0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 4971 Просмотров
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
За последнее время столкнулся с двуми новыми методами взлома/заражения сайтов.

Проблема № одна. Появляются модуль/модули. Названия бывают разные, примеры:  mod_articles, mod_system,  mod_jomcashe (именно так). Там два файла XML и PHP. Есть подозрение, что они ставятся через какую-то дырку в инсталляторе, типа можно удаленно установить расширение.

Файл PHP содержит в себе бекдор, в виде файлового менеджера. Просто перейти по ссылке на сайте типа http://site.ru/modules/mod_articles/mod_articles.php, введя пароль, вы получаете полный доступ к файловой системе. А там дальше что черт позволит.

Решение:
Простое удаление не помогало, появились вновь. Сделал просто, открываем файл (на него выругается антивирус). В начале файла есть переменная $auth_pass. В ней есть шифрованный мд5 пароль, меняем на свой. На файлы ставим права 444. И все. Больше заражение не появляется

Проблема № два. Тут я вообще не вкуриваю, откуда и как. Просто появляются ссылки, например http://spravochnik-mastera.ru/gdz. Удвительно следующее: нет такой папки в корне сайта, нет редиректа в htaccees, чистые index.php. Но вот ссылка существует с диким количеством ссылочного спама. Как догадываюсь, основная цель сменить контент сайта. Например если сайт занимался продажей цветов, то там тысячи страниц с продажей книг. Конечно понятно, что это дело конкурентов.

Решение:
К сожалению решения праивльного я не нашел. Так что открываем htaccess и прописываем редирект на 404 страницу. Больше нет вариантов.

Небольшой P.S.
К сожалению заражения принимают какое-то бешеный темп. Весь декабрь я только тем и занимаюсь, что лечу сайты.
« Последнее редактирование: 25.12.2012, 17:03:55 от PaLyCH »
*

SK

  • Живу я здесь
  • 2152
  • 163 / 0
Для каких версий движка это происходит?
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
По пункту 2. Имеет смысл прошерстить плагины, т.к. только они имеют доступ ко всему объему данных (или части) до вывода этого объема на экран.

Дополнительно. Встречал еще такой вид вставки хакер-кода и прочего:
весь этот мусор вставляется в тело скрипта с большим сдвигом вправо. Т.е. т.к. при просмотре кода страницы в редакторе в большинстве своем строки не длинее 80 символов, т.е. около 100-150.
Так вот мусорный код всталяется со сдвигом вправо на 300 символов или несколько десятков табуляций.
Т.к. получается горизонтальная скролл полоса, то часто ее списывают на длинные кодовые строки, а ларчик-то вон где лежит.

ЗЫ. так же однажды встречал инъекции в сам текст напрямую в мускуле.
т.е. скажем так разовая акция или еще что-то, но файловых-скриптовых включений нет, а в com_content куча мусора помимо нужного текста
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
что на сайте стоит расширения какие?

это старые взломы по старым дырам там сканировали по не долеченным не доудаленным файлам, т.е. если была зараза а её вроде как мастера считают что удалили, на самом деле нет то сканер поднимает все эти файлы и по новой размещает еще новые
сейчас бота пустили на JCE на автомате бегает, есть случаи что просто заливает файл и не может его переименовать, но если не удалить его то нет гарантий что через год другой бот его не переименует и не попадет к вам
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
что на сайте стоит расширения какие?

это старые взломы по старым дырам там сканировали по не долеченным не доудаленным файлам, т.е. если была зараза а её вроде как мастера считают что удалили, на самом деле нет то сканер поднимает все эти файлы и по новой размещает еще новые
сейчас бота пустили на JCE на автомате бегает, есть случаи что просто заливает файл и не может его переименовать, но если не удалить его то нет гарантий что через год другой бот его не переименует и не попадет к вам

Расширенные максимально стандартные. Всякое гавно типа pee и прочего не ставлю. Из спиcка: VirtueMart, Xmap, FCK
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Xmap, FCK - проверить обновить на актуальные, но думаю они и стоят

то что mod_articles, mod_system,  mod_jomcashe
заливались и сканировалось они по старым дырам, не дочищенным, было время когда дыры появлялись в движке и заливались файлы лежа как замедленная бомба ожидая своего времени, ими также пользовались и другие кто сканировал

в логах скорей всего видно что перебор идет, скорей всего сайт ломали уже
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Xmap, FCK - проверить обновить на актуальные, но думаю они и стоят

