Компоненты и скрипты для защиты сайта. Логи атак на сайты - Безопасность сайтов на Joomla

========================================================
От модератора:

1. Логи выкладывайте строго под спойлер!

2. Запрещено цитировать сообщения целиком. Цитируя, апеллируйте к конкретной фразе.

========================================================

Обновлено 10.01.2018 - Добавил компонент Eyesite.

Здесь я собрал ссылки на понравившиеся мне расширения по защите сайтов. Это мало касается правильной защиты сервера, на котором расположены сайты. Необходимо следить за тем, чтобы программное обеспечение сервера было актуальным, без уязвимостей и правильно настроенным. В любом случае на шаред хостингах за вас это должен делать хостер. На своем сервере без "расширенного администрирования" вы сами отвечаете за безопасность.

Вы можете обратиться ко мне для лечения вашего сайта, если у вас есть в этом необходимость.

Контакты:

Еще сюда вы можете выложить лог атаки на ваш сайт или что либо еще, что может быть полезным для сообщества.

Ниже представлена информация по теме:

Securitycheck - Бесплатный firewall который пишет логи + возможность проверки расширений Joomla на уязвимость. Мне понравился. Устанавливаем и он уже готов к работе.

Еще есть 2 плагина которые защищают от некоторых типов попыток взлома Joomla. Так же они пишут логи. Теоретически они способны предотвратить неизвестную атаку (Так же создать кучу проблем с работой компонентов. В таком случае их можно выключить или попробовать другой).

Marco's SQL Injection - отсылает письма с логом атаки.

и

jHackGuard -пишет лог в logs/jhackguard-log.php

jHackGuard требует регистрации для загрузки. Архивы с плагином выложил в прикрепленных файлах. Выложена версия 1.4.1. В 1.4.2 есть некоторые требования для хостинга, то есть он не везде работает корректно.

Скриншоты и примеры настроек:

Securitycheck - работает сразу после установки. Если включена защита сессии админа в настройках плагина невозможен одновременный логин под одним аккаунтом админа с разных устройств.

Компонент:
Плагин:
Логи:

Marco's SQL Injection - необходимо внести некоторые настройки и активировать плагин. Настройки на скриншоте.

jHackGuard - после установки необходимо активировать плагин.

Вполне возможно поможет в борьбе с уязвимостями.

Вместе вроде работают без проблем.

Также можно обратить внимание на эти бесплатные расширения из раздела Site Security каталога расширений Joomla.


Снизу случайные примеры.

Логи доступа посложнее будет просмотреть, чем эти.

Отдельное спасибо авторам плагинов.

AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. Действительно один из лучших из бесплатных.

Версия AI-Bolit для Windows - позволяет проверить сайт на локальном ПК с установленной Windows.

Сканер поиска Shell and BackDoor - отдельное спасибо flyingspook

Его же новый сканер, имеющий платную и бесплатную версии, но и в бесплатной уже более широкий функционал.
Скрипт удаления вредоносного кода от icom
Dr.Web Cureit - утилита от Dr.Web. Хорошо ищет шеллы в бекапах и  вирусы на вашем пк.

Если вдруг вы не можете зайти на сайты антивирусов, то Dr.Web Cureit скачать можно отсюда.

Дополнительные расширения для защиты сайта от спама, флуда и атак админок:

Admin Tools - имеет множество функций в том числе защита дополнительным паролем каталога администратора с помощью .htaccess

Компонент:
Функция защиты админки:

EasyCalcCheck Plus - плагин предназначенный для борьбы со спамом на вашем сайте. Возможно подключать несколько типов CAPTCHA (reCAPTCHA, цифровая CAPTCHA), блокирование активности ботов по правилам пользователя, службы типа Akismet для фильтрации спама, скрытие админки и базовая защита от атак. Поддерживается интеграция со сторонними компонентами.

Настройки CAPTCHA:
Интеграция со сторонними компонентами и функции защиты:
Антиспам:

Возможно кому-нибудь пригодится мониторинг новых файлов в каталоге сайта встроенный в Joomla. Для этого можно использовать компонент Eyesite.


