0 Пользователей и 1 Гость просматривают эту тему.
  • 25 Ответов
  • 3863 Просмотров
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Как найти брешь?
« : 30.09.2013, 02:26:06 »
Доброго вам времени суток!
Оговорюсь сразу, я не совсем новичок, но и от чайника не долек. Не судите строго.

Проблема в том, что на хосте, на всех сайтах появляются, во всех почти папках, два файла. Зараза мне совсем не нужна естественно. Нашел все, удалил, через некоторое время они опять там.

Как удалить все я знаю, но через какую дырку они пролазят не могу найти.

Может кто поможет?
 Вот что внутри файлов:
.htaccess
Спойлер
[свернуть]

и  еще phpinfo.php
Спойлер
[свернуть]
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Как найти брешь?
« Ответ #1 : 30.09.2013, 09:46:51 »
смотрите и анализируйте логи сайта и увидите дыру
*

draff

  • Живу я здесь
  • 4921
  • 342 / 7
Re: Как найти брешь?
« Ответ #2 : 30.09.2013, 10:02:27 »
А на днях что устанавливал на сайт? что то типа виджекит .
А рядом файл был - Joomla.php ?
« Последнее редактирование: 30.09.2013, 10:11:15 от draff »
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #3 : 30.09.2013, 12:25:43 »
А на днях что устанавливал на сайт? что то типа виджекит .
А рядом файл был - Joomla.php ?
да ничего в принципе. Галерею фоча, визуальный редактор (снес на всякий случай, не помогло), из модулей тоже ничего. Сайт простенький. Думается зараза в шаблоне, наити не могу.
Можно ли не снося шаблон найти?
*

evgen777

  • Давно я тут
  • 657
  • 62 / 2
Re: Как найти брешь?
« Ответ #4 : 30.09.2013, 12:30:40 »
ищите  шелл
Разработка, доработка расширений для Joomla!
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Как найти брешь?
« Ответ #5 : 30.09.2013, 12:36:37 »
что то все последние темы напоминают
"найдите за меня шел на моем сайте"
Цитировать
Можно ли не снося шаблон найти?
да можно, даже нужно, так принципе многие из всех и поступают, ни кто ни чего не "сносит"
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #6 : 30.09.2013, 12:46:00 »
что то все последние темы напоминают ...
А по мне так это похоже на "мы тут умные на столько что даже пальцем ткнут не станем" Не надо за меня искать, я сам найду. Ссылочку дайте на тему в форуме, где о моей проблеме речь. Я ведь не в курсе что мне искать.
И не надо мне говорить "кури поиск" и в этом роде. Когда знаешь чего искать, то не спрашиваешь а ищешь сам. Я так делаю, во всяком случае. Дайте наводку, все сам найду.
*

evgen777

  • Давно я тут
  • 657
  • 62 / 2
Re: Как найти брешь?
« Ответ #7 : 30.09.2013, 12:55:59 »
Поиском учимся пользоватся...
http://joomlaforum.ru/index.php/topic,246899.0/topicseen.html
Разработка, доработка расширений для Joomla!
*

draff

  • Живу я здесь
  • 4921
  • 342 / 7
Re: Как найти брешь?
« Ответ #8 : 30.09.2013, 12:57:18 »
что в папке ?  /tmp ahd /cache
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #9 : 30.09.2013, 13:50:37 »
что в папке ?  /tmp ahd /cache
Не совсем понимаю что там искать. Нашел в папке images/stories три файла
Спойлер
[свернуть]

Спойлер
[свернуть]
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #10 : 30.09.2013, 13:54:11 »
Спойлер
[свернуть]
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #11 : 30.09.2013, 13:55:04 »
Не может же так все просто быть. Сюрпризы будут еще?
*

draff

  • Живу я здесь
  • 4921
  • 342 / 7
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #13 : 30.09.2013, 14:01:47 »
Версия 1.5.26
Могу ли я просто почистить папки темп и кэш? Чем это чревато?
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Как найти брешь?
« Ответ #14 : 30.09.2013, 16:33:35 »
Версия 1.5.26
Могу ли я просто почистить папки темп и кэш? Чем это чревато?


можете

Цитировать
Когда знаешь чего искать, то не спрашиваешь а ищешь сам. Я так делаю, во всяком случае. Дайте наводку, все сам найду.

вы не уникальны, ни кто вам не говорит что умнее вас уж извините, не увидел в теме такого, а читать надо все конкретно ваш случай будет если вы его до мельчайших подробностей распишите сами, а все они аналогичные ну не видел ни чего нового, только названия файлов и код в них меняется, то что файлы могут быть где угодно рассованы по всему хосту, то уж извините и ни кто не сможет вам назвать эти папки и названия файлов, бывают случаи что доходит до 7-8 вариаций т.е. разные взломщики по сайту распихивают свои шелы, пока владелиц сайта спит и не задумывается об этом, а когда начинает искать то именно ищет что то готовое и по этим готовым решениям удалит один два файла и успокоится пока еще десяток взломов не появится
вот что из советов из многолетнего расскажу
первые взломы были очень давно 2006-2008 год совет был прост тогда на фронт вешалось кто сломал и заменялся индекс файл
-замените индекс и все у вас будет хорошо
и что все меняли из чего последовали первые массовые взломы 2010 года, файлы проникновения остались на хосте, а школьникам умная голова разжевала что и где лежит и эксплойт в руки дала

теперь конкретно по вашему случаю, вам дали совет ищите shell, а как вы это будете делать это ваше дело а искать его надо просматривая каждый файл, и код может быть разный в файлах
*

mj23

  • Осваиваюсь на форуме
  • 28
  • 2 / 0
Re: Как найти брешь?
« Ответ #15 : 01.10.2013, 17:37:26 »
GIF89a1
был у меня такой шел, гифки/jpg переименовывал в php и выполнял зловредную команду.
просканируйте сайт AI-Bolit'ом и поудаляйте все шеллы иначе вам так и будут закачивать файлы, только дальше будет еще хуже, будут во все папки закачивать и яндекс/гугл забанят ваш сайт пока не почистите его от вирусов.

у меня AI-Bolit нашел очень много левых php файлов размером около 856 байт, было много jpg картинок в которых был внедрен вредоносный код.

так же поставьте jHackGuard и Marco's interceptor частично будут помогать и предотвращать инъекции в БД
« Последнее редактирование: 01.10.2013, 17:45:01 от mj23 »
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #16 : 01.10.2013, 18:42:53 »
Спасибо всем огромное! Проверил все айболитом, нашел много всего. Копаться особо не стал, удалил все к лешему. Пока все стабильно работает. Слетели правда визуальные редакторы, установил последнюю версию JCK. Будем посмотреть, что дальше будет.
*

sergio_b

  • Новичок
  • 2
  • 0 / 0
Re: Как найти брешь?
« Ответ #17 : 02.10.2013, 20:05:15 »
Спасибо всем огромное! Проверил все айболитом, нашел много всего. Копаться особо не стал, удалил все к лешему. Пока все стабильно работает. Слетели правда визуальные редакторы, установил последнюю версию JCK. Будем посмотреть, что дальше будет.
как именно Вы удалили данную проблему.....потому что тоже обнаружил данный скрипт в файле .htaccess
Его вручную никак не могу удалить, он появляется обратно.
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #18 : 02.10.2013, 20:27:42 »
как именно Вы удалили данную проблему.....
Я просканировал с помощью ai-bolit все на своем хостинге (у меня три сайта на одном хосте, зараза была на всех трех). Нашел кучу файлов зараженных всякой гадостью, чем точно я не знаю, по этому просто все удалил. Не знаю правильно ли я сделал, но чистить внутри файлов мне не под силу, чайник я в этом. САМОЕ ГЛАВНОЕ СДЕЛАТЬ РЕЗЕРВНУЮ КОПИЮ ПЕРЕД УДАЛЕНИЕМ. Пока ничего не слетело кроме TinyMCE, поставил другой редактор. Теперь смотрю и наблюдаю.
Я понял что код в .htaccess заносит другая дрянь, которая лежит где-то в другом месте, пока не найдешь бесполезно править. Надо найти дырку в через которую они появляются.
Удачи в поисках!
« Последнее редактирование: 02.10.2013, 20:38:32 от pronext »
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #19 : 02.10.2013, 20:41:18 »
Кстати не лишне будет сменить все пароли. FTP, базы, админка, все что есть на новые.
*

