Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 14 - Безопасность сайтов на Joomla

С IP 178.70.152.22 идет опрос сайта, проверьте что за адрес, если левый, забейте в htaccess

Так адреса меняются

Так адреса меняются

В смысле меняются? Это общая сетка для одного провайдера.
inetnum:        178.70.128.0 - 178.70.255.255
netname:        RU-AVANGARD-DSL
descr:          OJSC "North-West Telecom"
descr:          Saint-Peterburg branch of the OJSC "North-West Telecom"
descr:          24 Bolshaya Morskaya st., 191186, St. Petersburg, Russia
country:        RU
admin-c:        RCR3-RIPE
tech-c:         RCR3-RIPE
status:         ASSIGNED PA
mnt-by:         AS8997-MNT
mnt-lower:      AS8997-MNT
mnt-domains:    AS8997-MNT
mnt-routes:     AS8997-MNT
source:         RIPE # Filtered

Забить всю сетку

В смысле меняются? Это общая сетка для одного провайдера.
inetnum:        178.70.128.0 - 178.70.255.255
netname:        RU-AVANGARD-DSL
descr:          OJSC "North-West Telecom"
descr:          Saint-Peterburg branch of the OJSC "North-West Telecom"
descr:          24 Bolshaya Morskaya st., 191186, St. Petersburg, Russia
country:        RU
admin-c:        RCR3-RIPE
tech-c:         RCR3-RIPE
status:         ASSIGNED PA
mnt-by:         AS8997-MNT
mnt-lower:      AS8997-MNT
mnt-domains:    AS8997-MNT
mnt-routes:     AS8997-MNT
source:         RIPE # Filtered

Забить всю сетку

А зачем идет этот опрос?

А зачем идет этот опрос?

Авангард-это мой провайдер-это что-то значит?

[Mon Feb 10 09:47:46 2014] [warn] [client 178.70.156.246] mod_fcgid: stderr: PHP Notice:  Undefined offset: 1 in /home/dS6Ucilw20076/skair.ru/modules/mod_vtem_image_carousel/tmpl/default.php on line 169
[Mon Feb 10 09:47:49 2014] [error] [client 178.70.156.246] File does not exist: /home/dS6Ucilw20076/skair.ru/templates/vt_cars/css/layouts_style.css, referer: http://skair.ru/
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: bodyfont1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/default.php on line 259
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: logofont1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/default.php on line 262
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: sloganfont1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/default.php on line 265
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: menufont1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/default.php on line 268
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: moduletitlefont1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/default.php on line 271
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: pageheadingfont1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/default.php on line 274
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: showbodyfont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 23
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: showlogofont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 24
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: showsloganfont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 25
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: showmenufont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 26
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: showmoduletitlefont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 27
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: showpageheadingfont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 28
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: showcontenttitlefont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 29
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: footermodsep1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/base.php on line 194
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: footermodsep2 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/base.php on line 199
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: footermodsep3 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/base.php on line 204
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined variable: infinite_list in /home/dS6Ucilw20076/skair.ru/modules/mod_vtem_image_carousel/tmpl/default.php on line 145
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined offset: 1 in /home/dS6Ucilw20076/skair.ru/modules/mod_vtem_image_carousel/tmpl/default.php on line 163
[Mon Feb 10 11:06:07 2014] [warn] [client 213.180.206.205] mod_fcgid: stderr: PHP Notice:  Undefined offset: 1 in /home/dS6Ucilw20076/skair.ru/modules/mod_vtem_image_carousel/tmpl/default.php on line 169
Как это все-таки исправить? Это является ошибкой, кот.надо исправлять?

Сделайте откат до не зараженной версии и восстановите утерянный контент.

Наверно мало будет сделать откат. Надо найти и устранить уязвимости и вылечить сайт.

Позавчера началась массовая рассылка почты с сайта, в результате чего эккаунт был заблокирован.

Глубже пока не копал, слил на локаль для анализа. Может кто уже сталкивался с таким и подскажет направление поиска-лечения?

Вопрос не для этой темы.

Решили создать отдельный топик прикрепить и вести все вопросы и ответы в нем.
Все вопросы связанные с лечением сайтов от вируса будут только в одной теме, просьба писать их здесь.
Прежде чем писать вопрос прочитать топик и раздел безопасности, на многие вопросы уже есть ответы.
Отныне все темы созданные про вирус, как лечить сайт и что делать будут удаляться.

http://joomlaforum.ru/index.php/topic,246899.0.html
А по сути вопроса- Версия Joomla, версии расширений  должна быть актуальные, не нужные расширения удалить.
Админы думают, что если расширение не используется, не включено, то его нельзя взломать.
Можно запретить доступ к файлам PHP по прямому запросу

А почему не для этой вдруг?

Ок.

draff, пожалуйста не пишите в эту тему.

draff, пожалуйста не пишите в эту тему.

Эт почему ?

Наверно мало будет сделать откат. Надо найти и устранить уязвимости и вылечить сайт.

