0 Пользователей и 1 Гость просматривают эту тему.
  • 56 Ответов
  • 4077 Просмотров
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Откуда попал вирус
« : 18.01.2017, 10:22:43 »
Здравствуйте,

Сегодня частично перестал работать сайт.
После отката на 2 дня назад сайт поднялся.

Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:
Спойлер
[свернуть]

Вирус ли это? Как думаете?

И еще вопрос. Как понять откуда он залез на мой сайт??
Логи открыл и как говорится вижу фигу. Ткните носом.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Откуда попал вирус
« Ответ #1 : 18.01.2017, 10:26:21 »
Какая версия Joomla у вас? Сколько сайтов на аккаунте? Какая версия php?
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #2 : 18.01.2017, 11:49:01 »
Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #4 : 19.01.2017, 09:00:09 »
Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?

Есть лишний пользователь. У меня регистрация включена но нигде не выведена.
Данный пользователь не активирован и никогда не заходил.
Обозвался как joomlasupport.

Удалил его и регистрацию отключил в настройках.

Какая версия Joomla у вас? Сколько сайтов на аккаунте? Какая версия php?

На аккаунте 3 сайта. Joomla! 2.5.28. PHP Version 5.3.29.
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #5 : 19.01.2017, 10:49:20 »
Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #6 : 19.01.2017, 13:15:34 »
А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.

Патчей безопасности? Официальных?
Варез есть. ZOO компонент. Такое чувство, что там дырявая подача материала с фронтенда. Хотя... я не спец.

пароли вроде нормальные.
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #7 : 19.01.2017, 14:13:47 »
Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #8 : 19.01.2017, 16:25:42 »
zoo мне казалось бесплатный компонент)

Когда я качал а это было года три назад были какие-то проблемы с бесплатностью. Сейчас мб и бесплатное.
Спасибо за подсказку.
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #9 : 19.01.2017, 16:29:35 »
Ответ на вопрос.

Сам скачал и\или ничего не обновлял
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #10 : 19.01.2017, 16:38:23 »
Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #11 : 19.01.2017, 17:03:25 »
Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?
Я бы не рисковал

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.
А мне удалось.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Откуда попал вирус
« Ответ #12 : 19.01.2017, 19:39:59 »
Откуда попал вирус

Потому что сайты не обслуживаете!
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Откуда попал вирус
« Ответ #13 : 19.01.2017, 22:11:44 »
Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?
Мне кажется данная проблема никогда не решится) или вы о чем-то конкретном?
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #14 : 20.01.2017, 00:05:36 »
пароли вроде нормальные.
Они кроме вас никому не нужны.

Попробую обобщить на доступном примере все то, о чем говорили. Итак, представьте - у вас дом. Вы его построили, обставили, в шкафу под грудой свежих простынь храните свою заначку на черный день. А уходя из дома вешаете на дверь замочек. И вот в один прекрасный день идете вы домой - а по дороге к вам клеиться некая молодая сексуальная особа, которая ну вся такая доступная... Заходите вы в магазин за пузырем и ведете ее домой. А на следующий день придя домой обнаруживаете, что заначки нет, на столе - недопитый пузырь какого то неизвестного науке пойла, на полу - мокрый презерватив, повсюду следы чьих то грязных сапог. Как же так! - резонно возмущаетесь вы, дверь то на замке! Вызываете полицию. Те приезжают, смотрят на вас как на идиота, кто то в сторонке хихикает... А один пожилой капитан начинает терпеливо объяснять - замочек ваш - фуфло, поддел отверткой - он и отвалится. Но его не трогали, так как в дом проникнуть - тыща способов - и через открытое окно, и через заднюю дверь, и через чердак, и даже просто выбив дверь вместе с замком. А вы еще телку привели в дом, которая все разнюхала, да стукнула, кому надо. Че делать... Теперь уж ниче, смотреть, не прячется ли где вор под диваном, да нанимать охрану, ставить сигнализацию, иначе опять влезут.

Собственно, именно это и обсуждается. Вы привели телку в виде вареза на свой и так хлипкий старый двиг, и надеетесь на пароли? Взломать его - тыща способов на самом деле. Это так, пища для размышлений. Собственно, прислушайтесь к словам тех, кто вам ответил.

