Новости Joomla

Joomla 6 нуждается в вашей помощи с тестированием.Вышел недавно релиз Joomla 6 alpha1

Joomla 6 нуждается в вашей помощи с тестированием.Вышел недавно релиз Joomla 6 alpha1

👩‍💻 Joomla 6 нуждается в вашей помощи с тестированием.Вышел недавно релиз Joomla 6 alpha1. Это релиз, в который включены уже проверенные изменения, но ещё очень многие исправления и улучшения ждут своей очереди. Joomla следит за качеством и безопасностью своего кода и каждое изменение должно быть успешно протестировано как минимум ещё двумя участниками сообщества. Разработка Joomla ведётся на платформе GitHub.Филипп Уолтон (Philip Walton) - один из разработчиков, кто активно вносит свой вклад в ядро Joomla. Он уже несколько месяцев посвящает свои послеполуденные часы пятницы работе с Joomla и предлагает присоединиться к нему. 📆 Пятница, 30 мая 2025, с 15:00 до 17:00 по UTC (Лондон) - с 18:00 до 20:00 по Москве.В чате Google Meet Филипп готов помочь с тестированием тем, кто будет делать это в первый раз. А так же он подготовил список лёгких Pull Request, которые можно протестировать довольно быстро. Чем больше тестов будет проведено сейчас, тем меньше ошибок вылезет потом. На данный момент 148 (уже 147 на момент написания заметки) PR на GitHub Joomla ждут тестирования.👩‍💻 Open to all. All together.Также вам поможет сделать первые шаги это видео.GitHub JoomlaДа, это вечер пятницы. Но тестирование занимает порой минут 15, а доброе дело сделано. Просто убедитесь, что разработчик чего-то не пропустил и всё работает как ожидается.#joomla #joomla6 #community

Вышла Phoca Gallery 5.1.0

Вышла Phoca Gallery 5.1.0

Вышла Phoca Gallery 5.1.0.Известный компонент галереи изображений чешского Joomla-разработчика Яна Павелки получил новую версию. В этой версии компонент получил полную совместимость с Joomla 5 и грядущей Joomla 6. Это стало возможно благодаря рефакторингу кодовой базы и удалению из кода галереи тех классов и методов, которые были помечены к удалению в Joomla 6. Для работы компонента не требуется плагин обратной совместимости. Читать релизСтраница расширения#расширения

Вышел релиз Joomla 5.3.1Проект Joomla рад сообщить о выпуске Joomla 5.3.1

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 5215 Просмотров
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Неизвестные ссылки на сайте. Два новых вида заражения
« : 25.12.2012, 16:54:33 »
За последнее время столкнулся с двуми новыми методами взлома/заражения сайтов.

Проблема № одна. Появляются модуль/модули. Названия бывают разные, примеры:  mod_articles, mod_system,  mod_jomcashe (именно так). Там два файла XML и PHP. Есть подозрение, что они ставятся через какую-то дырку в инсталляторе, типа можно удаленно установить расширение.

Файл PHP содержит в себе бекдор, в виде файлового менеджера. Просто перейти по ссылке на сайте типа http://site.ru/modules/mod_articles/mod_articles.php, введя пароль, вы получаете полный доступ к файловой системе. А там дальше что черт позволит.

Решение:
Простое удаление не помогало, появились вновь. Сделал просто, открываем файл (на него выругается антивирус). В начале файла есть переменная $auth_pass. В ней есть шифрованный мд5 пароль, меняем на свой. На файлы ставим права 444. И все. Больше заражение не появляется

Проблема № два. Тут я вообще не вкуриваю, откуда и как. Просто появляются ссылки, например http://spravochnik-mastera.ru/gdz. Удвительно следующее: нет такой папки в корне сайта, нет редиректа в htaccees, чистые index.php. Но вот ссылка существует с диким количеством ссылочного спама. Как догадываюсь, основная цель сменить контент сайта. Например если сайт занимался продажей цветов, то там тысячи страниц с продажей книг. Конечно понятно, что это дело конкурентов.

Решение:
К сожалению решения праивльного я не нашел. Так что открываем htaccess и прописываем редирект на 404 страницу. Больше нет вариантов.

Небольшой P.S.
К сожалению заражения принимают какое-то бешеный темп. Весь декабрь я только тем и занимаюсь, что лечу сайты.
« Последнее редактирование: 25.12.2012, 17:03:55 от PaLyCH »
Записан
*

SK

  • Живу я здесь
  • 2155
  • 164 / 0
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #1 : 25.12.2012, 17:03:07 »
Для каких версий движка это происходит?
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #2 : 25.12.2012, 17:03:30 »
В основном Joomla 1.5
Записан
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #3 : 25.12.2012, 17:05:46 »
По пункту 2. Имеет смысл прошерстить плагины, т.к. только они имеют доступ ко всему объему данных (или части) до вывода этого объема на экран.

