Форум русской поддержки Joomla!® CMS
17.08.2017, 21:18:22 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Основной курс по Joomla
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Откуда попал вирус

 (Прочитано 1799 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« : 18.01.2017, 11:22:43 »

Здравствуйте,

Сегодня частично перестал работать сайт.
После отката на 2 дня назад сайт поднялся.

Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:
Показать текстовый блок

Вирус ли это? Как думаете?

И еще вопрос. Как понять откуда он залез на мой сайт??
Логи открыл и как говорится вижу фигу. Ткните носом.
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3786


skype aqaus.com


« Ответ #1 : 18.01.2017, 11:26:21 »

Какая версия Joomla у вас? Сколько сайтов на аккаунте? Какая версия php?
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #2 : 18.01.2017, 12:49:01 »

Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?
Записан
flyingspook
Moderator
*****

Репутация: +245/-9
Offline Offline

Сообщений: 3774


« Ответ #3 : 18.01.2017, 17:50:08 »

Чистите и обновляйте сайт(ы).
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #4 : 19.01.2017, 10:00:09 »

Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?

Есть лишний пользователь. У меня регистрация включена но нигде не выведена.
Данный пользователь не активирован и никогда не заходил.
Обозвался как joomlasupport.

Удалил его и регистрацию отключил в настройках.

Какая версия Joomla у вас? Сколько сайтов на аккаунте? Какая версия php?

На аккаунте 3 сайта. Joomla! 2.5.28. PHP Version 5.3.29.
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #5 : 19.01.2017, 11:49:20 »

Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #6 : 19.01.2017, 14:15:34 »

А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.

Патчей безопасности? Официальных?
Варез есть. ZOO компонент. Такое чувство, что там дырявая подача материала с фронтенда. Хотя... я не спец.

пароли вроде нормальные.
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #7 : 19.01.2017, 15:13:47 »

Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #8 : 19.01.2017, 17:25:42 »

zoo мне казалось бесплатный компонент)

Когда я качал а это было года три назад были какие-то проблемы с бесплатностью. Сейчас мб и бесплатное.
Спасибо за подсказку.
Записан
voland
Профи
********

Репутация: +520/-101
Online Online

Пол: Мужской
Сообщений: 9934


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #9 : 19.01.2017, 17:29:35 »

Ответ на вопрос.

Сам скачал и\или ничего не обновлял
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #10 : 19.01.2017, 17:38:23 »

Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.
Записан
voland
Профи
********

Репутация: +520/-101
Online Online

Пол: Мужской
Сообщений: 9934


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #11 : 19.01.2017, 18:03:25 »

Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?
Я бы не рисковал

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.
А мне удалось.
Записан
flyingspook
Moderator
*****

Репутация: +245/-9
Offline Offline

Сообщений: 3774


« Ответ #12 : 19.01.2017, 20:39:59 »

Откуда попал вирус

Потому что сайты не обслуживаете!
Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #13 : 19.01.2017, 23:11:44 »

Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?
Мне кажется данная проблема никогда не решится) или вы о чем-то конкретном?
Записан
SeBun
Профи
********

Репутация: +189/-5
Offline Offline

Пол: Мужской
Сообщений: 3223


@SeBun48


« Ответ #14 : 20.01.2017, 01:05:36 »

пароли вроде нормальные.
Они кроме вас никому не нужны.

Попробую обобщить на доступном примере все то, о чем говорили. Итак, представьте - у вас дом. Вы его построили, обставили, в шкафу под грудой свежих простынь храните свою заначку на черный день. А уходя из дома вешаете на дверь замочек. И вот в один прекрасный день идете вы домой - а по дороге к вам клеиться некая молодая сексуальная особа, которая ну вся такая доступная... Заходите вы в магазин за пузырем и ведете ее домой. А на следующий день придя домой обнаруживаете, что заначки нет, на столе - недопитый пузырь какого то неизвестного науке пойла, на полу - мокрый презерватив, повсюду следы чьих то грязных сапог. Как же так! - резонно возмущаетесь вы, дверь то на замке! Вызываете полицию. Те приезжают, смотрят на вас как на идиота, кто то в сторонке хихикает... А один пожилой капитан начинает терпеливо объяснять - замочек ваш - фуфло, поддел отверткой - он и отвалится. Но его не трогали, так как в дом проникнуть - тыща способов - и через открытое окно, и через заднюю дверь, и через чердак, и даже просто выбив дверь вместе с замком. А вы еще телку привели в дом, которая все разнюхала, да стукнула, кому надо. Че делать... Теперь уж ниче, смотреть, не прячется ли где вор под диваном, да нанимать охрану, ставить сигнализацию, иначе опять влезут.