то что mod_articles, mod_system,  mod_jomcashe
заливались и сканировалось они по старым дырам, не дочищенным, было время когда дыры появлялись в движке и заливались файлы лежа как замедленная бомба ожидая своего времени, ими также пользовались и другие кто сканировал

в логах скорей всего видно что перебор идет, скорей всего сайт ломали уже

ДА там такие жирные логи. Так. Давай я у тебя ща куплю твой скриптик. Проверимс
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
К сожалению заражения принимают какое-то бешеный темп. Весь декабрь я только тем и занимаюсь, что лечу сайты.
Все заражения происходят на разных хостах и разных ftp-аккаунтах? Или на одном?
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
Палыч, пора уходить с 1.5
Нефиг держаться за это чудо. Да и VirtueMart это не последняя инстанция.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
@Фей
а когда выйдет и отшлифуют чудо 3.5, или просто срать на заказчиков
тогда не с 1.5 пора бежать а вообще по такой логике
2.5 еще та ...
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
не надо перевирать )
просто чтобы сидеть на неподдерживаемом движке, надо заниматься выявлением всех фактов хакерских атак. А если атака прошла удачно, то подчистить логи может быть уже не так сложно
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
все уязвимо, рано или поздно можно сломать все что угодно. Вопрос в интересе к ресурсу.
*

ecolora

  • Завсегдатай
  • 1527
  • 171 / 2
  • творец
Я поставил RSFirewall и пока сижу на одном из своих сайтов на 1.5. Хочется верить, что это поможет. Но пока вроде не ломали. Хотя, наверное, дело в интересе, Вы правы.
Я рифме друг словесной. Тут
Свой упражняю словоблуд:
Блог Ecolora
*

zikkuratvk

  • Глобальный модератор
  • 4818
  • 344 / 2
  • Обслуживаем проекты - дорого.
больше похоже что на хосте есть шелы... через которые льют всякую гадость... и стоит обратить внимание на JCE последнее время все что видел по заражениям это было именно через него
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Все заражения происходят на разных хостах и разных ftp-аккаунтах? Или на одном?
Два сервера, разные FTP аккаунты.
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Я поставил RSFirewall и пока сижу на одном из своих сайтов на 1.5. Хочется верить, что это поможет. Но пока вроде не ломали. Хотя, наверное, дело в интересе, Вы правы.

Версию покупал?
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Два сервера, разные FTP аккаунты.
Взломы на разных серверах по своей технологии и по времени совпадают? Если "да" - я бы подумал на угон паролей ftp (и посмотрел лог ftp-доступа). Когда взлом многократно повторяется на одном хосте, несмотря на смену паролей и апгрейд скриптов, я бы грешил на оставшийся где-то шелл. Их сейчас суют целую пачку, причём совершенно разных и в разные места.

сейчас бота пустили на JCE на автомате бегает
Я в логах ещё вот такие откровенно "левые" запросы вижу:
Код
/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/upload.php 
/components/com_hello/views/hello/tmpl/joolog.php
« Последнее редактирование: 26.12.2012, 20:36:48 от WebDisaster »
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Взломы на разных серверах по своей технологии и по времени совпадают? Если "да" - я бы подумал на угон паролей ftp (и посмотрел лог ftp-доступа). Когда взлом многократно повторяется на одном хосте, несмотря на смену паролей и апгрейд скриптов, я бы грешил на оставшийся где-то шелл. Их сейчас суют целую пачку, причём совершенно разных и в разные места.
Я тоже грешил, но после смены паролей все равно заражение повторяется!

Я в логах ещё вот такие откровенно "левые" запросы вижу:
Код
/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/upload.php 
/components/com_hello/views/hello/tmpl/joolog.php
Эх. Блин, столько сайтов у меня на поруках.
*

ecolora

  • Завсегдатай
  • 1527
  • 171 / 2
  • творец
Я рифме друг словесной. Тут
Свой упражняю словоблуд:
Блог Ecolora
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Редирект на спам ссылки. Как лчить?

Автор Евгений1980

Ответов: 2
Просмотров: 424
Последний ответ 14.02.2024, 13:15:59
от wishlight
Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

Ответов: 110
Просмотров: 63125
Последний ответ 30.08.2023, 12:53:33
от SeBun
Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2953
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Непонятные ссылки в индексе Яндекс

Автор Forgiving

Ответов: 16
Просмотров: 996
Последний ответ 13.09.2021, 14:17:20
от ForQue
На сайте появился вирус

Автор Lifar

Ответов: 3
Просмотров: 667
Последний ответ 23.04.2021, 10:12:05
от ProtectYourSite