Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder - страница 4 - Безопасность сайтов на Joomla

Это был бот и он еще вернется возможно.

Спасибо, успокоил... Как найти где он сидит, у меня ли проблема? Может у других или у хостера. Последнее время хостер как-то нестабильно работает, такое впечатление, что его досят. Они приняли меры от брута (после смены пароля сам попадал в бан). Просмотр логов хостера ничего не дал.
Кроме того, что кто-то заходил 06.07.12 в мою админку (я тогда был на дне рождения и на клавишу бы не попал) и появился файл от 06.07.12 (index.phph, который заменил мой index.php).
Вроде все просто - утечка пароля, но неужели на одном IP хостера у 260 сайтов произошла утечка?

Юзал описанный здесь скрипт, но никакой файл и код, внутри предложенных скриптом файлах, у меня подозрения не вызвал, может потому, что я - баран. Не знаю, но боюсь нового взлома, чувствую себя портовой девицей, непонятно кого отмотросили, но болею я.

может у хостера увели. Такое бывало.

Мне кажется есть серьезная бага на движке... По этому хотел узнать как можно понять что за уязвимость?

Почитай про протокол TCP/IP ,и узнаешь как передаются пакеты с не зашифрованными данными.

на заметку тем, у кого на сайтах обнаружился вирус:

• fls.php не очень помог, определил только файл readme в корне сайта как подозрительный, в нотпаде он не открылся, поэтому я просто напросто его удалил.
• после полтора часов поиска, заглянул в index.php, тот что именно в корне лежит, а не шаблонный индекс, и вот там - как раз первой строчкой и оказалась зашифрованная бяка

Проблему с сайтом обнаружил лишь на второй день после заражения, когда в статистике увидел посещение сайта в день 50 уников, вместо около 500-от. Как оказалось с поисковых систем кидало на другой сайт.
Сайт на который кидало -

Мож кому-то и понадобится моя писанина=) как заразился пока неочень понятно...

Судя по многим признакам, теперь уже ломают чаще не турки, а русскоязычные, и похоже, что даже со специализацией именно по Joomla! При этом совсем не школоло. Т.е. те, кто с немалой вероятностью заглядывают и в этот самый форум. Поэтому выкладывать сюда все мелкие хитрости противодействия хаку может быть не всегда разумно.

Ну насколько я понял,то присутствуют форумчане,которые заливают бекдор нехорошим заказчикам? http://joomlaforum.ru/index.php/topic,93126.0.html

Здравствуйте

Проблема, взломали сайты.
Несколько сайтов, лежат на разных хостингах, все на Joomla.

Через некоторые промежутки времени, появляется новый файл htaccess, делающий редирект.
Редирект происходит для мобильных браузеров и устройств андроид.
Конечный сайт предлогает обновить браузер.

На нескольких сайтах в файле index.php было добавлено сверху несколько вредоносных строк, но проблема оказалась не в них (понял это, когда удалил их, но проблема осталась)

Один из сайтов вообще касперским стал запрещаться, в подозрительные ссылки попал сам сайт и его фавикон(((

С других происходила загрузка каких-то файлов, запрещаемых касперским

Воспользовался предоставленной утилитой, нашел почти 100 файлов.
Удалил все, что хранилось в tmp, файлы, к радости, скачиваться перестали)))
Удалил ненужные htaccess

Подскажите, в чем может быть проблема, ведь сайты на разных хостингах, а проблема на всех сайтах разом(((
ФТП клиент filezilla. Левые письма через задать вопрос по товару тоже приходили.

В чем же может быть проблема?

В гоолову пришло решение:

1.Старые бекапы, лежаще на компе обновить до последней joomlы
2.Удалить существующие сайты
3.Заново все залить с компа, поменять все пароли

Поможет?

В чем же может быть проблема?

Читайте логи.

2Айболит
что за сайты вы хоть ссылки киньте и подробней какие движки и расширения стоят

Поможет?

чем?
ответить на ваши вопросы?

Сайт - tutotvet.com

joomla 1.5.21

VirtueMart 1.1.5 stable

CSVimproved

JCE

JoomlaWatch

Яндекс Карты

Результат скрипта после очистки tmp


Файл htaccess, который постоянно появляется, ссылки правда внизу иногда различаются


Касперский ругается на следующие файлы:

http://tutotvet.com/administrator/templates/system/css/system.css

http://tutotvet.com/administrator/templates/khepri/css/rounded.css

http://tutotvet.com/administrator/templates/khepri/css/login.css

http://tutotvet.com/media/system/js/mootools.js

flyingspook, Конечно, буду очень рад получить помощь пофессионала!
Сайты на двух хостах

Godaddy.com
reg.ru
Все болеют

Как мне с Вами связаться? в личку я почему-то писать сообщения не могу

Имеет ли смысл обновить Joomla с виртом сейчас, или сначала избавиться от уязвимостей?

