Форум русской поддержки Joomla!® CMS
03.12.2016, 23:52:46 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

взломали сайт: подменили содержимое для п

 (Прочитано 409 раз)
0 Пользователей и 1 Гость смотрят эту тему.
TopClans
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 28


« : 05.05.2016, 22:16:41 »

Столкнулся с проблемой - позволил заразить свой сайт (сам виноват, расслабился и сохранил пароль в ФТП-менеджере), причем узнал я об этом совершенно случайно. решил проблему, и подумал что возможно кому-то поможет мой пост.

Итак, один из сайтов на Joomla у меня использует нестандартный .htaccess, и на первомайских праздниках я увидел что у меня не грузится одна из страниц, настроенная как раз через .htaccess. Полез смотреть - а у меня левые файлы и папки на сайте. Также были созданы новые суперадминистраторы на каждом сайте, причем они были созданы без E-mail, то есть не через сайт, а скорее всего запросом напрямую в БД, пароль от которой узнали из файла конфига.
Восстановил всё из бекапа за 1 мая, облазил странички сайта в поисках нехорошего кода - никаких левых ссылок, айфреймов, и прочего не увидел. Сменил, разумеется, пароли, и успокоился. Сегодня поработал над семантической разметкой страниц, решил проверить через валидатор - а Google и Яндекс у меня на сайте видят стандартный каркас (хедер, футер, модули), но вместо самой статьи там порноописание и всякие ссылки.
Ужаснулся, не поверил глазам, полез сам смотреть ещё раз - всё в норме. Короче, вредоносный код определяет, кто смотрит сайт - человек или поисковик, если поисковик - выдаёт ему другую страницу, с порно-контентом.

Стало прямо-таки интересно, с полдня наверное пробовал всякое - вроде и .htaccess проверил, и ещё раз проверил логи ФТП - но нет, новых подключений нет (кстати, атака была с китайских IP). Поэксперементировал с БД (благо они каждый день у меня бекапятся), накатывал за прошлый год БД - нет эффекта. Накатил бекап файлов за 1 января - всё нормализовалось.

Короче, не буду всё что делал описывать, напишу что дало эффект:
Яндекс манул нашёл 2 подозрительных файла, но забегая вперед скажу что это было не всё.
Параллельно скачал себе бекап за 1 января и текущий сайт, и сравнил все файлы с помощью TotalCommander - изменения-таки нашлись в .htaccess - в тех же нескольких файлах (ну, кроме тех, которые я менял сам, разумеется), и в нескольких других.


Первый файлик: /libraries/phputf8/phputf8.php
(осторожно, под спойлером 200+ строк base64 кода)
Показать текстовый блок

Второй файлик: /includes/framework.php
Тут кстати тоже есть небольшая фишка. На этот файл мне указал тотал командер, и в нём действительно был вредоносный код, приведу его ниже. Я его удалил, но потом случайно заметил что уж очень широкая в файле какая-то строка. Включил перенос строк, и увидел что на первой строчке тоже был добавлен код, только "замаскирован" множеством пробелов, из-за которых самой строки и не было видно - выглядело просто как пустая строка.

Итак, добавленный в конец файла код:
Показать текстовый блок

Как видно, код также рассчитан и на wordpress.
И код, добавленный в первой строке:

Показать текстовый блок

Идём по следам, оставленным в коде, файл /libraries/joomla/application/joomla-app.php - весь вредоносный, удаляем нафиг:
Показать текстовый блок

В ко
« Последнее редактирование: 05.05.2016, 22:23:42 от TopClans » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #1 : 05.05.2016, 22:22:57 »

А версия Joomla какая?
Записан
TopClans
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 28


« Ответ #2 : 05.05.2016, 22:24:47 »

забыл добавить. на одном сайте 1.5.*, или что-то типа того
на другом - 3.2.7
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #3 : 05.05.2016, 22:26:51 »

Разделять, обновляться, лечится. На первом патч безопасности с обновлением до 1.5 последней, уже не помню какой. Последнюю просто обновить и чистить с сменой паролей. Думаю еще вернется.
Записан
TopClans
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 28


« Ответ #4 : 05.05.2016, 22:27:27 »

короче, в одно сообщение так много текста не влезает, в конце хотел добавить очевидные напутствия вроде "не сохраняйте нигде пароли, не храните несколько сайтов на одном аккаунте (взломают например Wordpress - заразят и остальные сайты, то же самое с Joomla), и делайте больше бекапов. 2 раза в месяц, и храните год - это обойдется не очень-то дорого (я плачу рублей 300 в год за бекапы на селектел и ещё частые бекапы храню на своём сервере)"
Записан
TopClans
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 28


« Ответ #5 : 05.05.2016, 22:29:13 »

последнюю обновлять - нужен PHP 5.5, мне не хочется его ставить.
сейчас, я почти уверен, всё дело в слитом пароле - логи ftp говорят о том что кто-то с китайского IP коннектился именно по ФТП.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #6 : 05.05.2016, 22:33:52 »

Ну успехов вам в вашей работе )
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #7 : 06.05.2016, 00:09:02 »

3.2.7
собссно
Записан
Missile
Завсегдатай
*****

Репутация: +70/-0
Offline Offline

Пол: Женский
Сообщений: 681


« Ответ #8 : 06.05.2016, 05:14:05 »

последнюю обновлять - нужен PHP 5.5, мне не хочется его ставить.
Что-то личное к PHP 5.5?
Все версии Joomla до 3.4.8 уязвимы, и для заливки на ваш сайт бэкдора совершенно не нужен пароль от ftp. Пока не обновите Joomla - так и будете регулярно чистить сайт от зловредов.

собссно
По-моему, пора уже всех создателей подобных тем первым делом спрашивать о версии Joomla, после чего отправлять курить мануалы в раздел безопасности. Если люди любят играть с огнём, то зачем тратить на них время?
Записан
TopClans
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 28


« Ответ #9 : 06.05.2016, 11:09:44 »

так я не прошу тратить на меня время - я сам поделился опытом, как я действовал для устранения неполадки.

каждый раз выходит новая версия Joomla, со описанием "защитились", а через месяц-два выходит срочное обновление, потому что снова нашли очередную дырку. у меня есть 4-5 старых сайтов на старых Joomlaх, и их не заражают годами.
« Последнее редактирование: 06.05.2016, 11:13:02 от TopClans » Записан
Missile
Завсегдатай
*****

Репутация: +70/-0
Offline Offline

Пол: Женский
Сообщений: 681


« Ответ #10 : 06.05.2016, 11:32:45 »

каждый раз выходит новая версия Joomla, со описанием "защитились", а через месяц-два выходит срочное обновление, потому что снова нашли очередную дырку.
Абсолютно неверная информация. Большинство обновлений Joomla - это исправление багов и минорных уязвимостей. Критические уязвимости в Joomla бывают крайне редко и оперативно патчатся, а 99% "взломов" происходит из-за лени или пофигизма владельцев сайтов.
у меня есть 4-5 старых сайтов на старых Joomlaх, и их не заражают годами.
Попробуйте прогнать их Айболитом - узнаете много нового. Если нет видимых проявлений заражения - это ещё не значит, что сайты чисты.

Уязвимости в любой CMS были, есть и будут в силу особенностей структуры движка. И эти уязвимости при обнаружении всегда оперативно закрываются, но если владельцы сайтов пренебрегают мерами безопасности, то чуда не случится.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet