинам произошедших?
Буду очень признательна, если кто-то сможет подсказать что-то дельное.
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #1 : 10.01.2016, 07:33:08 »

Удивительно хорошо написанный пост.
По сабжу - скорее всего недочистили.

А бэкапы до заражения имеются?
Если да - то можно сравнить на наличие файлов, которых не было (ftp в первую очередь).
Сайт на учетке один?
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #2 : 10.01.2016, 08:22:53 »

Удивительно хорошо написанный пост.
По сабжу - скорее всего недочистили.

А бэкапы до заражения имеются?
Если да - то можно сравнить на наличие файлов, которых не было (ftp в первую очередь).
Сайт на учетке один?
Сайт на учетке один, да.
Бэкапы старые храню около полугода, но думала, что они не сгодятся для сравнений, так как версии Joomla там более ранние.
Сейчас попробую сравнить с ними, благодарю.
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #3 : 10.01.2016, 09:05:14 »

Сравнением со старым бэкапом нашлись еще вражеские файлы. Список вот - мало ли кому-то пригодится:

/components/com_users/models/license.php
/libraries/fof/template/test.php
/media/plg_quickicon_joomlaupdate/js/general.php
/plugins/authentication/user.php
/plugins/finder/view.php

Все они содержали eval.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #4 : 10.01.2016, 11:04:29 »

Не дочистили. Надо искать еще, что осталось.
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #5 : 10.01.2016, 11:23:14 »

Не дочистили. Надо искать еще, что осталось.

Что нашла после первого поста темы - расписала выше. Остальные файлы идентичны чистым - ни лишних, ни измененных больше не нашлось. Сравнивала со старым бэкапом и с чистой Joomla программой winmerge. Пока не вижу, куда дальше копать, и надо ли. Сменила пароли, сделала бэкап, посмотрим.
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #6 : 10.01.2016, 11:40:51 »

Явился, видимо, взломщик - в последних посетителях с одного айпи планомерные обходы страниц вражеских (ныне удаленных).
Лезет кроме этого в кэш файлы - это опасно? У папки с кэшем права 755

Записан
vipiusss
Профи
********

Репутация: +260/-8
Offline Offline

Пол: Мужской
Сообщений: 4570


Skype: renor_


« Ответ #7 : 10.01.2016, 11:49:44 »

видимо что-то ещё не удалили.
обычно робот ищет свои уязвимые места, то что сделал ранее и ими манипулирует.
а обнова тут совершенно не при чём.
видно "***коду" время пришло.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2650


step by step


« Ответ #8 : 10.01.2016, 11:50:49 »

В папку /cache, /tmp, /images , /administrator/cache
.htaccess с запретом на выполнение скриптов
Записан
vipiusss
Профи
********

Репутация: +260/-8
Offline Offline

Пол: Мужской
Сообщений: 4570


Skype: renor_


« Ответ #9 : 10.01.2016, 11:52:25 »

В папку /cache, /tmp, /images , /administrator/cache
.htaccess с запретом на выполнение скриптов
значит не скрипты исполняются, а как вы вверху указали,php файлы, а в них уже-что угодно.
и заметьте: раз у вас уже кешом ***код правит, вам нужно реально этим вопросом заняться.
на форуме есть много толковых людей по "чистке".Советую обратиться.
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #10 : 10.01.2016, 11:59:39 »

В папку /cache, /tmp, /images , /administrator/cache
.htaccess с запретом на выполнение скриптов

Спасибо, в папки с кэшем закинула, а в остальных ранее ставила .htaccess. Код этот, я правильно понимаю?

Код:
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #11 : 10.01.2016, 12:40:19 »

Может больше нет ничего? Он 4 раза по кругу протыкался. Сначала GET запросы к своим файлам - везде 404 получил, потом POST запросы всякие - тоже чисто там, куда совался.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #12 : 10.01.2016, 12:55:10 »

Спасибо, в папки с кэшем закинула, а в остальных ранее ставила .htaccess. Код этот, я правильно понимаю?

Код:
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
Рекомендую запреты выстовлять из корневого .htaccess'a на каждую папку и немного в другой форме, затем все htaccess и index.* заменить на права 0444, если нет необходимости править шаблоны то там тоже все файлы на 0444, на тот случай если будет доступ в админку не смогли перезалиться, затем в корневой папки выставить права на 0555, open_base_dir настроить вплоть до public_html, пройдитесь поиском mtime и ctime, к примеру за последние два месяца, также можно сделать хешь суммы той версии (с офф источника) и вашей, и сравнить, айболитом нужно сканить в пороноидальном режиме по всем файлам, также можно пройтись по БД, на наличие сторонних скриптов.

