Взлом или Joomla должна штатно такое делать?

  • 19 Ответов
  • 744 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн alpeichik

Здравствуйте уважаемые Joomlaводы! Получил письмо счастья от хостинга : На Вашем аккаунте обнаружена работа скриптов, осуществляющих исходящие запросы вредоносного характера на сторонние почтовые службы.
Для устранения вредоносной активности мы были вынуждены заблокировать возможность отправки писем с сервера.
Я обнаруживаю вот такие файлы в корневой директории некоторых сайтов: xml71.php, cach.php, footer89.php, dirs47.php, inc.php,error39.php и т.д. и т.п. а в них содержится что то типа: во вложении.
Так подскажите - что это взлом и подселение чего то левого или Joomla сама такое создаёт для своих каких то нужд ( типа кэш может какой то). В разных сайтах в корневой директории разные названия файлов, а вот при сравнении 2 -х, я обнаружил полное совпадение, хотя они и по разному называются и находятся в разных установках (разных директориях). А вот ещё что эти файлы созданы как бы давненько - есть каким то и 2 года, а каким то 6 мес.
Профи помогите >:(

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro

*

Онлайн vipiusss

  • ********
  • 5433
  • [+]325 / [-]10
  • Skype: renor_
    • Просмотр профиля
Да, voland прав, видно сидит что-то и робот хоста на это отреагировал.
Нужно искать причину, через анализ, искоренять и удалять. Шелл видно сидит. Опять же, предысторию шаблона и расширений.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

Оффлайн alpeichik

Хорошо - уяснил (взлом). А подробнее можно: взлом чего Joomla или хостера. Вот какие мысли у меня (я не програмист), но по логике :
если взломали какой то из сайтов Joomla, то в его директории я бы и обнаружил эти странные файлы, а в других нет. Но такие файлы есть почти во всех сайтах (около 15 шт. сайтов) и в 2. 5 и в 3.5 версиях. Думаю через хост ломанули. Вот загвоздка в чём, а почему эти файлы созданы 2 года назад и есть свежее 6 мес. и не было от хостинга сигналов что что то не так, а вот сейчас активизировалось видимо и хостинг плачет.
Опишите подробнее что делать: ведь 2 года некоторым этим плохим файлам. Толку с бэкапов, на 2 года назад не откатишь))). Опишите пожалуйста общий рецепт в таких случаях как и что можно сделать.
А вот ещё что AI-BOLIT на эти файлы ругается, и я их удалил и вроде бы всё работает. Но проверил чистую Joomla (дистрибутив), а AI-BOLIT и там находит уязвимость, вот что пишет при проверке чистой Joomla: Критические замечания
Уязвимости в скриптах (1)
D:\aibolit-for-windows\site/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031
Голова кругом - нужны рекомендации, советы, инструкции и т.д и т. п. Польза будет всем. ПОМОГИТЕ!

*

Онлайн vipiusss

  • ********
  • 5433
  • [+]325 / [-]10
  • Skype: renor_
    • Просмотр профиля
Я, да и ни кто, вам не ответят: нужно анализировать, искать, смотреть.
Код вредоносный может годами сидеть и только активироваться, по запросу исполнителя кода.
И да, может и хост заразился ваш.
Опять же, надо смотреть!

p.s. Вот http://joomlaforum.ru/index.php?action=profile;u=54801 смотрит тему, попросите его платно сделать анализ.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями


*

Оффлайн alpeichik

Хостинг, на одном пользователе, а сайты  - у всех разный админ. И файлы (плохие) есть почти во всех сайтах, даже 1 сайт был на чистом HTML и там нашёл бяку с .php на конце. Мне нужно выяснить может ли Joomla при взломе выходить за пределы своей директории и лезть в другой сайт?

*

Онлайн vipiusss

  • ********
  • 5433
  • [+]325 / [-]10
  • Skype: renor_
    • Просмотр профиля
Не может, а лезет!
Вот я чистил сервак у себя, так как робот нашёл и маякнул мне, что кака сидит.