Откат - это только первый этап.
1 Найти уязвимости.
2 Проверить файлы на сервере. (Достаточно часто в папки сервера закладываются файлы управления)
3 Выставить защиту (Закрыть прямой доступ к админ части, установить плагины защиты)
4 Проверить логи для поиска IP адресов с которых ведется атака на сайт и закрыть эти адреса.
5 Выкинуть все лишнее
6 Проверить соседние сайты
7 Обновить все до актуальных версий
Порядок работ может быть разным, как кому удобно

задолбал бот compatible; BLEXBot/1.0; +http://webmeup-crawler.com с IP198.143.158.34
Страна: United States
Регион: California
Город: Santa Clara
Широта: 37.3961
Долгота: -121.9617

Кто нибудь сталкивался с подменой шаблона файлами с расширением tpl?

Откат - это только первый этап.
1 Найти уязвимости.
2 Проверить файлы на сервере. (Достаточно часто в папки сервера закладываются файлы управления)
3 Выставить защиту (Закрыть прямой доступ к админ части, установить плагины защиты)
4 Проверить логи для поиска IP адресов с которых ведется атака на сайт и закрыть эти адреса.
5 Выкинуть все лишнее
6 Проверить соседние сайты
7 Обновить все до актуальных версий
Порядок работ может быть разным, как кому удобно

Порядок работы явно не может быть разным!

Securitycheck включил защиту админки, но админка спокойно открывается по обычному адресу, в чем может быть проблема?

Сыплются вот такие записи в журнал.
5.248.18.249    2014-02-28 23:03:44    SQL шаблон обнаружен :[GET:name]    /index.php?name=999999.9%20union%20all%20select%200x31303235343830303536%2C0x31303235343830303536%2C    com_content    SQL инъекция      Пометить прочитанным      
5.248.18.249    2014-02-28 23:03:44    SQL шаблон обнаружен :[GET:name]    /index.php?name=999999.9%20union%20all%20select%200x31303235343830303536%2C0x31303235343830303536%2C    com_content    SQL инъекция      Пометить прочитанным      
5.248.18.249    2014-02-28 23:03:44    SQL шаблон обнаружен :[GET:name]    /index.php?name=999999.9%20union%20all%20select%200x31303235343830303536%2C0x31303235343830303536%2C    com_content    SQL инъекция      Пометить прочитанным      
5.248.18.249    2014-02-28 23:03:43    SQL шаблон обнаружен :[GET:name]    /index.php?name=999999.9%20union%20all%20select%200x31303235343830303536%2C0x31303235343830303536%2C    com_content    SQL инъекция      Пометить прочитанным      
5.248.18.249    2014-02-28 23:03:43    SQL шаблон обнаружен :[GET:name]    /index.php?name=999999.9%20union%20all%20select%200x31303235343830303536%2C0x31303235343830303536%2C    com_content    SQL инъекция      Пометить прочитанным
подскажите, пожалуйста, что это и что с этим делать?
Спасибо!

третий раз вычищаю сайт от вирусов, а они все появляются. по этим логам видно вроде как доступ получить пытаются. может кто-то разъяснить по подробнее данные логи?

Ну первая часть лога это попытка реализации локального инклуда, а вторая это попытка реализации, попытка это еще не факт того что получилась реализовать, попробуйте сами повторите те же шаги, и если что то все же реализовывается, то фиксите или обновляйте до актуальной версии, также вполне где то спрятаться бегдор которого вы не можете обнаружить.

к моему сайту прикрепился дорвей, как его убрать? Подскажите с чего начать

к моему сайту прикрепился дорвей, как его убрать? Подскажите с чего начать

причём сайт работает как и раньше, просто в индексе появилось несколько тысяч спамовых страниц

Найти и удалить. Устранить уязвимости. Что за сайт и где дорвей?

Найти и удалить. Устранить уязвимости. Что за сайт и где дорвей?

в другой теме подсказали топик http://joomlaforum.ru/index.php/topic,289696.0.html
смысл в том что к сайту прикрепился сайт с сылками на зелёный кофе, т.е если к домену дописать /hrg? попадаешь на этот дорвей, как взломали не разобрался, но пока проблему решил сменой всех паролей и прав и удалением папки js из папки includs

Свежие шеллы пошли... 2.5 начали ломать.

Свежие шеллы пошли... 2.5 начали ломать.

мне шелл помогли найти, удалил, вообще странно, на взломанных сайтах  на хостинге поменяли права доступа на все папки и файлы

а можно как то через взлом уронить sql базу?
несколько дней назад отказала sql и на Joomla и на форуме (форум phpbb3). форум находиться на 3-м уровне forum. мой сайт.ru
точно такое же произошло и на другом сайте, провайдер починил.
через 2 дня повтор с sql опять рухнула. починили. сказали что нужно поставить средство защиты и чистить sql от мусора (чтото в виде папки темп, этj я так понял). вопрос какое по ставить и что именно чистить?

Можно, но то, что у вас было, скорее проблема вашего хостера.

а можно как то через взлом уронить sql базу?

Базу можно сломать, но скорее всего проблема в другом: в базе много мусора и идет перегруз запросами. Посмотрите размер базы, в ручную проверьте. Так же проверьте запросы.

Посмотрите размер базы, в ручную проверьте. Так же проверьте запросы.

где можно посмотреть размер и запросы?