Вирус на сайте, редирект, что делать как лечить! - страница 13 - Безопасность сайтов на Joomla

а каким макаром баняться IP на админку ?

в каталог administrator файл .htaccess с содержимым 

order deny,allow
deny from all
allow from 111.111.111.111

111.111.111.111 это ваш ип адрес

теперь ребята из Испании ломятся целый день сегодня, а мы им помогали в тридцатых...  
217.125.135.112 - - [12/May/2013:09:38:08 +0400] "GET /administrator/index.php HTTP/1.0" 403 1735 "-" "Mozilla/3.0 (compatible; Indy Library)"
на всяк случай БАН

http://joomlaforum.ru/index.php/topic,263124.msg1322993.html#msg1322993

ко мне ломился 217.126.228.203, помогла абуза хостеру)))
тот же смотрю хостер, негодяи)))
причем если остальные ломящиеся после бана в htaccess все поняли и срулили, этот цыган испанский так и долбился... хех

Есть способ забанить все забугорные ип?
Какой ип диапазон России и странам СНГ предоставлен?

К слову: Не факт что автор атак принадлежит той же нации что и хостер.

К слову: Не факт что автор атак принадлежит той же нации что и хостер.

да как бы и пофигу с большой колокольни))) говоря испанец - подразумеваем лишь только IP, причем тут авторы вообще?))) мы ж  не с авторами боремся, увы и ах))) это вне бюджета)))

да как бы и пофигу с большой колокольни))) говоря испанец - подразумеваем лишь только IP, причем тут авторы вообще?))) мы ж  не с авторами боремся, увы и ах))) это вне бюджета)))

тогда к чему было писать "цыган испанский"..... или цыган - подразумевается порт  чтоль? Логично тогда...

в каталог administrator файл .htaccess с содержимым 

order deny,allow
deny from all
allow from 111.111.111.111

111.111.111.111 это ваш ип адрес

А если айпишник динамический? Как диапазон указать?

111.111.
111.111.111.
111.111.111.*

тогда к чему было писать "цыган испанский"..... или цыган - подразумевается порт  чтоль? Логично тогда...

имел ввиду тупую настойчивость бота))))) и не надо приписывать мне международный конфликт!)) а то вон ургант тоже ляпнул по орт что-то по поводу ридны, так чуть не сожрали его, а надо было закавычить)) я в кавычки поставил, так что проехали)))

вот еще:
 Line 27942: 46.21.147.205 - - [13/May/2013:07:58:10 +0400] "GET /register HTTP/1.0" 403 1735 "-" "-"
посмотрите правильно ли выставлен БАН:
Deny from 46.21.147.128/25
Deny from 46.21.147.205

Тут уже повеселее дело начинается.

это продолжается 

подскажите, что означает вот это действие admin/FCKeditor/editor/filemanager/connectors/uploadtest.htm или это fckeditor/editor/filemanager/upload/test.html, несколько раз были примерно одинаковые запросы с промежутком в неделю, что пытаются узнать?

есть уязвимости в FCKeditor, вот и прощупывают

Да, был такой, он и был в начале найден по содержимому:

Код

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66
...
WC0t3F2M39Xd/ZkaHlfaAcdrrvp/397qNDdJoNJJGo9F
... и т.д.

j.php или jos_*** интересно, кто из них был внедрён первым?

Восстановите резервные копии, если нет придется прочищать все .js, если в них уже вставлен вредоносный код
Удалите эти 2 вредоносных .php
Удалите, либо обновите все nonumber
Всё.

Резервные копии, скорее всего, тоже заражены. А если даже и нет, при следующей атаке вирус вылезет. Надо искать дыру в стороннем компоненте.

кто подскажет, что это за запросы от братьев поляков:
Line 42930: 217.212.230.212 - - [20/May/2013:00:09:23 +0400] "GET /index.php?format=feed&type=rss HTTP/1.0" 200 28266 "-" "Mozilla/4.0 (Windows 98; US) Opera 10.00 [en]"
Line 42934: 217.212.230.212 - - [20/May/2013:00:25:43 +0400] "GET /templates/jsn_epic_pro/favicon.ico HTTP/1.0" 200 894 "-" "Opera/9.80 (Android; Opera Mini/7.5.32193/29.3594; U; ru) Presto/2.8.119 Version/11.10"
уж больно регулярно
 
а вот харьковчане:
Line 42874: 188.190.99.190 - - [19/May/2013:22:21:01 +0400] "GET /admin.php HTTP/1.0" 404 3032 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
Line 42875: 188.190.99.190 - - [19/May/2013:22:21:01 +0400] "GET /administrator/index.php HTTP/1.0" 303 - "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
Line 42876: 188.190.99.190 - - [19/May/2013:22:21:02 +0400] "GET /wp-login.php HTTP/1.0" 404 3032 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
с последним разобрался по-ходу вирус: с разных IP стреляет и ровно три запроса..