Опять же, смотря какой код шелла или вируса. Но лезут и нагло, в зависимости, что у вас за папки сайтов и куда он может проникнуть.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

Оффлайн wishlight

  • ********
  • 3580
  • [+]221 / [-]1
  • skype aqaus.com
    • Просмотр профиля
    • Aqaus
Ну вам сломали один сайт, а потом через него и другие. Лечить надо каждый и выносить каждый на своего пользователя или использовать open_basedir.

*

Оффлайн alpeichik

Ага, а если я не знаю как лечить?, Что делать?

*

Онлайн vipiusss

  • ********
  • 5433
  • [+]325 / [-]10
  • Skype: renor_
    • Просмотр профиля
Ага, а если я не знаю как лечить?, Что делать?

Заказывать анализ, исполнитель ищет причину, удаляет, возможно по договору или на словах, или письменно, указывает что и почему, вы платите деньги.

С помощью Google и энтузиазма не получится.

Я порекомендовал выше человека, он и в теме написал выше.Советую его.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

Оффлайн wishlight

  • ********
  • 3580
  • [+]221 / [-]1
  • skype aqaus.com
    • Просмотр профиля
    • Aqaus
Обращаться к специалистам, если сами не можете. Могу предложить свою кандидатуру. Скорее всего придется сменить хостинг для начала.

Или все таки научится пользоваться ai-bolit хотя бы и базово определять где уязвимости.

*

Оффлайн Septdir

  • *******
  • 2083
  • [+]106 / [-]0
  • JoomlaZen
    • Просмотр профиля
    • Игорь «Septdir» Бердичевский
С помощью Google и энтузиазма не получится.
Ну, ты не прав, через годика два начнет получатся.
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты: Сайт | skype:septdir | Telegram | VK | Facebook | Twiter | Все контакты

*

Онлайн vipiusss

  • ********
  • 5433
  • [+]325 / [-]10
  • Skype: renor_
    • Просмотр профиля
Ну, ты не прав, через годика два начнет получатся.
А почему я не прав? Я про себя пишу, про то, что я могу и по доброте душевной, помогать, а могу и нет.
И что, получаться? Правда, не совсем понял.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями


*

Онлайн vipiusss

  • ********
  • 5433
  • [+]325 / [-]10
  • Skype: renor_
    • Просмотр профиля
15 сайтов по доброте душевной сложно вылечить. Лечил пару некоммерческих сайтов было...
Поэтому ты и знаешь практику мою, то, что я повыгонял всех с сервака.
Теперь точечно смотрю, кто виноват.

Скажу большее: нельзя хранить сайты вместе! Имхо! Да и практика показала.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

Хранить сайты можно, только жестко разграничить, чтобы друг друга не перезаражали. Но не на каждом хостинге такое осуществишь.

*

Онлайн flyingspook

alpeichik создайте тему в коммерческом разделе вам и откликнуться, тут с десяток человек кто лечением занимается, только бюджеты разные у всех, результат у всех один.

*

Оффлайн alpeichik

Денег нет но я держусь)), просто я за обслуживание 500 р. в мес. беру, а с дет. садика вообще 200. и сам все материалы размещаю. И платно у меня нет возможности решить вопрос. Буду сам искать выход. Теперь я понимаю почему многие берут за обслуживание в 10 раз больше. А иногда и вообще в десятки раз. Просто у нас в городе клиенты не готовы больше платить.

*

Онлайн flyingspook

Денег нет но я держусь)), просто я за обслуживание 500 р. в мес. беру, а с дет. садика вообще 200. и сам все материалы размещаю. И платно у меня нет возможности решить вопрос. Буду сам искать выход. Теперь я понимаю почему многие берут за обслуживание в 10 раз больше. А иногда и вообще в десятки раз. Просто у нас в городе клиенты не готовы больше платить.
По существу надо каждый сайт на обслуживании вешать на хостинг заказчика, это правило номер 1.
Ни когда не упирайтесь в "ваш городок", многие специалисты те кто на форуме и не только работают по всему миру, и ни когда живя в деревне с полтора колеками не работали с её заказчиками. Вы сами решили что они не заплатят, и это ваша проблема, из около 15 сайтов 2-3 заказчика адекватных останется и вам меньше головных болей и больше выходных.
Цените свой труд и будут вам счастье.