Форум русской поддержки Joomla!® CMS
09.12.2016, 00:05:02 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

После обновления и защиты через.htaccess, сайт по-прежнему взламывают

 (Прочитано 311 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Kiskenbassker
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 20



« : 29.06.2016, 16:40:30 »

Добрый день!

Сайт был на Joomla! 3.4.5, его взломали. Очистил от вирусов, обновил до 3.5.1, обновил расширения и прописал в корневом .htaccess защитные директивы:
Код:
RewriteEngine On
RewriteCond %{REQUEST_URI}  ^/components/ [NC,OR]
RewriteCond %{REQUEST_URI}  ^/images/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/media/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/modules/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/templates/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/logs/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/tmp/
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]

# Blocking the scripts, trying to send something via base64_encode by URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
 
# Blocking the scripts containing < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
 
# Blocking the scripts trying to set GLOBAL variable through URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
 
# Blocking the scripts trying to change _REQUEST variable through URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
 
# Blocking the scripts trying set sbp or sb_authorname through URL
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)

Не прошло и недели, как сайт снова взломали, причем вписали в файлы скрипты с GLOBALS, хотя вроде как есть директива, чтобы эти команды нельзя было загрузить.

Права на папки стоят 755, на файлы 644, на configuration.php и .htaccess 444.

Подскажите пожалуйста, в чем может быть проблема, и что еще можно сделать для защиты?
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2658


step by step


« Ответ #1 : 29.06.2016, 16:43:18 »

Если не устанавливать расширения и вносить правки в шаблон, то можно права 555/444
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #2 : 29.06.2016, 16:44:31 »

Плохо отчистили. Сайт один на хостинге?
Записан
Kiskenbassker
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 20



« Ответ #3 : 29.06.2016, 16:52:03 »

Сайт один. Мне тоже хотелось верить в "плохо очистили", но у меня есть копия сайта недельной давности, специально заходил и проверял — в ней не было вирусного кода в тех файлах, в которых он есть сейчас.
Записан
Kiskenbassker
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 20



« Ответ #4 : 29.06.2016, 16:57:56 »

Еще момент. Там .htaccess не стандартный Джумловский. До моего кода там было указано вот что:

Код:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

Ниже я вписал свой код, который в первом посте указан. Может что-то неправильно сделал, надо было например внутрь <IfModule mod_rewrite.c></IfModule> вписать?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #5 : 29.06.2016, 17:08:35 »

Может не может
Сайт один. Мне тоже хотелось верить в "плохо очистили", но у меня есть копия сайта недельной давности, специально заходил и проверял — в ней не было вирусного кода в тех файлах, в которых он есть сейчас.
Не дочистили сайт, вы смотрите и ищете как и многие не то что надо. Глубже копать надо и обновлять закрывать уязвимости.
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #6 : 29.06.2016, 17:26:31 »

Если вас взломали, даже если не со зла, это беда.

Первым делом меняем все логины, пароли, префиксы и.т.д не только нв сайте, в почте, в акк контакта и.т.д (не забудьте про всякие внешние db и.т.д)
Практика показывает, да не то-что практика, это уже школьные азы хака.
Если есть одна ниточка - тяни и не пались. Вы может все и поправили по вашему мнению но, нехороший дядька уже видит вашу почту допустим и от тудыва тянет пароли.
Если почта допусим храниться на сервере yandex, mail и сообщения не удобряются то злой дядя из нее вытащит цельную кучу информации и опять проникнет! - Хорошо если только на сайт!

Первым делом надо вспомнить всю электронную жизнь и сменить все логины и пароли! ДА ГЕМОРОЙ!
После вы сделаете выводы, и все будет нормально! 
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #7 : 29.06.2016, 17:28:35 »

Забыл сказать, логины и пароли не должны повторяться а то вы пока меняете один! ну вы поняли!
Если сайт был с личными данными юзеров, стоит закрыть им доступ и оповестить мягко о смени пароля!
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #8 : 29.06.2016, 17:37:34 »

Айболит! Там есть функция контроля изменения файлов! Как то-так! Если конечно поможет!
Записан
Kiskenbassker
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 20



« Ответ #9 : 29.06.2016, 17:47:51 »

Не дочистили сайт, вы смотрите и ищете как и многие не то что надо. Глубже копать надо и обновлять закрывать уязвимости.

Т.е. если вас правильно понял, то если я не дочистил какие-то файлы, то вредоносный код может потом появиться и в тех файлах, в которых его раньше не было? И могут появиться новые файлы, состоящие полностью из этого вредоносного кода?
Записан
Kiskenbassker
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 20



« Ответ #10 : 29.06.2016, 17:51:46 »

Если вас взломали, даже если не со зла, это беда.

Первым делом меняем все логины, пароли, префиксы и.т.д не только нв сайте, в почте, в акк контакта и.т.д (не забудьте про всякие внешние db и.т.д)
Практика показывает, да не то-что практика, это уже школьные азы хака.
Если есть одна ниточка - тяни и не пались. Вы может все и поправили по вашему мнению но, нехороший дядька уже видит вашу почту допустим и от тудыва тянет пароли.
Если почта допусим храниться на сервере yandex, mail и сообщения не удобряются то злой дядя из нее вытащит цельную кучу информации и опять проникнет! - Хорошо если только на сайт!

Первым делом надо вспомнить всю электронную жизнь и сменить все логины и пароли! ДА ГЕМОРОЙ!
После вы сделаете выводы, и все будет нормально! 

Интересно. У меня на сайте множество юзеров зарегистрировано, и ботов тоже (хотя они все отключены). Это может влиять?
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #11 : 29.06.2016, 18:02:36 »

Я имел ввиду зарегиных юзеров с личными данными!
Яж уже сказал - ниточка за ниточкой!

