0 Пользователей и 1 Гость просматривают эту тему.
  • 678 Ответов
  • 243637 Просмотров
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Ребята что это?
Спойлер
[свернуть]
Первые две строчки, это пытаются реализовать локальный инклуд
Третья строчка, говорит, что у вас пытаются (если таков установлен) JCE Залиться, а конкретно в строчке реализуется переименнования уже залитого файла с gif в php!
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

SDKiller

  • Живу я здесь
  • 2706
  • 329 / 5
  • ...ergo sum
Цитировать
...from dle_users...

Не просто blind-инъекция, а супер-слепая, без проверки движка. Если я правильно тут понимаю что пытаются ломать DLE на джумловском сайте
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Не просто blind-инъекция, а супер-слепая, без проверки движка.
По-моему их таких 90%. У меня старательно доблятся в WordPress, который никогда не стоял.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
не стоит на ботов внимание обращать, мало кто из них интеллектуален к нашей же радости
*

Aleks_k

  • Осваиваюсь на форуме
  • 27
  • 0 / 0
что за хрень:
Line 1381: 83.221.219.152 - - [27/Jun/2013:11:37:33 +0400] "OPTIONS /attachments/article/737/ HTTP/1.0" 200 - "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
Line 1382: 83.221.219.152 - - [27/Jun/2013:11:37:33 +0400] "PROPFIND /attachments/article/737 HTTP/1.0" 301 255 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
Line 1383: 83.221.219.152 - - [27/Jun/2013:11:37:33 +0400] "PROPFIND /attachments/article/737/ HTTP/1.0" 405 260 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601
особенно последние две строки ! по сути они идентичны, а сервак реагирует по-разному!
*

autosandul

  • Новичок
  • 3
  • 0 / 0
Admin Tools сообщил о нарушении безопасности:

Адрес IP: 94.228.220.68 (IP Lookup: http://ip-lookup.net/index.php?ip=94.228.220.68)
Причина: SQLi Shield

http://сайт/index.php?do=form&id=1+and+1=0+union+select+1,2,3,4,5,6,7,8,9,group_concat(0x3a,0x3c6b65793e,0x3a,name,0x3a,password,0x3c6b6579733e),11+from+dle_users+where+user_group=1+--++--+


Что это и как с этим бороться? Спасибо.
*

SDKiller

  • Живу я здесь
  • 2706
  • 329 / 5
  • ...ergo sum
Никак если у вас Joomla - вам конкретно такой запрос ничем не угрожает, так как очевидно направлен на какую-то уязвимость в DLE.
Можете IP забанить.
*

Андрюхин

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Перенес готовый, не мною настроенный изначально сайт к себе на хостинг. Через 2 месяца приходит от хостера письмо, что из вэб почты моего аккаунта 790 писем ушло. и ссылка.. по ней вижу вот такой вот текст:

Спойлер
[свернуть]

как я понял текст, есть некая дырка в плагине этом, и через неё как-то пробрался червяк, и смог отправить письма через мой вебмейл.
VirtueMart хоть и установлен, но используется как каталог. т.е. функционала магазина в нем нет.
вопрос - если я просто снесу к чертям всю папку с плагином это поможет решить вопрос со спамом?
как отключить плагин этот - кларна - не нашел в настройках VirtueMart.

за 3 дня второе письмо с 790 письмами спама через эту дырку.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
а не думаете что к вам просто в папку скрипт для рассылки положили, ну или изначально варьез сами поставили
Цитировать
вопрос - если я просто снесу к чертям всю папку с плагином это поможет решить вопрос со спамом?
снесите весь сайт уж тогда  ;D - это одним махом решит все проблемы/головные боли и не только с рассылкой
*

Андрюхин

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
а не думаете что к вам просто в папку скрипт для рассылки положили, ну или изначально варьез сами поставилиснесите весь сайт уж тогда  ;D - это одним махом решит все проблемы/головные боли и не только с рассылкой

удаление папки как и ожидалось не решило проблему. буквально через пол часа новый отчет об очередных 790 письмах. в папке входящие (сами письма как будто отчет о недоставленном письме, но при этом в исходящих ничего нет) уже 26к скопилось за несколько дней. теперь путь, на котороый ругается отчет это "/".

