0 Пользователей и 1 Гость просматривают эту тему.
  • 56 Ответов
  • 4076 Просмотров
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #30 : 05.02.2017, 18:50:59 »
Прочитал на серче совет про отплючение функций php:

Кто что думает?
Думаю что чукча не читатель, чукча писатель ⓒ анекдот
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Откуда попал вирус
« Ответ #31 : 05.02.2017, 19:12:35 »
После отката на 2 дня назад сайт поднялся.

Что в вашем понимании откат? Это вы просто восстановили поверх резервную копию или предварительно удалили все файлы. Даже в этом можно проколоться)
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #32 : 06.02.2017, 08:57:55 »
Что в вашем понимании откат? Это вы просто восстановили поверх резервную копию или предварительно удалили все файлы. Даже в этом можно проколоться)
Удалил все файлы и поднял сайт из бэкапа.
Заменил все пароли.
Поставил два патча.
Немного изменил права на папки и файлы.
Проверил сайт Айболитом и удалил найденный левый код.
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #33 : 06.02.2017, 11:44:10 »
А админку защитили?
Смена прав без отключения функций типо chmod - как мертвому припарка.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #34 : 06.02.2017, 12:18:53 »
Удалил все файлы и поднял сайт из бэкапа.
Заменил все пароли.
Поставил два патча.
Немного изменил права на папки и файлы.
Проверил сайт Айболитом и удалил найденный левый код.

flyingspook вам выше написал, что нужно делать в данном случае. Но вы не слушаете... Сейчас вы сыграли в русскую рулетку - залили из бекапа - вдруг прокатит... Ну, будем надеяться, что прокатит. Хотя обычно если даже Айболит что то нашел в файлах (хорошо, если это не ложные срабатывания и вы не сломали сайт окончательно), то там еще много чего из того, что Айболит не видит.

Касательно отключений функций - не забивайте голову этим. У вас должен быть доступ к конфигурационным файлам, шаред такой доступ обычно не дает. Это во первых. А во вторых отключение функций - часть большой работы по комплексной настройке безопасности сервера, а для этого нужны определенные знания.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #35 : 08.02.2017, 12:19:58 »
А админку защитили?

я создал файл с паролем на уровень выше чз htpasswd утилиту
а в папке создал файл htaccess который требует пароль для доступа
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #36 : 13.02.2017, 13:20:55 »
но все это не помогло) опять в корень залили шелы.
на половина сайтов.

наверное надо проверять компоненты скаченные на дыры.
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Откуда попал вирус
« Ответ #37 : 13.02.2017, 13:26:08 »
Сайты же на одном аккаунте наверное. Достаточно один взломать и зальют на все.
Начать стоит с чистки и установки актуальной версии Joomla и компонентов с официальных сайтов.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Откуда попал вирус
« Ответ #38 : 13.02.2017, 13:31:11 »
Как вариант в коммерческий раздел. Если конечно не поднимите версию php и не разделите сайты по юзерам для лечения. Ну и дыры найти надо.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #39 : 13.02.2017, 13:38:35 »
но все это не помогло) опять в корень залили шелы.
Еще раз прошу обратить внимание на мой пост выше. Ваши потуги по восстановлению сайтов и установке паролей тщетны, так как в них сидят шеллы - специальные скрипты, дающие возможность полного контроля над сайтом. И пока вы их не удалите, нет смысла ставить доп. защиту и удалять какие то файлики, которые то и дело появляются. Это раз. А два - как сказали  ChaosHead и wishlight, пока у вас не настроены права на разделение папок сайтов, при взломе одного есть большая вероятность заражения остальных. Выбирайте хостинг с изоляцией корневых каталогов или работающий на CloudLinux.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #40 : 13.02.2017, 17:25:29 »
Я все сайты скачивал на компьютер и проверял антивирусами и айболитом.
Левый код вычистил.

Данные настройки актуальны для текущей версии Joomla?
Кто-то использует у себя?

Цитировать
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #41 : 13.02.2017, 17:37:01 »
Думаю что чукча не читатель, чукча писатель ⓒ анекдот
и добавить нечего
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #42 : 14.02.2017, 08:40:08 »
угу хоть кол на голове чеши...
как я найду эти шелы (дающие полный контроль над сайтом), если их даже АйБолит не нашел.
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #43 : 14.02.2017, 08:59:12 »
Анализ кода
Логи
Трассировки
Захват пост запросов
Контроль изменения файлов.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #44 : 14.02.2017, 09:49:37 »
как я найду эти шелы (дающие полный контроль над сайтом), если их даже АйБолит не нашел.
flyingspook вам выше написал, что нужно делать в данном случае. Но вы не слушаете...
угу хоть кол на голове чеши...
Добавить нечего....