Допустим я нехороший человек получил все мыло (! Без паролей !) ваших зарегиных юзеров! только мыло! только ваших юзеров!
Как вы думаете смогу ли я положить ваш ресурс? Еще раз внимание! Всех ваших юзеров!
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #12 : 29.06.2016, 18:45:20 »

Извенямбус, Комментарии

1. http://joomlaforum.ru/index.php/topic,328078.0.html  -  Если так то это видимо не взлом а вирус машинный, я могу быть не прав но nod не лечит, drweb запуска находит ноль вирусов но эффект пропадает. Пока виновника не нашли но похоже это torrent.exe распоковщики.

2. .htaccess - Полностью надо изучить каждую строку, если что-то пишете вы должны четко понимать что! Хороший старый форум opennet в помощь! там рубяты всегда помогут.

3. .htaccess - это файл (только с запретом прямого доступа) располагайте в те корневые папки куда доступ запрещен, и допустим для админки открывайте доступ по IP!
   Если у вас типа домашнии сети то или вносите несколько своих IP они могут меняться, или у провайдера запросите и оплатите постоянный.

4. В панели управления хостом, ищем все что может защитить! изучаем при необходимости включам! Если в панели есть вкладка сменить интерфейс, меняем и ищем и там и там они могут быть немного разнвми!

5. Айболит - скрипт не плохой! Ставим не в корень а в хост! Запускаем кроном раз в сутки! У Айболита есть плохо документированные функции, но ребята отвечают быстро и не важно что ты бесплатный клиент.

6. Про пароли и ниточки я сказал.

Как лечит не скажу, вы не написали в чем собстно взлом, или я не понял.

6.1 Не стоит искать IP в логах Joomla которые стучались в рег форму, даже если зарегился, не стоит блокировать IP. Скорей всего забаните нужную вам часть региона, хоть и сервисы будут показывать что это канада или украина.
Записан
Kiskenbassker
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 20



« Ответ #13 : 29.06.2016, 19:10:27 »

Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXM  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #14 : 29.06.2016, 19:22:47 »

Айболит отреагировал на base64 и усе! Это нормально так кодируют вирусы школьники! А может это и нужная картинка! Вы же весь base не написали!

Вы реально видимо не понимаете что смысла искать в файлах кусок кода который вы обноружили браузером смысла НЕТ!
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2658


step by step


« Ответ #15 : 29.06.2016, 19:32:01 »

Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?
Вирус или шел. Очистить только пересохранением картинки. И можно положить в папку с картинками, файл .htaccess запрещающий выполнение скриптов
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #16 : 29.06.2016, 20:22:53 »

Т.е. если вас правильно понял, то если я не дочистил какие-то файлы, то вредоносный код может потом появиться и в тех файлах, в которых его раньше не было? И могут появиться новые файлы, состоящие полностью из этого вредоносного кода?
Совершенно верно.

Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXM  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?

Приписано снизу? бывает реже что сверху дописывают.
Если допиской снизу/сверху то удалите в нотепад этот код и посмотрите откроется ли картинка. И скорей всего у вас должен быть где то вызов в файлах .php этого изображения типа
Код:
include "/файл изображения"
пройдитесь поиском по содержимому файлов на предмет поиска этой картинки.

P.S. и это скорей всего на 100% то что вы скачали где то бесплатно из кем то ворованного
« Последнее редактирование: 29.06.2016, 20:31:20 от flyingspook » Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #17 : 29.06.2016, 20:24:03 »

Цитировать
файл .htaccess запрещающий выполнение скриптов
+1 Ну яж сказал что в opennet!
.htacces - это хороший файл! он не дерется! если туды написать где брать молочка, то он ответит вам так же - и в место химических пельмешех и получите авсралийске типо мясо на шашлык! получите то что кушает Валя Стакан!
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #18 : 29.06.2016, 20:52:50 »

Код:
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]
Предпочитаю разрешать выполнения ТОЛЬКО статистических файлов, а не набор скриптовых языков, которые с легкостью обходятся выполнением того же index.php в каких либо папках, как пример http://site/media/?backdor=CODE
Записан
pavelrer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 262


« Ответ #19 : 29.06.2016, 21:54:07 »

я изменяюсь за последний мой ответ. сори не духе
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #20 : 30.06.2016, 14:39:27 »

Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код ...
До этого вы писали, что сайт от вирусов очистили, чем делали проверку?
Следует так же помнить, что Айболит не является панацеей, он сканирует код, сверяя его со своей базой сигнатур. Если у вас внутри нестандартный шелл, Айболит его может не увидеть. А может и ругаться на какой нибудь безобидный код, например, на класс, работающий с cURL.
Если вы слабо знаете PHP и вам сложно найти и обезвредить вредонос, у вас два пути. Первый - заплатить. Вам все сделают и настроят. Если денег нет или хочется самому - то лучше сделайте перенос. Т.е. установите чистую Joomla, скачанную с официального сайта Joomla.org (кстати, откуда скачана ваша версия?), перенесите на нее со старого сайта меню, материалы (это делается через базу данных запросами), перенесите изображения (проверив каждое из них, а лучше сконвертировать в другой формат или пакетно изменить размер) и другие файлы. Купите шаблон (а не с варезника, там 100% вирусня) или закажите дизайн (если ранее уже заказывали/покупали, то ставьте именно этот). Ну и защитите свой компьютер хорошим антивирусом (рекомендую глянуть рейтинг тут). В целом максим внимания и осторожности, проверяйте все. А лезть в код и искать не зная чего - это как в темноте пытаться на ощупь понять, что нарисовано на картине.
« Последнее редактирование: 30.06.2016, 14:45:23 от SeBun » Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet