Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder - страница 3 - Безопасность сайтов на Joomla

Выложи под спойлер результат сканирования

Вот свежее сканирование. Но в нем уже нет того, что я сам нашел и удалил:


И еще, я поменял пароли доступа к админке, к админке хостера и ФТП. Но не могу сообразить как поменять пароль к БД (покраснел) Вернее, я могу поменять пароль к БД из админки хостера, но тогда Joomla не может подключиться. Как в ней-то поменять?

Здравствуйте

На хосте пару сайтов, пол месяца назад на одном из них Google хром начал показывать  Внимание! Обнаружена проблема!
Потом на другом иногда показывать (на этих 2 сайтах я ставил Joomla и разные модули и т д )

Вчера покопался в шаблоне нашел base64 с какими то двумя ссылками, удалил.
Сегодня заметил, что .htaccess часто обновляется (до этого тоже обновлялся но я не придал значения), глянул туда а там
в конце файла

Поменял пароль к ftp, удалил физилу, новые пароли вводил в ручную.
Пробовал чистить, по новой появляется. Сегодня на все сайты начал идти редирект на msn.com, не зайти ни в админку ни на сайт, выложил бы лог с fls.php но не могу. Выручайте.

пароль доступа к БД меняется в конфиг.пхп ,после изменения в панели хостинга
Не вижу в результате явного бекдор.Много незнакомых компонентов.Нужно смотреть  каждый файл.

Dron25
А что нет доступа по фтп?

Доступ есть, сменил пароли

Только, что попробовал зайти на сайт, уже заходит. Но .htaccess дальше с кодом, даже и не знаю откуда это все идет

Ну так залей файл fls.php и запускай сканер. Можешь с бекап восстановиться.Или просто перезалить файлы.

лог не мог дать потому что заходило сразу на сайт msn.com
теперь уже вроде заходит, вот лог

пароль доступа к БД меняется в конфиг.пхп ,после изменения в панели хостинга
Не вижу в результате явного бекдор.Много незнакомых компонентов.Нужно смотреть  каждый файл.

В конфиг.пхп есть переменная var $password =  
Но я не могу ее изменить, меняю, жму сохранить, а когда снова захожу в этот файл, вижу, что ничего не изменилось. Может нужно выключать сайт?

playtoppokerru
сохрани на комп и там сохрани и перезалей

playtoppokerru
сохрани на комп и там сохрани и перезалей

Да, так и сделал, и сработало. Попутно обнаружил, что не работает "сайт выключен". Как бы не ставил настройку, сайт все равно включен!

ПС. Хотя, нет, видно что-то с кешем броузра. Пользователи тут же забеспокоились и начали спрашивать что за работы на сайте и почему выкл

В конфиг.пхп есть переменная var $password = 
Но я не могу ее изменить, меняю, жму сохранить, а когда снова захожу в этот файл, вижу, что ничего не изменилось.

а права 644 ?

а права 644 ?

Права 444 Понял уже, только чтение для всех, поэтому на хосте и не получалось

draff
если нет нормального бекапа?
вирус точно в одних из этих файлов что показал fls или может быть шанс что он еще где то еще?

Нужно смотреть.Я не знаю все файлы,и писал выше-проверять каждый файл.
Может и со стороны хостинга взлом,если не определен baseurl www/домена
Смотри access.log and error.log. У моего клиента ,так подчистили даже error.log за три дня

Небольшой отчет о результатах. Как я уже писал, на сайте стали появляться SEO статьи, которые я не размещал. После сканирования был выявлен файлик с шеллом и удален. Порывшись в бекапах я обнаружил, что этот файлик появился в начале 2012. Тогда же в январе я получал от хостера письмо, что у меня на аккаунте обнаружена вирусная активность, и какие-то там процессы принудительно закрыты. Что это значит и как с ним бороться, я так и не смог добиться от хостера. Поменял все пароли на всякий случай и успокоился (как оказалось зря).
Тем не менее статьи все продолжали появляться, примерно раз в час-два новая статья. По некоторым косвенным признакам я понял, что проблема в компоненте My Blog. Я его отключил из панели управления Joomla, но это ничего не дало. Тогда я за архивировал папки com_myblog на хостинге, то есть убил его вручную. И о чудо! За ночь ни одной статьи. Вывод, или ночью зверьки спят, или проблема в этих папках, что сужает круг поиска.

Скажите пожалуйста у меня fls.php находит на сайтах следующее

код прилагаю

на сколько это опасно, и что делать?

1 сайт мега

2 сайт кул

3 сайт гал

на втором сайте shell, а остальное проверяйте сами
сканер выдает список файлов которые надо просмотреть на наличие уязвимости/shell-а а остальное все глазами и руками

File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php
String:: default_action = 'FilesMan'

File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php
String:: FilesMan

File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php
String:: c99

удалил полностью этот файл
File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php



а что во всех остальных проверить, как и на что?

чего не должно быть?

и может ли быть в рабочем нормальном файле?

anis
В файлах Joomla есть всегда запрет на доступ

т.е. это нормально?

у нас есть один сайт, на Joomla (2.5 или предыдущий)... там постоянно доры заливают, то в папку Logs, то в pictures...
Мне очень интересно как это делают? можно ли так сказать "расследовать" это дело? просто и пароли меняли и вроде код почистили как могли, но всеравно через несколько дней опять появляются.

flyingspook, Причина декодирования вашей утилиты в base64?

Мне очень интересно как это делают? можно ли так сказать "расследовать" это дело?

Логи пишутся (http и ftp)? Если "нет" - нужно включить (оба). Если "да" - смотришь время изменения файлов, потом логи за то же время, когда менялся\добавлялся файл. Если логов нет - можно только угадывать.

По поводу "рецидивов заражения". Бэкдоров сейчас заливают целый набор, суют в самые разные места, файлы с самыми разными названиями, причём шеллы разные по коду. Половину из них никакие антивирусы не определяют как вредоносный софт. Т.е. даже если слить сайт на локальную машину и просканировать антивирусом - найдётся только половина.  "Ручной" поиск по сигнатурам лучше, но тоже гарантии не даёт. А если находится и удаляется только один бэкдор, будут гадить через оставшиеся, и смена паролей ничего не решит. Возможный вариант - делать выборку файлов по времени последнего изменения и отсматривать все "вручную" - на мелких сайтах больших сложностей не будет.

Судя по многим признакам, теперь уже ломают чаще не турки, а русскоязычные, и похоже, что даже со специализацией именно по Joomla! При этом совсем не школоло. Т.е. те, кто с немалой вероятностью заглядывают и в этот самый форум. Поэтому выкладывать сюда все мелкие хитрости противодействия хаку может быть не всегда разумно.

2PaLyCH чтоб не ругался антивирус

Судя по многим признакам, теперь уже ломают чаще не турки, а русскоязычные, и похоже, что даже со специализацией именно по Joomla! При этом совсем не школоло. Т.е. те, кто с немалой вероятностью заглядывают и в этот самый форум. Поэтому выкладывать сюда все мелкие хитрости противодействия хаку может быть не всегда разумно.

ну хоть не у меня одного такое ощущение, не параноя
правильно сказано что выкладывать нет смысла они тогда найдут обход и быстро

IMXO конечно "не пойман не вор", но занимаются этим уже и наши профи, раньше сайты делали теперь не видно их(видимо не удалось сайта строение), но видно труд в другой области и на форуме бывают и не только на нашем

Можно по сканеру какой-нибудь мини фак сделать?

Согласно результата работы Sheel and Basic Backdoor Script Finder вижу список файлов, вроде похожи на нормальные, код подозрений у меня не вызывает по той простой причине, что читаю и перевожу со словарем.

Тем более, что, как мне кажется вредоносный код маскируется. Может мануал какой дадите, хочу читать, но что?

Тут проскочило пару советов: сравнивать логи, даты изменения файлов, файлы Joomla имеют определенный код и т.д. Может давайте каждый по фразе и FAQ готов!

Да, еще, зашел на 1000in1.net, че-то сайт не живой...

Тут проскочило пару советов: сравнивать логи, даты изменения файлов, файлы Joomla имеют определенный код и т.д. Может давайте каждый по фразе и FAQ готов!

сравнивать логи - затрут
дата изменения файлов - оставят без изменения
файлы Joomla имеют определенный код - сравнить с оригиналом

Вот и весь FAQ готов!

Да, я понмаю, что если создать FAQ - то создадим фак и по маскировке для хакеров. Ну, а если хорошо подумать, и описать какие-то типичные функции, команды и т.д.

Ведь половину хаков делают не профессионалы по инструкции на каком нибудь античте. Поповина сети еще до сих пор заба описанием хака со сбросом пароля admina '.

Мне кажется есть серьезная бага на движке и доры запиваются автоматически через какой то ПО "частного приготовления", типа эксплойта. По этому хотел узнать как можно понять что за уязвимость? даже если узнать время изминения файлов..

Почему я засуетился - у меня на одном хостинге 7 сайтов, и с нового года их ломают уже 3 раз. Последний раз взломал все 7 файлов, просто подменив index.php своим файлом.
вот npal113.lg.ua/hak--index.php оставил фалик, скоро удалю, ели хотите - посмотрите.

он 06 и 07 июля взломал около 900 сайтов, я ведь не думаю, что это вручную.
Файлы я назад подменил, но может гад где-то остался.