Спам с сайта

  • 16 Ответов
  • 1244 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн tegos134

Спам с сайта
« : 04.05.2016, 12:39:22 »
Добрый день. ПРишло на почту от саппорта хостинга. Joomla 3,5. До этого такого не было. Впервые такое

[spoiler]

Список запущенных процессов:
* pid: 12869; :2:06AM -> 625:43.28 php /tmp/phpd.local *:22034;
 PID statistics for web1207.nic.ru@12869
      PID COMM                               FD T V FLAGS        REF    OFFSET PRO NAME               
 12869 php                               cwd v d --------      -              - -   
 /home/Сайт/home/сайт/сайт.хостинг.ru/docs/media/editors/tinymce/plugins/fullscreen
 12869 php                             root v d --------      -              - -      /home/Сайт       
 12869 php                             jail v d --------      -              - -      /home/Сайт       
 12869 php                                   0 v c r-------      1              0 -      /home/Сайт/dev/null
 12869 php                                   1 v c -w------      2              0 -      /home/Сайт/dev/null
 12869 php                                   2 v c -w------      2              0 -      /home/Сайт/dev/null
 12869 php                                   3 v r r-------      1    649120 -      /home/Сайт/tmp/phpd.local
 12869 php                                   4 v c r-------      4              0 -      /dev/null                 
 12869 php                                   5 s - rw---n--      2              0 TCP 10.3.14.53:22034 0.0.0.0:0
 12869 php                                   6 p - rw------      6              0 -      -                                   
 12869 php                                   8 p - rw------      6              0 -      -                                   

 * pid: 24150; :2:09AM -> 623:22.46 php /tmp/phpd.local *:21554;
 PID statistics for web1207.nic.ru@24150
      PID COMM                               FD T V FLAGS        REF    OFFSET PRO NAME               
 24150 php                               cwd v d --------      -              - -   
 /home/Сайт/home/Сайт/Сайт.Хостинг/docs
 24150 php                             root v d --------      -              - -      /home/Сайт       
 24150 php                             jail v d --------      -              - -      /home/Сайт       
 24150 php                                   0 v c r-------      1              0 -      /home/Сайт/dev/null
 24150 php                                   1 v c -w------      2              0 -      /home/Сайт/dev/null
 24150 php                                   2 v c -w------      2              0 -      /home/Сайт/dev/null
 24150 php                                   3 s - rw---n--      1              0 TCP 10.3.14.53:21554 0.0.0.0:0
 24150 php                                   4 v c r-------      4              0 -      /dev/null                 
 24150 php                                   6 p - rw------      6              0 -      -                                   
 24150 php                                   8 p - rw------      6              0 -      -

Пример спам-письма:
From: Сайт@web1207

 1Zd4xN-000Jxu-90-H
 Сайт 9163 999
 <postmaster@Сайт.Хостинг>
 1442618441 0
 -ident Сайт
 -received_protocol local
 -aclm _queue_size 5
 30766
 -body_linecount 43
 -max_received_linelength 67
 -auth_id Сайт
 -auth_sender Сайт@web1207.хостинг.ru
 -allow_unqualified_recipient
 -allow_unqualified_sender
 -local
 XX
 1
 oldleather2@gmail.com

 206P Received: from Сайт by web1207Хостинг.ru with local (Exim 4.80 (FreeBSD))
 (envelope-from <postmaster@Сайт.Хостинг>)
 id 1Zd4xN-000Jxu-90
 for oldleather2@gmail.com; Sat, 19 Sep 2015 02:20:41 +0300
 026T To: oldleather2@gmail.com
 045 Subject: InstaSxx Msg Waiting For Your Reply
 038 Date: Sat, 19 Sep 2015 02:20:41 +0300
 044F From: Olga Becker <olga_becker@Сайт.ru>
 059I Message-ID: <b4ecf48668270944292e311ff6e1038f@Сайт.ru>
 014 X-Priority: 3
 068 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
 018 MIME-Version: 1.0
 085 Content-Type: multipart/alternative;
 boundary="b1_b4ecf48668270944292e311ff6e1038f"
 032 Content-Transfer-Encoding: 8bit
 042* X-rewrote-sender: Сайт@web1207.nic.ru
 1Zd4xN-000Jxu-90-D
 --b1_b4ecf48668270944292e311ff6e1038f
 Content-Type: text/plain; charset=us-ascii

 I want a DP f&ck right now, babe!

 Looking for a man to get crea*pie for revenge!

 Will you spank my butts and punish me with a bondage?