Дополнительно. Встречал еще такой вид вставки хакер-кода и прочего:
весь этот мусор вставляется в тело скрипта с большим сдвигом вправо. Т.е. т.к. при просмотре кода страницы в редакторе в большинстве своем строки не длинее 80 символов, т.е. около 100-150.
Так вот мусорный код всталяется со сдвигом вправо на 300 символов или несколько десятков табуляций.
Т.к. получается горизонтальная скролл полоса, то часто ее списывают на длинные кодовые строки, а ларчик-то вон где лежит.

ЗЫ. так же однажды встречал инъекции в сам текст напрямую в мускуле.
т.е. скажем так разовая акция или еще что-то, но файловых-скриптовых включений нет, а в com_content куча мусора помимо нужного текста
Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #4 : 25.12.2012, 17:53:13 »
что на сайте стоит расширения какие?

это старые взломы по старым дырам там сканировали по не долеченным не доудаленным файлам, т.е. если была зараза а её вроде как мастера считают что удалили, на самом деле нет то сканер поднимает все эти файлы и по новой размещает еще новые
сейчас бота пустили на JCE на автомате бегает, есть случаи что просто заливает файл и не может его переименовать, но если не удалить его то нет гарантий что через год другой бот его не переименует и не попадет к вам
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #5 : 25.12.2012, 18:11:18 »
Цитата: flyingspook от 25.12.2012, 17:53:13
что на сайте стоит расширения какие?

это старые взломы по старым дырам там сканировали по не долеченным не доудаленным файлам, т.е. если была зараза а её вроде как мастера считают что удалили, на самом деле нет то сканер поднимает все эти файлы и по новой размещает еще новые
сейчас бота пустили на JCE на автомате бегает, есть случаи что просто заливает файл и не может его переименовать, но если не удалить его то нет гарантий что через год другой бот его не переименует и не попадет к вам

Расширенные максимально стандартные. Всякое гавно типа pee и прочего не ставлю. Из спиcка: VirtueMart, Xmap, FCK
Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #6 : 25.12.2012, 18:34:26 »
Xmap, FCK - проверить обновить на актуальные, но думаю они и стоят

то что mod_articles, mod_system,  mod_jomcashe
заливались и сканировалось они по старым дырам, не дочищенным, было время когда дыры появлялись в движке и заливались файлы лежа как замедленная бомба ожидая своего времени, ими также пользовались и другие кто сканировал

в логах скорей всего видно что перебор идет, скорей всего сайт ломали уже
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #7 : 25.12.2012, 18:37:46 »
Цитата: flyingspook от 25.12.2012, 18:34:26
Xmap, FCK - проверить обновить на актуальные, но думаю они и стоят

то что mod_articles, mod_system,  mod_jomcashe
заливались и сканировалось они по старым дырам, не дочищенным, было время когда дыры появлялись в движке и заливались файлы лежа как замедленная бомба ожидая своего времени, ими также пользовались и другие кто сканировал

в логах скорей всего видно что перебор идет, скорей всего сайт ломали уже

ДА там такие жирные логи. Так. Давай я у тебя ща куплю твой скриптик. Проверимс
Записан
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #8 : 26.12.2012, 05:42:37 »
Цитата: PaLyCH от 25.12.2012, 16:54:33
К сожалению заражения принимают какое-то бешеный темп. Весь декабрь я только тем и занимаюсь, что лечу сайты.
Все заражения происходят на разных хостах и разных ftp-аккаунтах? Или на одном?
Записан
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #9 : 26.12.2012, 11:54:28 »
Палыч, пора уходить с 1.5
Нефиг держаться за это чудо. Да и VirtueMart это не последняя инстанция.
Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #10 : 26.12.2012, 14:06:38 »
@Фей
а когда выйдет и отшлифуют чудо 3.5, или просто срать на заказчиков
тогда не с 1.5 пора бежать а вообще по такой логике
2.5 еще та ...
Записан
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #11 : 26.12.2012, 14:20:16 »
не надо перевирать )
просто чтобы сидеть на неподдерживаемом движке, надо заниматься выявлением всех фактов хакерских атак. А если атака прошла удачно, то подчистить логи может быть уже не так сложно
Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #12 : 26.12.2012, 14:25:31 »
движки кстати и не ломают, даже у 1.0
а вот 2.5 уязвим
Записан
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #13 : 26.12.2012, 14:30:17 »
все уязвимо, рано или поздно можно сломать все что угодно. Вопрос в интересе к ресурсу.
Записан
*