Еще раз по существу - если вам дороги ваши сайты и вы хотите видеть их стабильную работу, вам нужно учиться управлять ими, учиться хотя бы основам безопасности или же нанимать человека, который будет все это делать. Если вы не в состоянии решить проблему - обращайтесь к тем, кто это может сделать. В частности, такие вопросы решаются в коммерческом разделе.

Для того, что бы иметь возможность обнаружить и удалить шелл, нужно понимать, как происходит его заливка на сайт и как он, собственно, может выглядеть. А для этого нужно хорошо знать PHP и понимать, что именно может представлять опасность. У вас этих знаний нет. На сайты ставилось все, что удавалось найти в интернете, скачанное из сомнительных источников и т.д. В большинстве случаев вредонос уже был в ваших расширениях, которые вы ставили.

Это как заниматься сексом с незнакомыми девчонками -  не знаешь, от какой заразы потом придется лечиться...

P.S. Я в настоящий момент занимаюсь разработкой системы безопасности для сайтов. Одним из компонентов этой системы является самообучающийся скрипт, контролирующий запуск файлов. К примеру, если весь контент сайта отдается через index.php, то обращение к каким либо другим файлам приведет к появлению ошибки. То есть, даже если вам залили шелл, он не будет работать. Можете написать мне на почту, дам вам этот код, если жаль денег на нормальный аудит и лечение сайтов. При условии, что самостоятельно его сможете настроить.
« Последнее редактирование: 14.02.2017, 10:08:59 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Откуда попал вирус
« Ответ #45 : 14.02.2017, 10:24:14 »
Это как заниматься сексом с незнакомыми девчонками -  не знаешь, от какой заразы потом придется лечиться...
Да и со знакомыми бывает не безопасно ;D ;D ;D
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #46 : 14.02.2017, 10:42:29 »
Да и со знакомыми бывает не безопасно
И это, к сожалению, тоже верно. Поэтому мораль: доверяй, но проверяй!
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #47 : 22.02.2017, 16:57:41 »
1) Если я поставлю на файлы компонентов и модулей права 444 (только чтение) я защищу их от вставки в них вредоносного кода?
2) Можно сделать в каталогах .htaccess, чтобы в них не могли ничего загружать левого?
« Последнее редактирование: 22.02.2017, 19:27:58 от Mick_20 »
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Откуда попал вирус
« Ответ #48 : 22.02.2017, 22:41:10 »
Подкину вам ещё безумных идей:
- Держать сайты дома на компьютере, конвертировать их в HTML и заливать на хостинг. На хостинге запретить выполнение скриптов. Сайты будут супер-быстрые и никаких взломов.
- Сделать по крону удаление файлов и откат сайтов каждые сутки. Взломщикам надоест заливать шелы по новой каждый день и они откажутся от этой затеи.
- Посмотреть с каких IP подключаются взломщики и банить их. Однажды они устанут менять прокси и добавят ваши сайты в свой черный список.
- Если крадут пароли от хостинга, заразив ваш пк вирусом, то каждый день нужно подсовывать им ложные пароли от ложных хостингов. Они будут отвлекаться на постоянные проверки и нервничать. Однажды подсунуть им якобы пароль от пентагона или сайта белого дома. Там их и вычислят при попытке взлома. Атаки на ваши сайты прекратятся.
« Последнее редактирование: 22.02.2017, 22:56:54 от ChaosHead »
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #49 : 23.02.2017, 11:57:19 »
Однажды подсунуть им якобы пароль от пентагона или сайта белого дома. Там их и вычислят при попытке взлома. Атаки на ваши сайты прекратятся.
А это идея! Предлагаю такой вариант: закрыть доступ к админке, как это делает, например, JSequre, но, если ключ указан неверно или не указан вообще, редиректить на админки правительственных сайтов. У них возможностей то побольше...
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

stopvirusby

  • Новичок
  • 4
  • 0 / 0
Re: Откуда попал вирус
« Ответ #50 : 25.02.2017, 00:27:24 »
Добрый вечер закрытие доступа в админку сайта это не вариант.
Блокировку ставить лучше на уровне IP так же рекомендую тщательно проверить сайт на сторонний код.
Шаблоны CSS JS так же картинки. Последнее время внедрение вирусов и шелов закручивают через модули плагины так же картинки.

