0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 1437 Просмотров
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Добрый день!

Сайт был на Joomla! 3.4.5, его взломали. Очистил от вирусов, обновил до 3.5.1, обновил расширения и прописал в корневом .htaccess защитные директивы:
Код
RewriteEngine On
RewriteCond %{REQUEST_URI}  ^/components/ [NC,OR]
RewriteCond %{REQUEST_URI}  ^/images/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/media/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/modules/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/templates/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/logs/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/tmp/
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]

# Blocking the scripts, trying to send something via base64_encode by URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
 
# Blocking the scripts containing < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
 
# Blocking the scripts trying to set GLOBAL variable through URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
 
# Blocking the scripts trying to change _REQUEST variable through URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
 
# Blocking the scripts trying set sbp or sb_authorname through URL
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)

Не прошло и недели, как сайт снова взломали, причем вписали в файлы скрипты с GLOBALS, хотя вроде как есть директива, чтобы эти команды нельзя было загрузить.

Права на папки стоят 755, на файлы 644, на configuration.php и .htaccess 444.

Подскажите пожалуйста, в чем может быть проблема, и что еще можно сделать для защиты?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Если не устанавливать расширения и вносить правки в шаблон, то можно права 555/444
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Плохо отчистили. Сайт один на хостинге?
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Сайт один. Мне тоже хотелось верить в "плохо очистили", но у меня есть копия сайта недельной давности, специально заходил и проверял — в ней не было вирусного кода в тех файлах, в которых он есть сейчас.
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Еще момент. Там .htaccess не стандартный Джумловский. До моего кода там было указано вот что:

Код
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

Ниже я вписал свой код, который в первом посте указан. Может что-то неправильно сделал, надо было например внутрь <IfModule mod_rewrite.c></IfModule> вписать?
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Может не может
Сайт один. Мне тоже хотелось верить в "плохо очистили", но у меня есть копия сайта недельной давности, специально заходил и проверял — в ней не было вирусного кода в тех файлах, в которых он есть сейчас.
Не дочистили сайт, вы смотрите и ищете как и многие не то что надо. Глубже копать надо и обновлять закрывать уязвимости.
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
Если вас взломали, даже если не со зла, это беда.

Первым делом меняем все логины, пароли, префиксы и.т.д не только нв сайте, в почте, в акк контакта и.т.д (не забудьте про всякие внешние db и.т.д)
Практика показывает, да не то-что практика, это уже школьные азы хака.
Если есть одна ниточка - тяни и не пались. Вы может все и поправили по вашему мнению но, нехороший дядька уже видит вашу почту допустим и от тудыва тянет пароли.
Если почта допусим храниться на сервере yandex, mail и сообщения не удобряются то злой дядя из нее вытащит цельную кучу информации и опять проникнет! - Хорошо если только на сайт!

Первым делом надо вспомнить всю электронную жизнь и сменить все логины и пароли! ДА ГЕМОРОЙ!
После вы сделаете выводы, и все будет нормально! 
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
Забыл сказать, логины и пароли не должны повторяться а то вы пока меняете один! ну вы поняли!
Если сайт был с личными данными юзеров, стоит закрыть им доступ и оповестить мягко о смени пароля!
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
Айболит! Там есть функция контроля изменения файлов! Как то-так! Если конечно поможет!
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Не дочистили сайт, вы смотрите и ищете как и многие не то что надо. Глубже копать надо и обновлять закрывать уязвимости.

Т.е. если вас правильно понял, то если я не дочистил какие-то файлы, то вредоносный код может потом появиться и в тех файлах, в которых его раньше не было? И могут появиться новые файлы, состоящие полностью из этого вредоносного кода?
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Если вас взломали, даже если не со зла, это беда.

Первым делом меняем все логины, пароли, префиксы и.т.д не только нв сайте, в почте, в акк контакта и.т.д (не забудьте про всякие внешние db и.т.д)
Практика показывает, да не то-что практика, это уже школьные азы хака.
Если есть одна ниточка - тяни и не пались. Вы может все и поправили по вашему мнению но, нехороший дядька уже видит вашу почту допустим и от тудыва тянет пароли.
Если почта допусим храниться на сервере yandex, mail и сообщения не удобряются то злой дядя из нее вытащит цельную кучу информации и опять проникнет! - Хорошо если только на сайт!

Первым делом надо вспомнить всю электронную жизнь и сменить все логины и пароли! ДА ГЕМОРОЙ!
После вы сделаете выводы, и все будет нормально! 

Интересно. У меня на сайте множество юзеров зарегистрировано, и ботов тоже (хотя они все отключены). Это может влиять?
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
Я имел ввиду зарегиных юзеров с личными данными!
Яж уже сказал - ниточка за ниточкой!

Допустим я нехороший человек получил все мыло (! Без паролей !) ваших зарегиных юзеров! только мыло! только ваших юзеров!
Как вы думаете смогу ли я положить ваш ресурс? Еще раз внимание! Всех ваших юзеров!
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
Извенямбус, Комментарии

1. http://joomlaforum.ru/index.php/topic,328078.0.html  -  Если так то это видимо не взлом а вирус машинный, я могу быть не прав но nod не лечит, drweb запуска находит ноль вирусов но эффект пропадает. Пока виновника не нашли но похоже это torrent.exe распоковщики.