P.S. кстати, тем жуликам теперь известны ходы, и даже есть специальное хитрое приспособление, которое откроет им дверь изнутри....
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #15 : 23.01.2017, 09:34:48 »
Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)

Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Откуда попал вирус
« Ответ #16 : 23.01.2017, 09:36:02 »
Решится 99%, если поставить два патча, удалить уже существующие шеллы и сменить все пароли.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Откуда попал вирус
« Ответ #17 : 28.01.2017, 11:16:35 »
Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?
От инъекции поможет от шелов нет, потому что шел это (если не углубляясь простым языком) файл уже который вам залили, от шелов и бекдоров избавит только чистка сайта, кстати варез это и есть шел который те кто ставит сами себе внедряют.
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #18 : 28.01.2017, 20:32:42 »
Решится 99%, если поставить два патча, удалить уже существующие шеллы и сменить все пароли.
я уже все подчистил. и сменил все пароли.
а что за два патча?
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #19 : 28.01.2017, 20:41:08 »
session hardening и патч получения суперадминских прав от VirtueMart, выше по ссылки уже давались.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Откуда попал вирус
« Ответ #20 : 28.01.2017, 21:55:33 »
Цитировать
А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

у меня на Хостинг-Центре (shared) тоже такой файл попал туда же. Вот он https://yadi.sk/i/RnohT3a83BWTkm
хостер сообщил о нем. но к тому времени логи уже были недоступны. это произошло в начале месяца.
я перенес сайт на другую услугу - но не из-за этого, панель новую захотелось. поставил tripwire. пока он не появился. Joomla 2.5.28 пропатченная и никакого вареза. кроме этого патча https://virtuemart.net/news/latest-news/478-joomla-security-release-3-6-5-and-patch-for-joomla-2-5-28   ^-^ пропустил как-то. ZOO есть у меня - бесплатный, blog и еще что-то.

проблема такая с хостером - скрипт tripwire в cron через wget не шлет письма иногда если интервал ставить раз в час. раз в сутки шлет. разбираюсь с саппортом.
« Последнее редактирование: 28.01.2017, 22:09:48 от capricorn »
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #21 : 03.02.2017, 14:18:53 »
Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:
Спойлер
[свернуть]

Блин мне опять залили подобный файл в корень сайта. Капееец.
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #22 : 03.02.2017, 14:50:11 »
Значит или не всё удалили или не все уязвимости закрыли, смотрите логи, если время создания файла не измененное, то можно посмотреть по конкретному времени.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #23 : 03.02.2017, 15:04:32 »
Блин мне опять залили подобный файл в корень сайта. Капееец.
Прочитайте еще раз мой пост выше.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #24 : 03.02.2017, 19:14:16 »
Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml

Спойлер
[свернуть]
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #25 : 03.02.2017, 19:22:18 »
Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml
И причем тут движок?
Написано же, что это  manul похороненный
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #26 : 03.02.2017, 19:54:22 »
И причем тут движок?
Написано же, что это  manul похороненный

Я не знаю что это за манул папка
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #27 : 03.02.2017, 20:02:01 »
Антивирус от яндекса, можно спокойно удалять папку.
Я смотрю даже не знаете, что у вас на сервере происходит.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Откуда попал вирус
« Ответ #28 : 04.02.2017, 19:31:36 »
я уже все подчистил. и сменил все пароли.
а что за два патча?
Ни чего вы не почистили, чистка включает в себя, закрытие уязвимостей  и накат обновлений с патчами.
Блин мне опять залили подобный файл в корень сайта. Капееец.
Так и будет пока кто либо компетентный не выполнит работы.

Вам желаю хорошего само обучения! И приобретения опыта.
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #29 : 05.02.2017, 18:47:30 »
Прочитал на серче совет про отплючение функций php:

Цитировать
Отключаем не нужные для 95% сайтов функции ( и нужные для 99% шелов)

disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

Кто что думает?
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 922
Последний ответ 25.05.2023, 08:49:57
от Театрал
Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2953
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js

Автор AlexP750

Ответов: 6
Просмотров: 1756
Последний ответ 22.02.2022, 11:38:15
от AlexP750
Спам, вирус или дело в браузере Google

Автор alekcae

Ответов: 13
Просмотров: 976
Последний ответ 16.05.2021, 18:52:24
от alekcae
На сайте появился вирус

Автор Lifar

Ответов: 3
Просмотров: 667
Последний ответ 23.04.2021, 10:12:05
от ProtectYourSite