Просто пример нам нужен плагин определенной версии и с определенными репазиториями по факту поддержка данного плагина закончилась и на офф сайте его не всегда удается найти начинаем искать сторонние сайты и здесь уже могут быть шелы.

ТАк же при использование бесплатных шаблонов шаблоны рекомендую тоже изучать досконально часто они вшивают дыры в фаемворк или создают шел в кэше так же всегда после установки чистите папку tmp.

В обшем проблем и причин может быть миллиони [удалено модератором]
« Последнее редактирование: 25.02.2017, 10:46:22 от Taatshi »
*

Taatshi

  • Глобальный модератор
  • 5259
  • 481 / 2
  • Верстаем и кодим. Обращайтесь ;)
Re: Откуда попал вирус
« Ответ #51 : 25.02.2017, 10:47:01 »
stopvirusby, есть что сказать - пишите в теме. Это не коммерческий раздел.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3, ОБНОВЛЕНИЕ  |  ОТЗЫВЫ 
Связь: telegram - Taatshi, почта - Taatshi на яндексе, Skype - Taatshi
*

Mick_20

  • Завсегдатай
  • 1002
  • 3 / 0
  • Что тут писать?
Re: Откуда попал вирус
« Ответ #52 : 28.02.2017, 11:44:37 »
Подкину вам ещё безумных идей:
- Держать сайты дома на компьютере, конвертировать их в HTML и заливать на хостинг. На хостинге запретить выполнение скриптов. Сайты будут супер-быстрые и никаких взломов.
- Сделать по крону удаление файлов и откат сайтов каждые сутки. Взломщикам надоест заливать шелы по новой каждый день и они откажутся от этой затеи.
- Посмотреть с каких IP подключаются взломщики и банить их. Однажды они устанут менять прокси и добавят ваши сайты в свой черный список.
- Если крадут пароли от хостинга, заразив ваш пк вирусом, то каждый день нужно подсовывать им ложные пароли от ложных хостингов. Они будут отвлекаться на постоянные проверки и нервничать. Однажды подсунуть им якобы пароль от пентагона или сайта белого дома. Там их и вычислят при попытке взлома. Атаки на ваши сайты прекратятся.

Насмешили конечно =) Для статики есть Jekyll, Hugo...

Ответьте все же - 555 на папки и 444 на файлы. Поможет делу?
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #53 : 28.02.2017, 12:09:13 »
Почитайте выше ответ был.
Зависит от настроек сервера.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Откуда попал вирус
« Ответ #54 : 28.02.2017, 13:46:13 »
Ответьте все же - 555 на папки и 444 на файлы. Поможет делу?
Вы привели домой проститутку. Скажите, как ее лучше драть, что бы сифилис не подхватить, в позе сверху, снизу или сбоку?
Простите за каламбур, но я перефразировал ваш вопрос.

Правильное выставление прав да, нужно, но если в сайте дыра, то смысл городить права? Нужно затыкать дыру. И именно это вам пытаются объяснить. Пролезть на сайт можно очень многими способами.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Откуда попал вирус
« Ответ #55 : 01.03.2017, 10:43:05 »
А это идея! Предлагаю такой вариант: закрыть доступ к админке, как это делает, например, JSequre, но, если ключ указан неверно или не указан вообще, редиректить на админки правительственных сайтов. У них возможностей то побольше...
да слать на сайт кремля, он все равно дырявый, и вроде на нашей платформе  :laugh:
Насмешили конечно =) Для статики есть Jekyll, Hugo...

Ответьте все же - 555 на папки и 444 на файлы. Поможет делу?
не на 100%, во многих случаях нет
*

maximm

  • Осваиваюсь на форуме
  • 41
  • 0 / 1
Re: Откуда попал вирус
« Ответ #56 : 01.04.2017, 09:35:00 »
Насмешили конечно =) Для статики есть Jekyll, Hugo...

Ответьте все же - 555 на папки и 444 на файлы. Поможет делу?

Просканируй сайт айболитом в режиме "Параноидальный", увидишь много чего нового. Про остальные способы забудь
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 922
Последний ответ 25.05.2023, 08:49:57
от Театрал
Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2953
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js

Автор AlexP750

Ответов: 6
Просмотров: 1756
Последний ответ 22.02.2022, 11:38:15
от AlexP750
Спам, вирус или дело в браузере Google

Автор alekcae

Ответов: 13
Просмотров: 976
Последний ответ 16.05.2021, 18:52:24
от alekcae
На сайте появился вирус

Автор Lifar

Ответов: 3
Просмотров: 667
Последний ответ 23.04.2021, 10:12:05
от ProtectYourSite