2. .htaccess - Полностью надо изучить каждую строку, если что-то пишете вы должны четко понимать что! Хороший старый форум opennet в помощь! там рубяты всегда помогут.

3. .htaccess - это файл (только с запретом прямого доступа) располагайте в те корневые папки куда доступ запрещен, и допустим для админки открывайте доступ по IP!
   Если у вас типа домашнии сети то или вносите несколько своих IP они могут меняться, или у провайдера запросите и оплатите постоянный.

4. В панели управления хостом, ищем все что может защитить! изучаем при необходимости включам! Если в панели есть вкладка сменить интерфейс, меняем и ищем и там и там они могут быть немного разнвми!

5. Айболит - скрипт не плохой! Ставим не в корень а в хост! Запускаем кроном раз в сутки! У Айболита есть плохо документированные функции, но ребята отвечают быстро и не важно что ты бесплатный клиент.

6. Про пароли и ниточки я сказал.

Как лечит не скажу, вы не написали в чем собстно взлом, или я не понял.

6.1 Не стоит искать IP в логах Joomla которые стучались в рег форму, даже если зарегился, не стоит блокировать IP. Скорей всего забаните нужную вам часть региона, хоть и сервисы будут показывать что это канада или украина.
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXM  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
Айболит отреагировал на base64 и усе! Это нормально так кодируют вирусы школьники! А может это и нужная картинка! Вы же весь base не написали!

Вы реально видимо не понимаете что смысла искать в файлах кусок кода который вы обноружили браузером смысла НЕТ!
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?
Вирус или шел. Очистить только пересохранением картинки. И можно положить в папку с картинками, файл .htaccess запрещающий выполнение скриптов
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Т.е. если вас правильно понял, то если я не дочистил какие-то файлы, то вредоносный код может потом появиться и в тех файлах, в которых его раньше не было? И могут появиться новые файлы, состоящие полностью из этого вредоносного кода?
Совершенно верно.

Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXM  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?

Приписано снизу? бывает реже что сверху дописывают.
Если допиской снизу/сверху то удалите в нотепад этот код и посмотрите откроется ли картинка. И скорей всего у вас должен быть где то вызов в файлах .php этого изображения типа
Код
include "/файл изображения"
пройдитесь поиском по содержимому файлов на предмет поиска этой картинки.

P.S. и это скорей всего на 100% то что вы скачали где то бесплатно из кем то ворованного
« Последнее редактирование: 29.06.2016, 19:31:20 от flyingspook »
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
Цитировать
файл .htaccess запрещающий выполнение скриптов
+1 Ну яж сказал что в opennet!
.htacces - это хороший файл! он не дерется! если туды написать где брать молочка, то он ответит вам так же - и в место химических пельмешех и получите авсралийске типо мясо на шашлык! получите то что кушает Валя Стакан!
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Код
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]
Предпочитаю разрешать выполнения ТОЛЬКО статистических файлов, а не набор скриптовых языков, которые с легкостью обходятся выполнением того же index.php в каких либо папках, как пример http://site/media/?backdor=CODE
*

pavelrer

  • Давно я тут
  • 611
  • 10 / 2
я изменяюсь за последний мой ответ. сори не духе
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код ...
До этого вы писали, что сайт от вирусов очистили, чем делали проверку?
Следует так же помнить, что Айболит не является панацеей, он сканирует код, сверяя его со своей базой сигнатур. Если у вас внутри нестандартный шелл, Айболит его может не увидеть. А может и ругаться на какой нибудь безобидный код, например, на класс, работающий с cURL.
Если вы слабо знаете PHP и вам сложно найти и обезвредить вредонос, у вас два пути. Первый - заплатить. Вам все сделают и настроят. Если денег нет или хочется самому - то лучше сделайте перенос. Т.е. установите чистую Joomla, скачанную с официального сайта Joomla.org (кстати, откуда скачана ваша версия?), перенесите на нее со старого сайта меню, материалы (это делается через базу данных запросами), перенесите изображения (проверив каждое из них, а лучше сконвертировать в другой формат или пакетно изменить размер) и другие файлы. Купите шаблон (а не с варезника, там 100% вирусня) или закажите дизайн (если ранее уже заказывали/покупали, то ставьте именно этот). Ну и защитите свой компьютер хорошим антивирусом (рекомендую глянуть рейтинг тут). В целом максим внимания и осторожности, проверяйте все. А лезть в код и искать не зная чего - это как в темноте пытаться на ощупь понять, что нарисовано на картине.
« Последнее редактирование: 30.06.2016, 13:45:23 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 167
Последний ответ 26.03.2024, 18:51:10
от wishlight
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1099
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 678
Просмотров: 243640
Последний ответ 14.09.2022, 14:29:43
от wishlight
Netflix! - Клиент поймал фишинг на старый сайт. Где порылись собаки?

Автор Alex_gs

Ответов: 9
Просмотров: 1639
Последний ответ 05.11.2021, 21:47:31
от wishlight
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1251
Последний ответ 05.10.2021, 21:39:26
от ShopES