Может больше нет ничего? Он 4 раза по кругу протыкался. Сначала GET запросы к своим файлам - везде 404 получил, потом POST запросы всякие - тоже чисто там, куда совался.
Ответам хидеров, не стоит доверять, можно бегдор так сделать, что вы будите видеть в логах 404 или другую ошибку, а по факту будет выполняться бегдор.
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #13 : 10.01.2016, 13:53:06 »

Рекомендую запреты выстовлять ....
Ответам хидеров, не стоит доверять, можно бегдор так сделать, что вы будите видеть в логах 404 или другую ошибку, а по факту будет выполняться бегдор.


Спасибо Вам огромное. Большую часть рекомендаций мне сделать не по силам (не умею) - попросила хостера помочь, скопировала Ваш пост - вот разбирается.
По хидерам - я вручную проверила файлы, к которым он обращался. Выкидывало на 404 страницу меня тоже. Поэтому здесь пока не знаю.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #14 : 10.01.2016, 13:55:12 »

Спасибо Вам огромное. Большую часть рекомендаций мне сделать не по силам (не умею) - попросила хостера помочь, скопировала Ваш пост - вот разбирается.
По хидерам - я вручную проверила файлы, к которым он обращался. Выкидывало на 404 страницу меня тоже. Поэтому здесь пока не знаю.
вы смотрите по наличию файла, а через веб, я вам могу пример показать как это устроено, но заморачиваться надо...

P.s: простейший пример

Цитировать
<?php
header("HTTP/1.0 404 Not Found");

if(isset($_COOKIES['id']='info')){
phpinfo();
}

?>
« Последнее редактирование: 10.01.2016, 14:00:37 от winstrool » Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #15 : 10.01.2016, 14:10:18 »

вы смотрите по наличию файла
Ну вот он такое в логах оставил

Код:
61.100.180.31 - - [10/Jan/2016:09:38:16 +0300] "POST /plugins/content/pagebreak/javascript.php HTTP/1.0" 404 1594 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
61.100.180.31 - - [10/Jan/2016:09:38:17 +0300] "POST /modules/mod_languages/config.php HTTP/1.0" 404 1594 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
61.100.180.31 - - [10/Jan/2016:09:38:19 +0300] "POST /modules/mod_footer/xml.php HTTP/1.0" 404 1594

Правда, это лишь кусок, на деле к большему количеству файлов обращался. Я прошлась по путям из лога - файлов нет, к которым он стремился.

Ай-болит в параноидальном режиме вражескими пометил только htaccessы, которые я сама насоздавала и в начинке которых уверена.
Записан
vipiusss
Профи
********

Репутация: +260/-8
Offline Offline

Пол: Мужской
Сообщений: 4570


Skype: renor_


« Ответ #16 : 10.01.2016, 17:10:29 »

/plugins/content/pagebreak/javascript.php
это у вас.
/modules/mod_languages/config.php
а от сюда идёт.

//

это не движка вообще файлы.

///
дайте код спойлелом, всем удобнее будет
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #17 : 10.01.2016, 17:30:36 »


это не движка вообще файлы.

дайте код спойлелом, всем удобнее будет

Я знаю, что это не файлы движка, а зараза - поэтому и удалила их, о чем писала выше. В полном коде не вижу смысла, потому что все файлы, которые там фигурируют, были удалены ДО сегодняшнего прихода взломщика (по ним всем 404). Остальной код - страницы моего сайта реальные. Ну и главная причина, полный код - это 12 мб текста.

Взломщик наоставлял ссылок на свои подвиги в рамках моего сайта на других сайтах (судя по всему, тоже взломанных). В Google торчит катастрофа эта. Я волнуюсь очень. Сайт до взлома был в топах по своим запросам, а сейчас неизвестно, чего ждать...

Пока новых попыток внедрения не было и фалы не изменялись. Хостер тоже ничего не нашел - говорит, что сайт чистый.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #18 : 10.01.2016, 17:51:39 »

Если уверены что сайт чист, сделайте md5hash суммы файлов и переодически сверяйте их, там уже точно будет видно в каких файлах происходили изменения, и не придется все потом перелопачивать
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #19 : 10.01.2016, 19:06:05 »

Если уверены что сайт чист, сделайте md5hash суммы файлов и переодически сверяйте их
Для этих целей установила Eyesite. Спасибо.
Записан
Old
Новичок
*

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 5



« Ответ #20 : 12.01.2016, 15:57:35 »

Абсолютно тоже самое, и дата примерно та же, компонентов которые установлены у вас нет, но вот обнова была установлена спустя дней 10 после нахождения 0-дей, сайт был заражен до этого, за 2-3 дня. Я бы проверил на вашем месте еще почту, т.к. у меня идет спам, по мимо точно тех же страниц, и точно такого-же заражения. Спам идет через php скрипты, в которые встроен код, если ssh есть к серверу, то можно посмотреть очередь сообщений, и если есть подозрительные, в теле письма будет указано, какой из скриптов инициирует отправку.