sergio_b

  • Новичок
  • 2
  • 0 / 0
Re: Как найти брешь?
« Ответ #20 : 02.10.2013, 20:45:34 »
Кстати не лишне будет сменить все пароли. FTP, базы, админка, все что есть на новые.
пароли все сменил. Но как то все файлы удалять не хочется. А что с файлом .htaccess делали? тоже удалили??
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #21 : 02.10.2013, 20:48:16 »
У меня в нем кроме  зловредного кода ничего не было, по этому да, удалил. Дело в том, что у меня подобных файлов по всем папкам штук пятьсот распихано было. Да и mod_rewrite я не использую
*

Benjaminblum

  • Осваиваюсь на форуме
  • 13
  • 0 / 0
Re: Как найти брешь?
« Ответ #22 : 02.10.2013, 20:49:50 »
Скачайте ai-bolit, на http://www.revisium.com/ai/,  скачайте и просканируйте сайт, он Вам покажет где что...
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #23 : 02.10.2013, 20:53:01 »
Кстати, пароли менять не стоит пока не найдете все шелы, без толку. Сначала чистить, потом менять все равно надо.
*

oshpz

  • Захожу иногда
  • 149
  • 5 / 0
Re: Как найти брешь?
« Ответ #24 : 04.10.2013, 07:36:18 »
Что-то VirusTotal все равно ругается на Ваш сайт, значит не все нашли
https://www.virustotal.com/ru/url/469591719a4776fcb0c240b451a3b88cb6818d57947fd23d445752d82f6a9e8d/analysis/1380857614/
*

pronext

  • Осваиваюсь на форуме
  • 27
  • 2 / 0
Re: Как найти брешь?
« Ответ #25 : 04.10.2013, 10:25:10 »
Что-то VirusTotal все равно ругается на Ваш сайт, значит не все нашли
https://www.virustotal.com/ru/url/469591719a4776fcb0c240b451a3b88cb6818d57947fd23d445752d82f6a9e8d/analysis/1380857614/
Спасибо за наводку. Я и не ожидал, что все так просто будет. Пока жду и наблюдаю, изучаю всевозможные мануалы, у меня это первый опыт поиска шеллов.
Хотя, честно говоря, никогда не доверял BitDefender. Он ведь единственный заругался, да и то не смог  загрузить содержимое, а не код нашел? Или я не прав?
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Взломали сайт, что делает код?

Автор Леон

Ответов: 11
Просмотров: 1278
Последний ответ 01.12.2016, 11:58:25
от wishlight
Вирус js.redirector.304

Автор tegos134

Ответов: 1
Просмотров: 733
Последний ответ 24.08.2016, 22:18:17
от beliyadm
В Head появляется скрипт

Автор Zegeberg

Ответов: 3
Просмотров: 776
Последний ответ 23.06.2016, 16:07:19
от Zegeberg
Проблемы с правами после смены хостинга

Автор Леон

Ответов: 2
Просмотров: 744
Последний ответ 10.05.2016, 11:39:36
от Леон
Появляются новые пользователи "Super User" с логи

Автор crcp_kz

Ответов: 9
Просмотров: 1985
Последний ответ 25.04.2016, 11:54:06
от FitMe