Собственно, именно это и обсуждается. Вы привели телку в виде вареза на свой и так хлипкий старый двиг, и надеетесь на пароли? Взломать его - тыща способов на самом деле. Это так, пища для размышлений. Собственно, прислушайтесь к словам тех, кто вам ответил.

P.S. кстати, тем жуликам теперь известны ходы, и даже есть специальное хитрое приспособление, которое откроет им дверь изнутри....
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #15 : 23.01.2017, 10:34:48 »

Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)

Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3786


skype aqaus.com


« Ответ #16 : 23.01.2017, 10:36:02 »

Решится 99%, если поставить два патча, удалить уже существующие шеллы и сменить все пароли.
Записан
flyingspook
Moderator
*****

Репутация: +245/-9
Offline Offline

Сообщений: 3774


« Ответ #17 : 28.01.2017, 12:16:35 »

Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?
От инъекции поможет от шелов нет, потому что шел это (если не углубляясь простым языком) файл уже который вам залили, от шелов и бекдоров избавит только чистка сайта, кстати варез это и есть шел который те кто ставит сами себе внедряют.
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #18 : 28.01.2017, 21:32:42 »

Решится 99%, если поставить два патча, удалить уже существующие шеллы и сменить все пароли.
я уже все подчистил. и сменил все пароли.
а что за два патча?
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #19 : 28.01.2017, 21:41:08 »

session hardening и патч получения суперадминских прав от VirtueMart, выше по ссылки уже давались.
Записан
capricorn
Практически профи
*******

Репутация: +107/-1
Offline Offline

Сообщений: 1741


« Ответ #20 : 28.01.2017, 22:55:33 »

Цитировать
А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

у меня на Хостинг-Центре (shared) тоже такой файл попал туда же. Вот он https://yadi.sk/i/RnohT3a83BWTkm
хостер сообщил о нем. но к тому времени логи уже были недоступны. это произошло в начале месяца.
я перенес сайт на другую услугу - но не из-за этого, панель новую захотелось. поставил tripwire. пока он не появился. Joomla 2.5.28 пропатченная и никакого вареза. кроме этого патча https://virtuemart.net/news/latest-news/478-joomla-security-release-3-6-5-and-patch-for-joomla-2-5-28   Smiley пропустил как-то. ZOO есть у меня - бесплатный, blog и еще что-то.

проблема такая с хостером - скрипт tripwire в cron через wget не шлет письма иногда если интервал ставить раз в час. раз в сутки шлет. разбираюсь с саппортом.
« Последнее редактирование: 28.01.2017, 23:09:48 от capricorn » Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #21 : 03.02.2017, 15:18:53 »

Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:
Показать текстовый блок

Блин мне опять залили подобный файл в корень сайта. Капееец.
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #22 : 03.02.2017, 15:50:11 »

Значит или не всё удалили или не все уязвимости закрыли, смотрите логи, если время создания файла не измененное, то можно посмотреть по конкретному времени.
Записан
SeBun
Профи
********

Репутация: +189/-5
Offline Offline

Пол: Мужской
Сообщений: 3223


@SeBun48


« Ответ #23 : 03.02.2017, 16:04:32 »

Блин мне опять залили подобный файл в корень сайта. Капееец.
Прочитайте еще раз мой пост выше.
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #24 : 03.02.2017, 20:14:16 »

Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml

Показать текстовый блок
Записан
voland
Профи
********

Репутация: +520/-101
Online Online

Пол: Мужской
Сообщений: 9934


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #25 : 03.02.2017, 20:22:18 »

Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml
И причем тут движок?
Написано же, что это  manul похороненный
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #26 : 03.02.2017, 20:54:22 »

И причем тут движок?
Написано же, что это  manul похороненный

Я не знаю что это за манул папка
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #27 : 03.02.2017, 21:02:01 »

Антивирус от яндекса, можно спокойно удалять папку.
Я смотрю даже не знаете, что у вас на сервере происходит.
Записан
flyingspook
Moderator
*****

Репутация: +245/-9
Offline Offline

Сообщений: 3774


« Ответ #28 : 04.02.2017, 20:31:36 »

я уже все подчистил. и сменил все пароли.
а что за два патча?
Ни чего вы не почистили, чистка включает в себя, закрытие уязвимостей  и накат обновлений с патчами.
Блин мне опять залили подобный файл в корень сайта. Капееец.
Так и будет пока кто либо компетентный не выполнит работы.

Вам желаю хорошего само обучения! И приобретения опыта.
Записан
Mick_20
Завсегдатай
*****

Репутация: +3/-0
Offline Offline

Пол: Мужской
Сообщений: 686


Кручу мучу... заработать хочу.


« Ответ #29 : 05.02.2017, 19:47:30 »

Прочитал на серче совет про отплючение функций php:

Цитировать
Отключаем не нужные для 95% сайтов функции ( и нужные для 99% шелов)

disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

Кто что думает?
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet