Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 12 - Безопасность сайтов на Joomla

Добрый день!
Стоит Joomla Версия 1.5.26
С хостинга прислали письмо что "На Вашем аккаунте Сайт.ru обнаружено вредоносное содержимое" и указан путь к ниму  /public_html/includes/simple.php (выложил код ниже) Подскажите что надо удалить? И когда вставляешь в адрес этот файл то вылезает форма для пароля (фото ниже)
Заранее благодарен за ответ.

А в этом файле есть копирайт Joomla и проверка ?
Конечно удалять /public_html/includes/simple.php

Извини за вопрос удалить сам файл или код
 

includes/simple.php удалил файл и вообще сайт не грузится

Перезалей файлы Joomla

так или иначе код не работает, все сделано по правилам.

я проверил, оба скрипта работают, но к сожалению ловит маловато, на моем примере за 4 часа прошли около 773798 атак,   
из них 4209 прошли, ответ сервера 200
из них 767960 стоит ответ 403 (сам закрыл доступ, около 1700шт. ip)
из них около 1176 поймал скрипт.
думаю, может поставить два скрипта?
еще можно ли сделать так чтобы, скрипт обрабатывал и отдавал ответ 403 , а не 503 ?? так удобно посчитать.

Хм... у меня сервер от их атак только лог ростит. Если сервер голимый, то не поможет.

Хм... у меня сервер от их атак только лог ростит. Если сервер голимый, то не поможет.

у меня обычный ru-центр с тарифом 1с-битрикс, самое интересное, что нагрузка на сервер и доступность сервера практически на одном уровне,
главное сайт работает, в начало немножко идет задержка(тормозит) потом тут же открывается.
в день около 100 новых атакующих IP появляется, я их тут же отправляю в черный список.

У кого галерея com_ignitegallery , второй день стучат по сайтам Joomla.Хотя эта галерея не установлена.

У кого галерея com_ignitegallery , второй день стучат по сайтам Joomla.Хотя эта галерея не установлена.

Код

*$_GET DUMP
 -[option] => com_ignitegallery
 -[task] => view
 -[gallery] => -7 union select
1,2,concat(0x7e,0x7e,table_name,0x7e,0x7e),4,5,6,7,8,9,10 from
information_schema.tables where table_name like 0x257573657273--
 -[Itemid] => 67

Ага, сам уже второй день от RSFirewall уведомления ловлю.

У меня VDS, админка защищена http авторизацией, установлен ClamAV. Раз в сутки сканируется сайт, по почте отправляются отчеты о сканировании и обновлении антивируса. Все компоненты легальные. Бэкапы делаю. Никаких проблем. Мне стоит чего-то бояться? 

Кто сталкивался с подобным? Что это?

Бань по IP 222.189.57.182
А лог- может глюк

мод прокси сканят?

Бань по IP 222.189.57.182
А лог- может глюк

Баню подобное, также баню поисковики чинков.

У кого галерея com_ignitegallery , второй день стучат по сайтам Joomla.Хотя эта галерея не установлена.

Код

*$_GET DUMP
 -[option] => com_ignitegallery
 -[task] => view
 -[gallery] => -7 union select
1,2,concat(0x7e,0x7e,table_name,0x7e,0x7e),4,5,6,7,8,9,10 from
information_schema.tables where table_name like 0x257573657273--
 -[Itemid] => 67

Этот компонент еще уязвим от 2008 года, странно что ее не пропатчели, вообщем кому надо вот патченая функция:

в файле com_ignitegallery/ignitegallery.php

заменяем в функции запрос  $query

function showGallery($option, $gallery)
{
   $db =& JFactory::getDBO();
   $query = "SELECT * FROM #__ignitegallery WHERE id = $gallery";
   $db->setQuery($query);
   $row = $db->loadObject();
   
   HTML_ignitegallery::showGallery($option, $row);
}

на $query = "SELECT * FROM #__ignitegallery WHERE id = '".intval($gallery)."'";

Сегодня получил вот такое письмо
подскажите в error 404 тоже уязвимость есть, может стоит от него избавиться?
и еще вот такое
а это вообще не понятно, что за плагин
прокомментируйте знающие, а то мне как то не по себе после каждого письма от этой проги)

Наверно есть раз ищут. Надо обновлять расширения вовремя, если такие есть. Известные уязвимости.

Этот компонент еще уязвим от 2008 года, странно что ее не пропатчели,

Наверно уже пропатчили, раз платное расширение на JED

Люди, вот как все таки... Не ну я реально не понимаю, как заливают доры?
Опять подсадили "левые страницы" в папку libraries/ - вида /libraries/mosets/profilepicture/file/8.html
Админка прикрыта через htaccess
Стоит RSFirewall.
Сайт на VDS в отдельной учетке. Файлы залиты как буд то бы пользователем этой учетной записи (группа и владелец сайта совпадают)
Как это происходит? Объясните мне разумным языком. Права на папки везде 755, на файлы 644
Учетка работает в режиме cgi-php
Как еще могут проникатьи подсаживать файлы, на компе антивирусы стоят и все регулярно перепроверяется.
Я скоро параноиком стану уже...  !

Сразу так и не скажешь. Тут только смотреть надо. Чем проверяли, что стоит?

Сразу так и не скажешь. Тут только смотреть надо. Чем проверяли, что стоит?

Да нашел просто в коде главной шаблона вставку - <a href="/libraries/mosets/profilepicture/file/"></a>
Перешел по ней и как и ожидал нашел папку с дором

Люди, вот как все таки... Не ну я реально не понимаю, как заливают доры?
Как это происходит? Объясните мне разумным языком. Права на папки везде 755, на файлы 644
Учетка работает в режиме cgi-php

А почему не модулем для апач ? Проверяй расширения .
И решение пока нашел одно- на все, кроме папок, где запрещен запуск скриптов, 555/444
п.с.
А кто хостер ?

А почему не модулем для апач ?

Хостер рекомендовал, вроде говорит так безопаснее.

Я на днях сравнивал fast-cgi apache2-mpm-prefork и mod_php apache-mpm-itk. Второй вроде получше в плане экономии ресурсов да и проблем с правами вроде нет. Не знаю как на высоконагруженных проектах, но vps 512mb сдался примерно на 60 одновременных подключениях (кончилась память) fast-cgi и около 100 на mod_php (ограничение ресурсов примерно 80-120мб памяти). Может правда плохо настроено.

Отметился и у моих клиентов

И все таки fast-cgi при правильной настройке выигрывает.

И все таки fast-cgi при правильной настройке выигрывает.

Но иногда может напугать, если ftp-клиент дает сбой:


Ответ хостера:
Здравствуйте!

В данной директории располагаются файлы модулей Вашей CMS, судя по именам файлов это не стандартные файлы.

По всей видимости, Ваш сайт был взломан.

--
С уважением,
Департамент по работе с клиентами
 

Сайт на VDS в отдельной учетке. Файлы залиты как буд то бы пользователем этой учетной записи (группа и владелец сайта совпадают)
Как это происходит? Объясните мне разумным языком. Права на папки везде 755, на файлы 644
Учетка работает в режиме cgi-php

Вы ftp логи доступа свои для начала посмотрите на предмет взлома сервера. там есть незнакомые IP адреса?

Обновил первый пост.