Касаемо того, как искать файлы, большая часть из тех, в которые код добавлен, находятся через фар или тотал командер, если вбить в поиск по маске *.*php и в самом поиске вбить просто без всего, пробелов 15-20. Т.к. сам код искусственно смещается сильно вправо, для того, чтобы при открытии в текстовом редакторе вы его визуально не увидели, если бы не стали скролить вправо. Текст там в бейс64, как верно замечено, и по нему искать не получится - он разный, но вот такой способ позволяет большую часть найти, из-за характерного смещения. В моем случае было порядка 45-50 файлов со встроенным кодом, не считая добавленных, которых в движке нет.

Самих же страничек у меня нагенерило 30 тысяч за примерно сутки-полутора, все на китайском, на момент их нахождения и удаления. Еще был залит скрипт в корень, в котором заботливо была встроена функция загрузки файла в ручном режиме, т.е. поле обзора и кнопочка "ОК".

Теперь о плохом - первое заражение, как у вас, но без загрузки файлов, у меня было в тех же числах. Я все почистил, как я думал, но через 10 дней, накрыло второй волной, и к спаму уже добавились те же файлы. Значит что-то было не удалено, и где-то куски остались. Файлы генерятся рандомно, и пихает он их в разные места, поэтому указывать их тут бессмысленно.

Еще момент, который может чем-то помочь, 2 шелла php-шных у меня нашло просто антивирусом виндовым, когда перекинул все файлы на локалку, проверял comodo, он среагировал.
Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #21 : 13.01.2016, 08:52:09 »

Я бы проверил на вашем месте еще почту....

Касаемо того, как искать файлы, большая часть из тех, в которые код добавлен, находятся через фар или тотал командер, если вбить в поиск по маске *.*php и в самом поиске вбить просто без всего, пробелов 15-20.........
Текст там в бейс64, как верно замечено, и по нему искать не получится - он разный...........

Спасибо за подсказки. С поиском по маске я не додумалась - это бы сэкономило кучу времени. Проверила один из больных бэкапов - находит заразу эту, на живом сайте в данный момент таких файлов не найдено.

По бейс64 - я у себя находила вот такие его вариации:

Код:
dtce6os_ba4p
d4esboa_tcp6
abs_6pc4odte
t4sdapb6oce_

С почтой сложнее. Не могу посмотреть, так как с хостером не нашли взаимопонимания - он просто вырубил почту мне после взлома, не предупредив, логи за день взлома, к сожалению, тоже недоступны, как и почтовые. Шаред хостинг. Готовлюсь из-за этого к переезду на VDS.

До сих пор вижу в логах, что пытается попасть к своим файлам удаленным взломщик. Ничего пока больше не нахожу, установленный eyesite тоже измененных файлов не находит (протестировала его - заливала, удаляла и меняла текст в файлах, чтобы проверить, заметит ли - он замечал).

Ну и из приятного - сегодня получила письмо от Google такое. Надеюсь, что эта беда позади, но пока неспокойно - проверяю несколько раз в день.



Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2650


step by step


« Ответ #22 : 13.01.2016, 09:12:02 »

Цитировать
сам код искусственно смещается сильно вправо, для того, чтобы при открытии в текстовом редакторе вы его визуально не увидели, если бы не стали скролить вправо.
NotePad++ Вкладка Вид-Перенос строк. И все строки будут переноситься и код весь будет видно
И советую проверять, к выше написанному, установленные плагины. И новых супер-админов.
p.s.
sitemap.xml в корне сайта хакер оставляет свой
Цитировать
Самих же страничек у меня нагенерило 30 тысяч за примерно сутки-полутора, все на китайском, на момент их нахождения и удаления.
И проверить в поисковиках свой сайт site:http://site.ru
« Последнее редактирование: 13.01.2016, 10:50:33 от draff » Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #23 : 13.01.2016, 09:44:46 »

Напрягли меня вот такого плана запросы

Код:
[12/Jan/2016:07:58:14 +0300] "GET / HTTP/1.0" 200 20087 "-" "GuzzleHttp/6.1.0 curl/7.29.0 PHP/5.6.14"
178.154.243.98
[12/Jan/2016:20:31:14 +0300] "GET / HTTP/1.0" 200 20226 "-" "GuzzleHttp/6.1.0 curl/7.29.0 PHP/5.6.14"
66.249.69.103
[13/Jan/2016:07:53:14 +0300] "GET / HTTP/1.0" 200 20262 "-" "GuzzleHttp/6.1.0 curl/7.29.0 PHP/5.6.14"
66.249.75.86

Запросы выдрала поиском по аксеслогу. Может паранойя уже.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #24 : 13.01.2016, 14:27:47 »

Если напрягают заблокируйте их
Записан
Old
Новичок
*

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 5



« Ответ #25 : 13.01.2016, 16:35:49 »

Код:
dtce6os_ba4p
d4esboa_tcp6
abs_6pc4odte
t4sdapb6oce_

У меня по этому ничего не находит на зараженном бэкапе, оно генерится рандомно, как и добавляемые файлы, как и места, куда они добавляются. Метод с пробелами, кстати, тоже не сто процентный, у меня было 2-3 файла, у которых код были выстроен лесенкой, чтобы нормально не искаться таким образом. Но 95% так находит точно.

