Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 15 - Безопасность сайтов на Joomla

Практически каждый день в перенаправлениях такая картина:

Спойлер

[свернуть]

Подскажите пжл. как закрыться от этой заразы.

Подскажите пжл. как закрыться от этой заразы.

прописал такое правило:
RewriteCond %{QUERY_STRING} /function
RewriteRule .* /index.php [R=301,L]

Подборы /function идут и с первого и с остальных уровней вложенности.

На сайте Joomla 2.5.18 оказалась зараза: http://up.ht/1ilubKR

Код

<?xml version="1.0" encoding="utf-8"?><install version="1.5" type="module">
	<name>System</name>
	<author>Joomla</author>
	<creationDate>08 Jan 2010</creationDate>
	<copyright>Copyright (C)  Profexor Liberty</copyright>
	<license>http://www.gnu.org/copyleft/gpl.html GNU/GPL</license>
	<authorEmail>profexor@hell.com</authorEmail>
	<authorUrl>http://profexor.hell/</authorUrl>
	<version>1.0.0</version>
	<description>Модуль устранения неисправностей</description>
	    <files>
	       <filename module="mod_articless">mod_articless.php</filename>
        </files>
    <params description="this module has no parameteres" >
    </params>
</install>

Рано обрадовался. Эта запись блокирует добавление товара в JoomShopping.

... и добавить правила для необходимых категорий.

Стоит обратить внимание на IP с которого ведутся такие запросы. Может будет проще заблокировать на время, если их мало.

http://joomlaforum.ru/index.php/topic,246899.540.html

/core/core.php?cat=photo&topic=topic-kak-voyti-v-router-zyxel.html

141.8.147.21 - - [28/Mar/2014:18:53:36 +0400] "GET /kak-pravilno-pereklyuchat-peredachi-golf-5-14.html HTTP/1.0" 404 273 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

Добрый день! Вот такой запрос идет с Северной Каролины:
152.3.245.68 - - [09/Apr/2014:04:42:08 +0400] "GET /images/stories/3xp.php HTTP/1.0" 200 30478 "-" "Mozilla/4.0 (compatible; MSIE 7.0; America Online Browser 1.1; Windows NT 5.1; (R1 1.5); .NET CLR 2.0.50727; InfoPath.1)"

Кстати, если забить в поиске Google, очень много сайтов выходит. JHackGuard возьмет это?

А он присутствует. Ответ 200.

Добрый день! Вот такой запрос идет с Северной Каролины:
"GET /images/stories/3xp.php

# ЗАПРЕТ НА ЗАПУСК ФАЙЛА
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 

А он присутствует. Ответ 200.

.htaccess в папку /images с запретом на выполнение скриптов

Код

# ЗАПРЕТ НА ЗАПУСК ФАЙЛА
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 

Редактор JCE есть на сайте ?

.htaccess в папку /images с запретом на выполнение скриптов

<Files *.php>
Deny from all
</Files>

мало того на данном сайте установлен JCE уязвимой версии через него была залита зараза...

с чего был сделан такой вывод?

Это известный эксплойт JCE  который использует уязвимость и позволяет загрузить gif файл удаленно, и в последствии он переименовывается в php. Мне попадались в логах различные имена 0day.php 1px.php 3px.php и еще какие то сейчас уже и не припомню.

Последняя версия должна быть в норме. Но проверить лишний раз не помешает.