 [ http://denverweed.com/themes.php?g=22 ]
 I am not going to hide my photos, check them out here.

 My nickname is ToyPlayer

 This will be super hot!

 --b1_b4ecf48668270944292e311ff6e1038f
 Content-Type: text/html; charset=us-ascii

 <html>
 <body>
 I want a DP f&ck right now, babe!

 Looking for a man to get crea*pie for revenge!
 <br><br>
 Will you spank my butts and punish me with a bondage?
 <br><br>
 <a href="http://denverweed.com/themes.php?g=22">
 I am not going to hide my photos, check them out here.
 </a>

 My nickname is ToyPlayer
 <br>
 This will be super hot!
 </body>
 </html>

 --b1_b4ecf48668270944292e311ff6e1038f--

Пример вредоносной активности:
Proto Recv-Q Send-Q    Local Address                     Foreign Address              (state)
tcp4              0            0 10.3.14.53.21554              *.*                                          LISTEN
tcp4              0            0 10.3.14.53.22034              *.*                                          LISTEN

В настоящее время на услуге хостинга находятся вредоносные и подозрительные файлы. Список таких обнаруженных файлов:
./nictest.ru/docs/license.php
./Сайт.хостинг.ru/docs/administrator/components/com_contenthistory/helpers/contenthistory.php
./Сайт.хостинг.ru/docs/cache/proxy.php
./Сайт.хостинг.ru/docs/components/com_mailto/views/mailto/javascript.php
./Сайт.хостинг.ru/docs/components/com_roksprocket/lib/requirements.php
./Сайт.хостинг.ru/docs/components/com_wrapper/router.php
./Сайт.хостинг.ru/docs/footer.php
./Сайт.хостинг.ru/docs/ght87tr.php
./Сайт.хостинг.ru/docs/layouts/joomla/searchtools/default.php
./Сайт.хостинг.ru/docs/layouts/joomla/toolbar/batch.php
./Сайт.хостинг.ru/docs/libraries/cms/application/administrator.php
./Сайт.хостинг.ru/docs/libraries/cms/helper/content.php
./Сайт.хостинг.ru/docs/libraries/cms/layout/layout.php
./Сайт.хостинг.ru/docs/libraries/cms/schema/changeitem.php
./Сайт.хостинг.ru/docs/libraries/cms/search/helper.php
./Сайт.хостинг.ru/docs/libraries/f0f/database/installer.php
./Сайт.хостинг.ru/docs/libraries/fof/render/model.php
./Сайт.хостинг.ru/docs/libraries/gantry/features/rtl.php
./Сайт.хостинг.ru/docs/libraries/gantry/gantry.config.php
./Сайт.хостинг.ru/docs/libraries/joomla/archive/bzip2.php
./Сайт.хостинг.ru/docs/libraries/joomla/environment/error.php
./Сайт.хостинг.ru/docs/libraries/joomla/linkedin/groups.php
./Сайт.хостинг.ru/docs/libraries/joomla/mail/options.php
./Сайт.хостинг.ru/docs/libraries/joomla/user/wrapper/diff.php
./Сайт.хостинг.ru/docs/libraries/php-encryption/Crypto.php
./Сайт.хостинг.ru/docs/libraries/rokcommon/Doctrine/Record/dump.php
./Сайт.хостинг.ru/docs/libraries/rokcommon/Doctrine/Transaction/config.php
./Сайт.хостинг.ru/docs/libraries/rokcommon/Overrides/press.php
./Сайт.хостинг.ru/docs/libraries/rokcommon/RokCommon/Doctrine.php
./Сайт.хостинг.ru/docs/libraries/rokcommon/RokCommon/Registry.php
./Сайт.хостинг.ru/docs/libraries/vendor/joomla/uri/alias.php
./Сайт.хостинг.ru/docs/media/plg_quickicon_extensionupdate/blog.php
./Сайт.хостинг.ru/docs/mod_info.php
./Сайт.хостинг.ru/docs/modules/mod_articles_latest/helper.php
./Сайт.хостинг.ru/docs/modules/mod_feed/search.php
./Сайт.хостинг.ru/docs/modules/mod_roknavmenu/fields/diff.php
./Сайт.хостинг.ru/docs/modules/mod_roksprocket/lib/plugin.php
./Сайт.хостинг.ru/docs/modules/mod_tags_popular/helper.php
./Сайт.хостинг.ru/docs/modules/mod_tags_similar/tmpl/javascript.php
./Сайт.хостинг.ru/docs/modules/mod_weblinks/mod_weblinks.php
./Сайт.хостинг.ru/docs/modules/mod_wrapper/functions.php
./Сайт.хостинг.ru/docs/plugins/content/geshi/geshi/geshi/php-brief.php
./Сайт.хостинг.ru/docs/plugins/content/pagebreak/session.php
./Сайт.хостинг.ru/docs/plugins/user/contactcreator/test.php
./Сайт.хостинг.ru/docs/sept.php
./Сайт.хостинг.ru/docs/tmp/templates/beez3/model.php
/tmp/phpd.local
/tmp/phpd.local_backup



[/spoiler]

Как быть?

*

Онлайн effrit

  • *****
  • 7589
  • [+]822 / [-]7
  • Пол: Мужской
  • effrit.com
    • Просмотр профиля
    • effrit.com
Re: Спам с сайта
« Ответ #1 : 04.05.2016, 12:51:13 »
ну а как быть, если взломали?
откатываться бакапом, проверять, все ли обновления уставновлены, менять пароли админки и ftp.
поставить компонент защиты и слежения за файлами сайта.

*

Оффлайн tegos134

Re: Спам с сайта
« Ответ #2 : 04.05.2016, 13:01:17 »

поставить компонент защиты и слежения за файлами сайта.

Как это сделать? подскажите пожалуйста. спасибо



*

Оффлайн flyingspook

Re: Спам с сайта
« Ответ #5 : 04.05.2016, 13:17:35 »
Как это сделать? подскажите пожалуйста. спасибо
Чистить сайт и следить за ним, обновлять вовремя все расширения.

*

Оффлайн tegos134

Re: Спам с сайта
« Ответ #6 : 04.05.2016, 21:04:46 »
Сайт сразу ставили 3.5 Joomla? Сайт один на хостинге?

Был 3,1 или 3,2. Не помню уже. Но тот, который с уязвимостью.

Обновил. Все расширения тоже.

2 месяца почти тишина. и тут хостер пишет.

Сайт один на хостинге

*

Оффлайн Missile

Re: Спам с сайта
« Ответ #7 : 04.05.2016, 21:46:53 »
Обновлять бесполезно, если бэкдор уже внутри. Он там и останется. Нужно серьёзно лечить либо переустанавливать сайт заново. Обратите внимание, чтобы в папках images не было никаких посторонних файлов, кроме картинок. Базу данных нужно проверить на наличие левых администраторов/суперпользователей. И никакого варёза! Все зловреды оттуда и берутся.
Цитировать
поставить компонент защиты и слежения за файлами сайта
Компонент полезный, но всё-таки, было бы неплохо, если б каждый владелец сайта прошёл хотя бы небольшой ликбез по настройкам безопасности Joomla. А то люди полагаются на всякие RSFirewall'ы, а сами фактически дверь оставляют открытой.

*

Оффлайн tegos134

Re: Спам с сайта
« Ответ #8 : 04.05.2016, 22:00:56 »
Спасибо что откликнулись.

Переустанавливать сайт. Это имеется ввиду, залить старый бекап?

Я с помощью ПО айболит проверил сайт.

Сводный отчет
Вредоносных скриптов   55
JS Вирусов   406
Исполняемых файлов   6
Ошибок чтения файлов   3
Пропущенных больших файлов   57
Скрытых файлов   3
Рекламных ссылок и кодов   14


Вот кусок отчета. https://pp.vk.me/c626123/v626123560/89c1/xwLf923lxac.jpg

Я понял. Ситуация очень плачевная. Но как быть? каждый файл в ручную редактирвать? их более 600. Нет ли антивируса такового? Что бы он сам исправил?

Я заранее прошу простить, если кажусь наивным и задаю глупых вопросов

*

Оффлайн tegos134

Re: Спам с сайта
« Ответ #9 : 04.05.2016, 22:14:17 »
УПД.

Проверил старый бекап.

Вредоносных скриптов   9
Пропущенных больших файлов   12
Скрытых файлов   3
Рекламных ссылок и кодов   1


Как такое возможно?

Все что я сделал - это обновил Joomla и компоненты. Ничего пиратского и тд не скачивал

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Спам с сайта
« Ответ #10 : 04.05.2016, 22:30:30 »
Но как быть? каждый файл в ручную редактирвать? их более 600
можете воспользоваться скриптиком http://secu.ru/scripts/find-and-replace поиск и замена по регулярным выражениям.

УПД.

Проверил старый бекап.

Вредоносных скриптов   9
Пропущенных больших файлов   12
Скрытых файлов   3
Рекламных ссылок и кодов   1


Как такое возможно?