Касаемо проверки гуглом, он на самом деле ничего толком не проверяет, у меня ни Яндекс, ни Google, ни любой другой онлайн антивирус ничего не нашли, хотя уже было 50+ зараженных файлов и шел спам. Все, на что среагировал Google у вас, это левые странички в огромном кол-ве, которые попали в индекс похоже, кроме этого толку от него нет, так что не особо полагайтесь.

А какой у вас шаредхостинг? У меня просто впс-ка, и была мысль, что возможно через какую-то дырку там, хотя другие сайты не заражены были, на других движках, а тут вот оно как. Название можете не говорить, если не хотите, просто интересует крупный или мелкий хостер, чтобы для себя понять.

sitemap.xml в корне сайта хакер оставляет свойИ проверить в поисковиках свой сайт site:http://site.ru

Интересное замечание, спасибо, посмотрел, но в моем случае не было его

P.S. - За название компонента спасибо, поставим, посмотрим, как оно
« Последнее редактирование: 13.01.2016, 16:39:11 от Old » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #26 : 13.01.2016, 20:32:25 »

У меня по этому ничего не находит на зараженном бэкапе, оно генерится рандомно, как и добавляемые файлы, как и места, куда они добавляются. Метод с пробелами, кстати, тоже не сто процентный, у меня было 2-3 файла, у которых код были выстроен лесенкой, чтобы нормально не искаться таким образом. Но 95% так находит точно.
В таком случае ищите бегдоры по ctime и mtime, также сравнивайте хешь суммы вашей версии движка с оригинальной.

Касаемо проверки гуглом, он на самом деле ничего толком не проверяет, у меня ни Яндекс, ни Google, ни любой другой онлайн антивирус ничего не нашли, хотя уже было 50+ зараженных файлов и шел спам. Все, на что среагировал Google у вас, это левые странички в огромном кол-ве, которые попали в индекс похоже, кроме этого толку от него нет, так что не особо полагайтесь.

А с чего вы взяли что ПС имеет доступ к исходным кодам вашего сайта?, они могут анализировать только по доступным им критериям, это HTML, JS, CSS.
« Последнее редактирование: 13.01.2016, 20:35:44 от winstrool » Записан
zanoza5
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #27 : 13.01.2016, 22:27:17 »

У меня по этому ничего не находит на зараженном бэкапе....

А какой у вас шаредхостинг?



А Вы с чистым дистрибутивом и со своими старыми чистыми бэкапами пробовали сравнивать? Я конечно не уверена, что вычистила все, но после сверки и последних находок с ее помощью пока вроде бы тихо все.

У меня не было вирусов на сайте - только левого напихивали. Антивирусы ничего не находили.
По размерам хостинга ничего не скажу - не разбираюсь в этом. 6 лет им пользовалась - все устраивало. Складировала там на разные аккаунты сапосайты раньше. Не занимаюсь больше ***сайтами, а хостинг остался по привычке. Сайты там ломали у меня и раньше пару раз, но в целом я бы не сказала, что взломы много хлопот доставляли.

У меня кроме японских были и русские страницы левые, и англоязычные. Забыла добавить - взломщик удалял трижды мой robots.txt
Записан
Old
Новичок
*

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 5



« Ответ #28 : 14.01.2016, 15:49:17 »

Мы будем ставить все на чистую, и просто накатывать поверх бэкапы баз данных, вычищать не будем больше, старым добрым способом - удали все, поставь заново. Это не вирусы, в чистом виде, просто так детектил антивирус, как раз это "то самое" левое и было. Про robots.txt спасибо, но у нас вроде такой проблемы не было. А права стояли 644 на него (только чтение)?
По поводу страничек, возможно были на других языках, все 30к конечно я не смотрел, но те, что подались, были иероглифы.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #29 : 14.01.2016, 16:02:01 »

А права стояли 644 на него (только чтение)?
только чтение 0444 и то исправить можно средствами PHP, надо в дисаблед функции добавлять chmod, для исключения этой проблемы и то есть хитрости обойти это, по этому также нужен комплексный подход к политике прав...
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet