Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 9 - Безопасность сайтов на Joomla

Ребята что это?

Спойлер

[свернуть]

Первые две строчки, это пытаются реализовать локальный инклуд
Третья строчка, говорит, что у вас пытаются (если таков установлен) JCE Залиться, а конкретно в строчке реализуется переименнования уже залитого файла с gif в php!

...from dle_users...

Не просто blind-инъекция, а супер-слепая, без проверки движка. Если я правильно тут понимаю что пытаются ломать DLE на джумловском сайте

Хз.. но префикс там точно другой. Долбятся боты.

Не просто blind-инъекция, а супер-слепая, без проверки движка.

По-моему их таких 90%. У меня старательно доблятся в WordPress, который никогда не стоял.

Аналогичный запрос с этого же IP - 94.228.220.68

не стоит на ботов внимание обращать, мало кто из них интеллектуален к нашей же радости

что за хрень:
Line 1381: 83.221.219.152 - - [27/Jun/2013:11:37:33 +0400] "OPTIONS /attachments/article/737/ HTTP/1.0" 200 - "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
Line 1382: 83.221.219.152 - - [27/Jun/2013:11:37:33 +0400] "PROPFIND /attachments/article/737 HTTP/1.0" 301 255 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
Line 1383: 83.221.219.152 - - [27/Jun/2013:11:37:33 +0400] "PROPFIND /attachments/article/737/ HTTP/1.0" 405 260 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601
особенно последние две строки ! по сути они идентичны, а сервак реагирует по-разному!

Admin Tools сообщил о нарушении безопасности:

Адрес IP: 94.228.220.68 (IP Lookup: http://ip-lookup.net/index.php?ip=94.228.220.68)
Причина: SQLi Shield

http://сайт/index.php?do=form&id=1+and+1=0+union+select+1,2,3,4,5,6,7,8,9,group_concat(0x3a,0x3c6b65793e,0x3a,name,0x3a,password,0x3c6b6579733e),11+from+dle_users+where+user_group=1+--++--+


Что это и как с этим бороться? Спасибо.

Никак если у вас Joomla - вам конкретно такой запрос ничем не угрожает, так как очевидно направлен на какую-то уязвимость в DLE.
Можете IP забанить.

Перенес готовый, не мною настроенный изначально сайт к себе на хостинг. Через 2 месяца приходит от хостера письмо, что из вэб почты моего аккаунта 790 писем ушло. и ссылка.. по ней вижу вот такой вот текст:


как я понял текст, есть некая дырка в плагине этом, и через неё как-то пробрался червяк, и смог отправить письма через мой вебмейл.
VirtueMart хоть и установлен, но используется как каталог. т.е. функционала магазина в нем нет.
вопрос - если я просто снесу к чертям всю папку с плагином это поможет решить вопрос со спамом?
как отключить плагин этот - кларна - не нашел в настройках VirtueMart.

за 3 дня второе письмо с 790 письмами спама через эту дырку.

а не думаете что к вам просто в папку скрипт для рассылки положили, ну или изначально варьез сами поставили

вопрос - если я просто снесу к чертям всю папку с плагином это поможет решить вопрос со спамом?

снесите весь сайт уж тогда  - это одним махом решит все проблемы/головные боли и не только с рассылкой

а не думаете что к вам просто в папку скрипт для рассылки положили, ну или изначально варьез сами поставилиснесите весь сайт уж тогда  - это одним махом решит все проблемы/головные боли и не только с рассылкой

удаление папки как и ожидалось не решило проблему. буквально через пол часа новый отчет об очередных 790 письмах. в папке входящие (сами письма как будто отчет о недоставленном письме, но при этом в исходящих ничего нет) уже 26к скопилось за несколько дней. теперь путь, на котороый ругается отчет это "/".

Не знаю что делать, поменял пароли все, посмотрю что будет дальше. если снова будет такое же, буду писать в саппорт хостеру

вот топик
http://joomlaforum.ru/index.php/topic,268015.msg1341591.html#msg1341591
почитайте
ни как не соберусь со временем про логирование все собрать и описать как просматривать и искать

подскажите что это ?

Кто сталкивался с таким в файле .htaccess?
RewriteEngine   on
RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer)    [NC]
RewriteRule    (.*)    http://base-file.com/files/soft/    [L,R=302]

Кто сталкивался с таким в файле .htaccess?

Редирект, скрытый от поисковиков, на "левый" сайт.

Редирект, скрытый от поисковиков, на "левый" сайт.

Это понятно, но какой смысл редиректить только мобильники? Подгруздка вирусов на взлом?

но какой смысл редиректить только мобильники?

каждый взлом это своя цель, у этих SMS трафик и перевод в финансы
сейчас сайт чистили там 4 разных "взломщиков" сидели по почерку видно(хотя может и один но целей много), и у каждого свои приоритеты, от безобидных ссылок с бирж и до фишинга, каждый свое ставит

На днях в сайте попорчены _все_ JS добавкой в начала текста:В логе от "jhackguard" в числе прочего следующий текст:Первая раскодировка дала:После второй раскодировки:
И ещё полно записей типаИ ещё вот эта подмена файла:, но таких файлов нигде не найдено.

Что бы это значило?

Ну для начала - что толку особо от jhackguard нет раз файлы всё равно были модифицированы )

Подгружают вам всякую гадость. Искать надо и чистить.

Да почистил-то сразу, а вот как предотвратить дальнейшее?..
Как-то найти бы дыру, в каких логах посмотреть...
J 1.5.22, обновить пока нет возможности.

Хотя бы до 1.5.26 обновите
Там как раз последние несколько релизов были в основном для устранения уязвимостей.

RomanA
Проверь и обнови расширения JCE and nnramework

Спасибо, попробую и то и другое.

J 1.5.22, обновить пока нет возможности.

сочувствую)))

Начали