Сайт начинает ужасно работать.

Показываются не все картинки в админке, также, в админке не работает верхнее меню, работает только в хроме.

joomlawatch не загружает статистику и посетителей, зато касперский находит кучу вредоносных ссылок, вирт стал без картинок
 ! !

Подскажите в чем именно смотреть?

Нужна помощь!
Если захожу на сайт с телефона или планшета происходит перенаправление на порно сайт с вирусами!

Нужна помощь!
Если захожу на сайт с телефона или планшета происходит перенаправление на порно сайт с вирусами!

Замени .htaccess на стандартный,или очисти старый

Замени .htaccess на стандартный,или очисти старый

Очистил-ничего! Так же остался в конце исходного кода ссылка на вирус.

Очистил-ничего! Так же остался в конце исходного кода ссылка на вирус.

base64_decode есть в index.php шаблона ?

Здравствуйте! на сайте постоянно появляются трояны - создал тему (кому интересно) http://joomlaforum.ru/index.php/topic,229119.msg1198933.html#msg1198933 , но пошел дальше и понял, что лучше спросить здесь, поскольку чувствую они опять будут появляться. Хотелось бы найти дыру

Использовал скрипт
Но не могу его понять - как по мне все нормально. Потом использовал скрипт ai-bolit. http://www.timmisworld.ru/ai-bolit.php?p=77777

Он выдал закодированный код 64 .его я удалил - но к сожалению, знаний не хватает и не знаю как залатать дыры и что делать . Пожалуйста растолкуйте эти 2 скрипта

Неужели ни кто не может растолковать?   ребята ау....

Неужели ни кто не может растолковать?   ребята ау....

Вы же сами писали что у вас Joomla 1.5.23, первое что следует сделать - это обновиться до последней версии, так как вполне могут использовать дыры движка для доступа к сайту.

просканировал сайт на денвере, вот результат,это плохо?

Вы же сами писали что у вас Joomla 1.5.23, первое что следует сделать - это обновиться до последней версии, так как вполне могут использовать дыры движка для доступа к сайту.

Это  я понимаю ..... мне интересуют скрипты - потому что грамотно их растолковать не могу

Notice: Undefined variable: E in /home/ID/site.ru/docs/fls.php(2) : eval()'d code on line 132

Fatal error: Call to undefined function hash_file() in /home/id/site.ru/docs/fls.php(2) : eval()'d code on line 40

Что можно понять из вше написаного ?

Notice: Undefined variable: E in /home/ID/site.ru/docs/fls.php(2) : eval()'d code on line 132

Fatal error: Call to undefined function hash_file() in /home/id/site.ru/docs/fls.php(2) : eval()'d code on line 40

Что можно понять из вше написаного ?

Если Вы у меня спрашиваете - то без понятия....показывает ошибку.... Кстати это к моему сайту или это Ваш?

я у себя на сайте запустил /fls.php  и получил две строки которые привел выше. Я из этих строк ничерта не понял !
/site.ru/docs/fls.php(2) : eval()'d code on line 40
на моем сайте в указаной скриптом папке (site.ru/docs/fls.php  нет и никогда не было файла  fls.php так что в каком файле в 40 строке искать код не понятно
/site.ru/docs/fls.php(2) : eval()'d code on line 132
так же и тут  !

2nemius
так понимаю вы не на хосте сканируете?

2nemius
так понимаю вы не на хосте сканируете?

Именно что на хосте, закинул скрипт в корень хоста и выполнил запрос...
На локале понятное дело стоит апач но он выключен

upd.... закинул скриптик на другой сайт, одна строка:
Fatal error: Call to undefined function hash_file() in /home/папкахостера/syte.ru/docs/fls.php(2) : eval()'d code on line 40

 

нашел у себя php файл


сканнер его не видит

Edit at your own risk. Хехе и не увидит. Файл явно не хороший. http://joomlaforum.ru/index.php/topic,195980.msg1105287.html#msg1105287

o! wishlight!
даже и не ожидал что кто-то поможет найти уязвимость. просто скинул сообщение чтоб обновили сканнер.

проблема похоже действительно с компонентами nonumber

жму руку!