Обнаружил вот такое сегодня на сайте(      знает кто нибудь где это лечить? спс)

Обнаружил вот такое сегодня на сайте(   
  знает кто нибудь где это лечить? спс)

А поиск MAil.ru во всех браузерах?
Открой и сравни со стандартным файл index.php в корне сайта, смотри редирект в .htaccess
Сканер fls.php в помощь. http://joomlaforum.ru/index.php/topic,198048.0.html

знает кто нибудь где это лечить? спс)

знаю, расскажу по секрету, в коде и даже такое бывает в БД прописывают

flyingspook перезалил файлы Joomla из бэкапа и нормально) разбираться нет ни времени ни желания((

вот и правильно
только дырявые расширения обнови

Подскажите пожалуйста скрипт для проверки файлов сайта на изменения.
Нужен такой скрипт, который проверяет размер файла и дату правки.
А еще хорошо бы, если он проверял появление новых файлов.

Нужен для выявления взломов сайта.
 

http://www.lesarbresdesign.info/extensions/eyesite

Благодарю! То что нужно.
Вам от меня +

кто подскажет что это?
Line 958: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.0" 303 - "-" "BOT/0.1 (BOT for JCE)"
Line 959: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.0" 303 - "-" "BOT/0.1 (BOT for JCE)"
Line 960: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 303 - "-" "Mua"
Line 961: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 303 - "-" "Mua"
Line 1495: 78.165.81.230 - - [23/May/2013:17:22:45 +0400] "GET /images/stories/muakero.php HTTP/1.0" 404 1734 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.3) Gecko/20010801"

кто подскажет что это?
Line 958: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.0" 303 - "-" "BOT/0.1 (BOT for JCE)"
Line 959: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.0" 303 - "-" "BOT/0.1 (BOT for JCE)"
Line 960: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 303 - "-" "Mua"
Line 961: 78.165.81.230 - - [23/May/2013:13:11:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 303 - "-" "Mua"
Line 1495: 78.165.81.230 - - [23/May/2013:17:22:45 +0400] "GET /images/stories/muakero.php HTTP/1.0" 404 1734 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.3) Gecko/20010801"

Попытка пробиться на сайт за счет уязвимости JCE...

В логах error на хостинге наблюдаю такие строки:

Сотни запросов каждый день с интервалом несколько минут, с одного и того же IP (66.249.78.208)
Большинство запросов по указанному выше адресу. Есть и запросы на несуществующие файлы картинок.
На несуществующие файлы запросы идут и с других IP, но с IP (66.249.78.208) запросу не прекращаются.

в файле .htaccess закрыл доступ для нежелательных IP следующим образом:

Запросы продолжают поступать.

Посоветуйте пожалуйста, что делать?
Это вообще опасно?

 Народ, помогите, пожалуйста  ! у меня проблема. на сайте появилось всплывающее окно со звуком входящего сообщения в ВК. И разные вариации на тему что ваш пароль в вк взломали, если заходишь с Opera пишет что она устарела, если с хрома то про него с лисы на тему лисы пишет. Попробовал залить бэкап версию которую мне выслал хостинг провайдер и поменял ftp пароль, но всё равно тоже самое. и бд перезаливал бэкапную, но видимо на момент сохранёнки эта гадость уже там была.
При наведении курсора на эту всплывающую хрень плагин файрбаг вот такой код показывает:
Яндекс Вебмастер говорит что сайт не инфицирован. Антивирус на компе при посещении этой страницы ругался сначала сейчас нет.

Что это может быть и как это лечить? а самое главное что делать чтобы в дальнейшем не подцепить такую бяку? Спасибо!

Да, чуть не забыл, ссылка на сайт для наглядности: http://detstvo.com.ru/
Заранее извиняюсь если про это уже писали, всю ветку не успел прочитать, вопрос горит  !

.htaccess смотрел?