Некоторые файлы пришлось выложить на Google Drive в связи с правилами форума.

jHackGuard для версии Joomla 3+
jHackGuard для версии Joomla 2.5
jHackGuard для версии Joomla 1.5

Зеркало для загрузки скрипта для поиска вредоносного кода AI-Bolit

[#31626] Unauthorized file upload security issue - несанкционированная загрузка файлов. Распаковать и залить поверх обновленной Joomla 1.5.26 по ftp.
Патч Joomla 1.5.26

[20151201] - Core - Remote Code Execution Vulnerability. Из-за недостаточной проверки сессий в браузере возможно выполнение удаленного кода. Распаковать и залить поверх по ftp.
Патч Joomla 1.5.26
Патч Joomla 2.5.28

Напишите мне, если необходимо что-нибудь добавить или вы нашли ошибку.

У многих на странички с текстом вредоносного кода ругается антивирус. В этом случае можно сделать скриншот кода на этом сервисе:

Конвертер кода в изображение

Сервис годится для любых текстов. Для примера выложил отчет Marco's SQL Injection, хотя на него антивирус ругаться не будет:

Пример:

Marco's SQL Injection лог



** Local File Inclusion [GET:amp;controller] => ../../../../../../../../../../etc/passwd\0
** Local File Inclusion [REQUEST:amp;controller] => ../../../../../../../../../../etc/passwd\0

**PAGE / SERVER INFO


*REMOTE_ADDR :
94.179.198.35

*HTTP_USER_AGENT :
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_juliaportfolio&controller=../../../../../../../../../../etc/passwd%00



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0


*$_POST DUMP


*$_COOKIE DUMP
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)


*$_REQUEST DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)

Пример:

jHackGuard

2012-01-06   11:12:51   INFO   ::1   -   Changed GET value from:     -9999 UNION SELECT 1,concat(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from jos_users/* to:    -9999  SELECT 1,(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from /*

Спасибо! Буду пробовать настроить Marco's SQL Injection. Уже давно хотел заняться этим вопросом.
З.Ы. в заголовок темы очепятка прокралась. "выкладывать" будет правильнее

От себя добавлю: при включении плагина Marco's SQL Injection проследите за приложениями, которые отправляют любые запросы "за пределы сайта" такие как модуль Twitter, плагин Social Share Buttons и т.п.
Если настройки плагина были по умолчанию, то подобные расширения работать не будут, нужно будет внести их в список игнорируемых.

У меня все отлично в этом плане. Стоит ValAddThis plugin и все отправляется. Настроено именно так, как на картинке.

Может тему закрепить? К модераторам.

А у меня как раз таки ошибки посыпались с модуля твиттера и Social Share Buttons v1.3 =\

И кстати твиттер не модуль для джумлы, а подключенно в модуль HTML через API твиттера

И вот обнаружил что уже есть версия 1.4 плагина Social Share Buttons. ща поставлю и погляжу что будет

А что за ошибки?

wishlight
А тебе этот парень с Казани часто в логах попадается ?

IP 94.180.136.142
а бот  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

А что за ошибки?

У меня теперь новая проблема =( http://joomlaforum.ru/index.php/topic,196020.0.html

Прикрепил

Спасибо

У меня так ваще странная ситуация. Изначально была проблема с зараженными файлами типа base64_decode(. Обсуждалась здесь. Вроде скриптом ве подобрал, удалил. Жалоб нет.

На второй хостинг площадке (уже с другими сайтами) была таже проблема. Вроде тоже все вылечил. Все нормально было "пока". Вскоре обнаруживаю что аккаунт хостинка рубанули. Позвонил, сказали что от меня шлется спам. Причем ломали именно не основной домен хостинга, а дополнительный. На сайте были установлены только JoomShopping, его брал с их оффсайта. Спам слал сломанный файл конфигурации. Вот он.

Снес. Поставил все заного. Через несколько дней опять тоже самое. Еще и появились какие-то странные файлы весом 50-100 кб. Опять снес, пароли поменял. Поставил просто Joomla, взятую с Joomla.ru версия 1.5.25. Через несколько часов началось опять что-то непонятное. В папке logs появилась какая-то папка easywebsoc.td.com и кто-то реально ломится. Что делать не знаю. Заказ весит. Времени нет. Даже работать нормально не получается. Где дыра не понятно.

Логи не знаю где брать. Брал с хостинг панели. Т.е. основная атака идет именно на папку star.

До сих пор долбят какой-то файл anz.html в папке с компонентами. Я аж JoomShopping боюсь ставить. Подскажите как влияют на уязвимость права на папки в опциях Joomla, т.е. доступные на запись?

У меня это выглядит так

-->