Все что я сделал - это обновил Joomla и компоненты. Ничего пиратского и тд не скачивал
Возможны ложные срабатывания, аналезируйте сомнительный код!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям


*

Оффлайн Missile

Re: Спам с сайта
« Ответ #12 : 05.05.2016, 06:59:40 »
Цитировать
Переустанавливать сайт. Это имеется ввиду, залить старый бекап?
Нет, лучше переустанавливать начисто.
Проверить БД, сделать дамп на всякий случай. Скачать на локальный компьютер картинки из папки images - проверить, чтобы там не было файлов с ненадлежащими расширениями. Только jpeg, jpg, gif, png, bmp.
Установить Joomla из чистого дистрибутива актуальной версии, взятой с оф. сайта Joomla.org.
Если база чистая - подключить сайт к этой базе.
Залить в папку images проверенные картинки с локального компа.
Установить только легальные расширения - никакого варёза и "бесплатных" шаблонов.
Читать мануалы по настройкам безопасности. Выставить правильный chmod на файлы и папки, запретить исполнение скриптов в тех папках, где они не должны исполняться, через htaccess. Запретить листинг файлов в папках. Запаролить доступ в админку через htpasswd (не обязательно, но будет неплохо).

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Спам с сайта
« Ответ #13 : 05.05.2016, 09:21:42 »
Запаролить доступ в админку через htpasswd (не обязательно, но будет неплохо).
Интересно... почему это не обязательно?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн Missile

Re: Спам с сайта
« Ответ #14 : 05.05.2016, 14:24:30 »
Интересно... почему это не обязательно?
Просто некоторые решают эту проблему иначе. Например, через панель управления хостинга можно организовать доступ в админку только с определённого IP, или можно использовать ещё какие-то готовые решения.

*

Оффлайн flyingspook

Re: Спам с сайта
« Ответ #15 : 05.05.2016, 17:56:54 »
Просто некоторые решают эту проблему иначе. Например, через панель управления хостинга можно организовать доступ в админку только с определённого IP, или можно использовать ещё какие-то готовые решения.
Разницы нету ни какой в панели ограничение на папку = htpasswd (там просто может кто не понимает из-за того что файл htpasswd по любому другому называться может)
Просто современные менеджеры файлов делают это автоматически, хостингов уже и не осталось где ограничение доступа на папку не поставить.
Принцип действия одинаковый только воплощается черех панель быстрее и понятней для тех "кто в танке".

*

Оффлайн SeBun

  • ********
  • 3225
  • [+]189 / [-]5
  • Пол: Мужской
  • @SeBun48
    • Просмотр профиля
Re: Спам с сайта
« Ответ #16 : 06.05.2016, 16:25:39 »
Все что я сделал - это обновил Joomla и компоненты. Ничего пиратского и тд не скачивал
Важне не то, скачивали вы что то пиратское или нет, важно то, откуда вы все это качали и что устанавливали на сайт. Возможно зловред уже был где то в этих файлах. Но возможно шелл вам залили потом, в процессе эксплуатации. Обычно его сразу не используют, что бы замести следы (логи динамически обновляются, а старые затираются), поэтому он может быть и в бекапах. Айболит вам не поможет, если вы не понимаете, что именно искать. Он почти асегда выдает ложные срабатывания - удалите что нибудь не то - сломаете сайт совсем. Предложение переустановить сайт может оказаться для вас самым оптимальным, но это не совсем то, о чем вы подумали. Если у вас есть деньги, лучше напишите задание в коммерческом разделе, вам помогут и сайт почистить, и настроить, и советы дадут. Если нет денег, работайте самостоятельно. Для этого удалите абсолютно все с хостинга - все файлы, базу данных, смените пароль FTP и FTPS, залейте подготовленный сайт и отключите FTP (FTPS), его у вас вообще не должно быть. Поставьте бейсик-авторизацию на админку. Теперь как подготовить сайт: установите себе локальный сервер (Денвер, OpenServer и др.), скачайте с сайта Joomla.org актуальную версию Joomla, разверните ее на локальном сервере и перенесите на нее данные со старого сайта (при этом не копируя все подряд, а помня о том, что в любом файле может находиться зловред). После размещения на хостинге настройте контроль за файлами, есть скрипты, которые по крону сравнивают хеши файлов с полученными ранее. Если сайтов несколько на аккаунте - запретите выполнение кода за пределами своего каталога. Вот собственно в общих чертах о перезагрузке... Дальше только следить и своевременно ставить обновления.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование
Ник занят | По личным вопросам не консультирую