ecolora

  • Завсегдатай
  • 1535
  • 171 / 2
  • творец
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #14 : 26.12.2012, 15:00:25 »
Я поставил RSFirewall и пока сижу на одном из своих сайтов на 1.5. Хочется верить, что это поможет. Но пока вроде не ломали. Хотя, наверное, дело в интересе, Вы правы.
Записан
Я рифме друг словесной. Тут
Свой упражняю словоблуд:
Блог Ecolora
*

zikkuratvk

  • Глобальный модератор
  • 4819
  • 345 / 2
  • Обслуживаем проекты - дорого.
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #15 : 26.12.2012, 19:11:50 »
больше похоже что на хосте есть шелы... через которые льют всякую гадость... и стоит обратить внимание на JCE последнее время все что видел по заражениям это было именно через него
Записан
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #16 : 26.12.2012, 19:50:24 »
Цитата: WebDisaster от 26.12.2012, 05:42:37
Все заражения происходят на разных хостах и разных ftp-аккаунтах? Или на одном?
Два сервера, разные FTP аккаунты.
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #17 : 26.12.2012, 19:50:47 »
Цитата: ecolora от 26.12.2012, 15:00:25
Я поставил RSFirewall и пока сижу на одном из своих сайтов на 1.5. Хочется верить, что это поможет. Но пока вроде не ломали. Хотя, наверное, дело в интересе, Вы правы.

Версию покупал?
Записан
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #18 : 26.12.2012, 20:22:52 »
Цитата: PaLyCH от 26.12.2012, 19:50:24
Два сервера, разные FTP аккаунты.
Взломы на разных серверах по своей технологии и по времени совпадают? Если "да" - я бы подумал на угон паролей ftp (и посмотрел лог ftp-доступа). Когда взлом многократно повторяется на одном хосте, несмотря на смену паролей и апгрейд скриптов, я бы грешил на оставшийся где-то шелл. Их сейчас суют целую пачку, причём совершенно разных и в разные места.

Цитата: flyingspook от 25.12.2012, 17:53:13
сейчас бота пустили на JCE на автомате бегает
Я в логах ещё вот такие откровенно "левые" запросы вижу:
Код
/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/upload.php 
/components/com_hello/views/hello/tmpl/joolog.php
« Последнее редактирование: 26.12.2012, 20:36:48 от WebDisaster »
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #19 : 26.12.2012, 21:08:47 »
Цитата: WebDisaster от 26.12.2012, 20:22:52
Взломы на разных серверах по своей технологии и по времени совпадают? Если "да" - я бы подумал на угон паролей ftp (и посмотрел лог ftp-доступа). Когда взлом многократно повторяется на одном хосте, несмотря на смену паролей и апгрейд скриптов, я бы грешил на оставшийся где-то шелл. Их сейчас суют целую пачку, причём совершенно разных и в разные места.
Я тоже грешил, но после смены паролей все равно заражение повторяется!

Цитата: WebDisaster от 26.12.2012, 20:22:52
Я в логах ещё вот такие откровенно "левые" запросы вижу:
Код
/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/upload.php 
/components/com_hello/views/hello/tmpl/joolog.php
Эх. Блин, столько сайтов у меня на поруках.
Записан
*

ecolora

  • Завсегдатай
  • 1535
  • 171 / 2
  • творец
Re: Неизвестные ссылки на сайте. Два новых вида заражения
« Ответ #20 : 27.12.2012, 01:48:27 »
Цитата: PaLyCH от 26.12.2012, 19:50:47
Версию покупал?

Точно.
Записан
Я рифме друг словесной. Тут
Свой упражняю словоблуд:
Блог Ecolora
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Редирект на спам ссылки. Как лчить?

Автор Евгений1980

 Ответов: 2
Просмотров: 1762 		Последний ответ 14.02.2024, 13:15:59
от wishlight
Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

 Ответов: 110
Просмотров: 66923 		Последний ответ 30.08.2023, 12:53:33
от SeBun
Re: Кажется вирус на сайте

Автор motokraft

 Ответов: 24
Просмотров: 4309 		Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Непонятные ссылки в индексе Яндекс

Автор Forgiving

 Ответов: 16
Просмотров: 1335 		Последний ответ 13.09.2021, 14:17:20
от ForQue
На сайте появился вирус

Автор Lifar

 Ответов: 3
Просмотров: 975 		Последний ответ 23.04.2021, 10:12:05
от ProtectYourSite