Форум русской поддержки Joomla!® CMS
09.12.2016, 17:38:48 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Подскажите что это и кто сталкивался с этим?

 (Прочитано 1262 раз)
0 Пользователей и 1 Гость смотрят эту тему.
CaHeK_pk
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 119


« : 16.01.2016, 00:12:59 »

Вообщем на сайт очень долго шла DDOS атака. хостер соотвественно временно сайт отключил, решил посмотреть от куда идут запросы... оказалось что со всего мира. решил посмотреть что происходит в самой дирректории сайта и увидел несколько файлов с "подозрительным содержимым".
три файла:
tmp/sfx.php
cache/jcache.php
components/com_xmap /viewstemplate.php
/cache
Показать текстовый блок
« Последнее редактирование: 16.01.2016, 00:17:00 от CaHeK_pk » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #1 : 16.01.2016, 00:32:23 »

это бегдоры, а то что запросы со всего мира идут, так это наврное у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС или слива на ПП, встречный вопрос вам в файле tmp/sfx.php случайно "Good day!" не написано?

как пример Яндекс выдает по такому файлу https://yandex.ru/search/?lr=54&msid=22897.4778.1452890623.4338&oprnd=5577373225&text=inurl%3Atmp%2Fsfx.php
и сам бегдор вызывается так:
Цитировать
sfx.php?fun=assert&id_polls=phpinfo();

Честно каюсь, я тогда был мал и глуп, ходил в первый класс и написал свою систему эксплуатации эксплоитов по списку доменов, которая по этому принципу заливала бегдор, а фраза "Good day!" означала что бегдор залился успешно, но щас я исправился и занимаюсь только хорошими вещами...

P.S: Сам файл, что вы вылажели это WSO шелл
« Последнее редактирование: 16.01.2016, 00:51:07 от winstrool » Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #2 : 16.01.2016, 00:55:31 »

да, WSO... кстати, видел WSO который содержал бекдор Azn под видом новой версии выложили индусы по моему Azn сливал данные доступа к самому WSO.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #3 : 16.01.2016, 00:57:13 »

да, WSO... кстати, видел WSO который содержал бекдор Azn под видом новой версии выложили индусы по моему Azn сливал данные доступа к самому WSO.
Да их дофига и больше модификаций и от русских есть, высылают на почту доступы, на гейт или просто банальный eval() со стучалкой...
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #4 : 16.01.2016, 01:00:48 »

да? от... чертяки неугомонные Azn даже заливать самим лень Azn
Записан
CaHeK_pk
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 119


« Ответ #5 : 16.01.2016, 01:45:58 »

это бегдоры, а то что запросы со всего мира идут, так это наврное у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС или слива на ПП, встречный вопрос вам в файле tmp/sfx.php случайно "Good day!" не написано?

как пример Яндекс выдает по такому файлу https://yandex.ru/search/?lr=54&msid=22897.4778.1452890623.4338&oprnd=5577373225&text=inurl%3Atmp%2Fsfx.php
и сам бегдор вызывается так:
Честно каюсь, я тогда был мал и глуп, ходил в первый класс и написал свою систему эксплуатации эксплоитов по списку доменов, которая по этому принципу заливала бегдор, а фраза "Good day!" означала что бегдор залился успешно, но щас я исправился и занимаюсь только хорошими вещами...

P.S: Сам файл, что вы вылажели это WSO шелл
нет:)куча символов кодировки. вроде вытащил заразу:)
кому может пригодится где могут находиться и имена файлов:

components/com_xmap/views.template.php
cache/jcache.php
tmp/sfx.php
libraries\joomla\filter\wrapper\settings.php
logs\error.php
modules\mod_stats\allstats.php
\templates\protostar\img\framework.php
templates\beez5\javascript\news.php
\templates\beez_20\language\license.php
templates\beez_20\html\framework.php

и вопрос на счет "у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС " что это? и я это вылечил или как лечить?Azn
буду благодарен за ответ:)
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #6 : 16.01.2016, 01:51:38 »

и я это вылечил или как лечить?Azn
Я вообще не знаю что вы там вылечили! понял только одно, что вас взломали, по логам посмотрите куда направлялся трафик с разных стран и что там в скрипте прописано было, скорее всего он оббусифецирован был.
Записан
CaHeK_pk
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 119


« Ответ #7 : 16.01.2016, 02:02:06 »

Я вообще не знаю что вы там вылечили!
удалил эти файлы в директории сайта
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1420


« Ответ #8 : 16.01.2016, 02:15:14 »

TDS может означать Traffic Distribution System.