Не знаю что делать, поменял пароли все, посмотрю что будет дальше. если снова будет такое же, буду писать в саппорт хостеру
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
вот топик
http://joomlaforum.ru/index.php/topic,268015.msg1341591.html#msg1341591
почитайте
ни как не соберусь со временем про логирование все собрать и описать как просматривать и искать
*

ArtTeam

  • Захожу иногда
  • 186
  • 0 / 0
подскажите что это ?
Спойлер
[свернуть]
*

aspidy

  • Завсегдатай
  • 1008
  • 55 / 1
  • Миграция joomla 1.0-1.5-2.5
Кто сталкивался с таким в файле .htaccess?
RewriteEngine   on
RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer)    [NC]
RewriteRule    (.*)    http://base-file.com/files/soft/    [L,R=302]
Мелкий ремонт. skype poisk-plus
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

aspidy

  • Завсегдатай
  • 1008
  • 55 / 1
  • Миграция joomla 1.0-1.5-2.5
Цитировать
Редирект, скрытый от поисковиков, на "левый" сайт.
Это понятно, но какой смысл редиректить только мобильники? Подгруздка вирусов на взлом?
Мелкий ремонт. skype poisk-plus
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
но какой смысл редиректить только мобильники?
каждый взлом это своя цель, у этих SMS трафик и перевод в финансы
сейчас сайт чистили там 4 разных "взломщиков" сидели по почерку видно(хотя может и один но целей много), и у каждого свои приоритеты, от безобидных ссылок с бирж и до фишинга, каждый свое ставит
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

RomanA

  • Захожу иногда
  • 111
  • 0 / 0
На днях в сайте попорчены _все_ JS добавкой в начала текста:
Спойлер
[свернуть]
В логе от "jhackguard" в числе прочего следующий текст:
Спойлер
[свернуть]
Первая раскодировка дала:
Спойлер
[свернуть]
После второй раскодировки:
Спойлер
[свернуть]

И ещё полно записей типа
Спойлер
[свернуть]
И ещё вот эта подмена файла:
Спойлер
[свернуть]
, но таких файлов нигде не найдено.

Что бы это значило?
« Последнее редактирование: 03.07.2013, 10:41:32 от RomanA »
*

SDKiller

  • Живу я здесь
  • 2706
  • 329 / 5
  • ...ergo sum
Ну для начала - что толку особо от jhackguard нет раз файлы всё равно были модифицированы )
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Подгружают вам всякую гадость. Искать надо и чистить.
*

RomanA

  • Захожу иногда
  • 111
  • 0 / 0
Да почистил-то сразу, а вот как предотвратить дальнейшее?..
Как-то найти бы дыру, в каких логах посмотреть...
J 1.5.22, обновить пока нет возможности.
*

SDKiller

  • Живу я здесь
  • 2706
  • 329 / 5
  • ...ergo sum
Хотя бы до 1.5.26 обновите
Там как раз последние несколько релизов были в основном для устранения уязвимостей.
*

RomanA

  • Захожу иногда
  • 111
  • 0 / 0
*

verstalshik

  • Завсегдатай
  • 1754
  • 95 / 1
❶ НЕ СПРАВЛЯЕШЬСЯ САМ???  Поможем тут...  ❷ Калькулятор доставки - ЗАКАЖИ!!!...  ❸ Каталог компаний - ЖМИ!!!...  ❹ НОВИЧКИ! ВСЕ сюда! Первая консультация БЕСПЛАТНО!!
*

radiant

  • Захожу иногда
  • 114
  • 3 / 0
« Последнее редактирование: 08.02.2021, 23:04:23 от radiant »
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 167
Последний ответ 26.03.2024, 18:51:10
от wishlight
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1099
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1251
Последний ответ 05.10.2021, 21:39:26
от ShopES
Тестирую сайты на уязвимости

Автор SalityGEN

Ответов: 0
Просмотров: 475
Последний ответ 21.08.2021, 23:01:01
от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1075
Последний ответ 03.11.2020, 17:36:03
от Cedars