Не забивайте себе голову. Вопросы безопасности давно известны. Просто следуйте им.

Если все-таки взломали, а бэкапа здорового нет, закажите чистку. Это не тривиальная задача - почистить сайт.

Цитировать
удалил эти файлы в директории сайта

Они снова появятся, если не устранена причина взлома.

Если у вас есть бэкап все-таки, то установите скрипт отслеживающий изменения в файлах. Периодически обращайтесь к нему, и он вам покажет заливку бэкдора. Просмотрите лог доступа после этого и вам станет все ясно.

Пример intrusion-detection скрипта https://github.com/lucanos/Tripwire

Он делает md5 хэш сумму всех файлов и скажет что и где изменилось.

Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #9 : 16.01.2016, 10:29:34 »

Не факт что все вытащили. Наблюдайте еще за сайтом.
Записан
CaHeK_pk
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 119


« Ответ #10 : 18.01.2016, 12:58:22 »

вирус больше не проявляется но постоянная атака уже замучала..
судя по логам боты постоянно пытаются зарегистрироваться. похоже на спам ботов, скажите как можно защититься от них? за два часа логи стали весить около 20мб..
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #11 : 18.01.2016, 13:07:42 »

вирус больше не проявляется но постоянная атака уже замучала..
судя по логам боты постоянно пытаются зарегистрироваться. похоже на спам ботов, скажите как можно защититься от них? за два часа логи стали весить около 20мб..
20mb это не размер для логов, на админку ограничение доступа http авторизацию gjcnfdmnt
Записан
CaHeK_pk
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 119


« Ответ #12 : 18.01.2016, 13:24:57 »

20mb это не размер для логов, на админку ограничение доступа http авторизацию gjcnfdmnt
на админку и регистрацию\вход на сайт поставил редирект на основную страницу сайта. все равно очень запросов идет, и нагрузка на сервер в арифметической прогрессии повышается. на форумах почитал про RSFirewall!, якобы он отсеивает "подозрительные" IP с запросами. как думаете стоит ли ставить?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #13 : 18.01.2016, 15:22:46 »

а у вас в логах постоянно один и тот же айпи проскакивает, чтобы его можно было классифицировать как "подозрительный"?
Записан
CaHeK_pk
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 119


« Ответ #14 : 18.01.2016, 15:36:52 »

а у вас в логах постоянно один и тот же айпи проскакивает, чтобы его можно было классифицировать как "подозрительный"?
айпишники постоянно разные, но у всех запросы идут на несуществующие страницы напр. (/index.php?option=com_easyblog&view=dashboard&layout=write) и обязательно прямые запросы на страницы регистрации
/index.php/component/users/?view=registration
/index.php?option=com_user&view=register
/index.php/component/user/?task=register
и так с каждого IP...
раньше было около 60+ запросов с одного IP, после установки редиректов и отключения возможности комментировать идет около 10 запрсов..
----upd--
небольшая часть логов
Показать текстовый блок
« Последнее редактирование: 18.01.2016, 15:40:44 от CaHeK_pk » Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #15 : 18.01.2016, 18:03:11 »

ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #16 : 18.01.2016, 18:27:04 »

ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?
www.mysite.ru 172.245.214.189 - - [18/Jan/2016:14:20:48 +0300] "GET /types/bored-piles.html HTTP/1.0" 200 33990 "http://www.mysite.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36 OPR/26.0.1656.60"
где 200 код ответа страници.


www.mysite.ru 172.245.214.189 - - [18/Jan/2016:14:21:04 +0300] "GET /index.php?option=com_easyblog&view=dashboard&layout=write HTTP/1.0" 301 230 "http://www.mysite.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36 OPR/26.0.1656.60"
где 301 код ответа страници
Записан
CaHeK_pk
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 119


« Ответ #17 : 18.01.2016, 19:23:47 »

ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?
самое интересное когда сайт по этому домену сделал одностраничный. (т.е. index.html с тектом без CMS) они все равно пытаются залезть на эти страницы хотя их и впомине нет..
а на /types/bored-piles.html и паре подобных страниц раньше можно было оставлять комментарии (их было большое количество, и все спам). сейчас закрыл доступ к написанию комментов. таким образом уменьшил запросы к SQL, раньше в день была нагрузка 7000 сек. сейчас 1сек.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #18 : 18.01.2016, 19:26:31 »

где 301 код ответа страници
тю... слепой стал совсем... я ж и смотрел даже, не увидел. я так думаю им надо 404 отдавать, видимо 301 не очень понимают...
« Последнее редактирование: 18.01.2016, 19:38:15 от dmitry_stas » Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet