Как найти дыру?

  • 24 Ответов
  • 1402 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

buto

  • *****
  • 522
  • 1
Как найти дыру?
« : 26.12.2015, 23:22:35 »
Добрый день, обнаружил сегодня случайно, что на сайте вирус. Начал смотреть логи увидел такую вот фигню, все от нее произошло. ВРоде что-то похожее на ветках читал, но все не то.
Залили виурсный файл trojan template.php ну и далее пошло
Спойлер
[свернуть]
Joomla 3.4.7 была. Помогите разжевать? НА хостинге 9 сайтов. Все полетели или только этот? Мои действия восстановить сайт от 23 .12 , базу данных не знаю надо ли трогать, и далее поменять пароли все установить AI-Bolit но как такую атаку избежать? Это же тихий ужас.

*

draff

  • *******
  • 2739
  • 169
  • step by step
Re: Как найти дыру?
« Ответ #1 : 26.12.2015, 23:30:03 »
А что в логах. Проверить файлы, к которым запрос POST
/libraries/cms/model84.php Вряд ли файл Joomla. А так да- проверять все
Хостинг - VPS/VDS и для каждого сайта свою пользователь, с определением open_basedir

*

AlexeyGal

  • ****
  • 327
  • 23
Re: Как найти дыру?
« Ответ #2 : 26.12.2015, 23:33:36 »
так вот тут же обсуждали уже что делать http://joomlaforum.ru/index.php/topic,321787.msg1606860.html#msg1606860
« Последнее редактирование: 27.12.2015, 00:18:09 от AlexeyGal »

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku
Re: Как найти дыру?
« Ответ #3 : 27.12.2015, 01:07:38 »
Ээ.. ТС же говорит что стоит 3.4.7
Или врёт?

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku
Re: Как найти дыру?
« Ответ #4 : 27.12.2015, 01:08:39 »
Залили виурсный файл trojan template.php ну и далее пошло
Секундочку.
А его то кто\как залил?

*

AlexeyGal

  • ****
  • 327
  • 23
Re: Как найти дыру?
« Ответ #5 : 27.12.2015, 01:10:50 »
Если поставил обновление 3.4.7 но утечка паролей либо файлы залиты- были ДО обновления, то могли любые трояны уже занести, хоть последняя версия Joomla.
К примеру утечка ftp пароля или пароли от базы данных- вообще не влияют на версию, могут просто зайти под админом и засунуть любые трояны.
Надо не только чистить файлы, но и все пароли обязательно сменить.

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku
Re: Как найти дыру?
« Ответ #6 : 27.12.2015, 01:12:19 »
Ну это понятно, 3.4.7 когда была залита?
Еще вариант - что просто ТС сам себе шелл поставил.

*

buto

  • *****
  • 522
  • 1
Re: Как найти дыру?
« Ответ #7 : 27.12.2015, 01:25:03 »
Цитировать
Ну это понятно, 3.4.7 когда была залита?
Еще вариант - что просто ТС сам себе шелл поставил.
Еще вариант - что просто ТС сам себе шелл поставил.
Да вот в том то и дело что не устанавливал стороннего. Обновление было Joomla 22.12.2015 в 22.07, кроме этого устанавливал (обновлял ) шаблон от yootheme (с оф.сайта) и пару картинок для категорий JoomShopping (вот сча я их и проверяю на наличие различных маркеров). Вариант что сайт старый был 2.5. версия, возможно какой то старый плагин, сейчас попробую все проверить. Для меня непонятно как мне залили это троян  template.php , как это вообще возможно?

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku
Re: Как найти дыру?
« Ответ #8 : 27.12.2015, 01:27:56 »
Обновление было Joomla 22.12.2015 в 22.07
6 дней много, особенно, учитывая что уязвимость была 0day - то есть начала эксплуатироваться до патча (с 12 числа в буржунете).
В рунете, судя по сообщениям, дырка начала эксплуатироваться через 4-6 часов после патча, а через 1-2 дня был уже пик.

*

AlexeyGal

  • ****
  • 327
  • 23
Re: Как найти дыру?
« Ответ #9 : 27.12.2015, 01:31:32 »
Атаки с заливанием троянов пошли 14.12.2015 (с 12-го числа в буржунете), уже 15.12.2015 - атаки стали сложнее и разнообразнее, если Вы обновляли 22.12.2015 то это значит - все что угодно могли залить за 8 дней.
Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!
И иметь возможность обновить, закрыв дыры.
« Последнее редактирование: 27.12.2015, 01:36:35 от AlexeyGal »

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku
Re: Как найти дыру?
« Ответ #10 : 27.12.2015, 01:34:09 »
Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!
Такие дырки бывают раз в много лет.
era же все таки был заставлен сделать рассылку, надо было лишь прочитать )

*

AlexeyGal

  • ****
  • 327
  • 23
Re: Как найти дыру?
« Ответ #11 : 27.12.2015, 01:43:21 »
Такие дырки бывают раз в много лет.

На почту приходит много бесполезного Спама и одно письмо о выходе обновлений для сайта, закрывающее дыры- вполне может сэкономить много нервов и времени.
Хорошо если 1 сайт, а представьте, что на Joomla вот у меня 17 сайтов, и все одновременно заразятся- мне надо кучу времени убить, уделив каждому время.

Предлагаю внести в платформу joomla- модуль обязательного уведомления на почту администратора, о выходе Обновлений.
Типа галочки "Уведомлять о выходе важных обновлений платформы" - если на Joomla миллионы сайтов- это реальная экономия Миллионов человеко-часов и несколько цистерн валерьянки!  
« Последнее редактирование: 27.12.2015, 02:32:16 от AlexeyGal »

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku
Re: Как найти дыру?
« Ответ #12 : 27.12.2015, 01:45:20 »
Будет в 3,5 уже вроде.

*

buto

  • *****
  • 522
  • 1
Re: Как найти дыру?
« Ответ #13 : 27.12.2015, 01:48:24 »
Так я все же теперь не могу понять, что делать?Бекапнуть все сайты от 12.12.2015?И базы данных?Одним словом все бекапнуть? Либо только один сайт?

*

AlexeyGal

  • ****
  • 327
  • 23
Re: Как найти дыру?
« Ответ #14 : 27.12.2015, 02:36:03 »
Если троянов нет в сторонних расширениях, то Вы правильно поняли- атаки начались с 12.12.2015. Сначала сменить ВСЕ пароли, а затем залить бекап.
Можно воспользоваться программой сравнения файлов winmerge и сравнением существующий сайт с бекапом до 12.12.2015- и вычистить левые файлы.
« Последнее редактирование: 27.12.2015, 03:22:12 от AlexeyGal »

*

buto

  • *****
  • 522
  • 1
Re: Как найти дыру?
« Ответ #15 : 27.12.2015, 05:34:08 »
Обнаружил в одном изображении странный код, посреди-это нормально? Может отсюда и пошло заражение? или это параноя у меня?
Спойлер
[свернуть]

*

flyingspook

  • *****
  • 3607
  • 236
Re: Как найти дыру?
« Ответ #16 : 27.12.2015, 15:03:13 »
Нет ни чего странного это код формирует photoshop
По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.

*

draff

  • *******
  • 2739
  • 169
  • step by step
Re: Как найти дыру?
« Ответ #17 : 27.12.2015, 16:25:13 »
К примеру утечка ftp пароля или пароли от базы данных- вообще не влияют на версию, могут просто зайти под админом и засунуть любые трояны.
Надо не только чистить файлы, но и все пароли обязательно сменить.
Даже если есть доступ к БД, как он расшифрует пароль админа ? И где гарантия что нет скрипта, залитого хакером, перехватывающего измененный пароль админа.

*

winstrool

  • *****
  • 758
  • 39
  • Свободен для работы
Re: Как найти дыру?
« Ответ #18 : 27.12.2015, 20:31:56 »
Даже если есть доступ к БД, как он расшифрует пароль админа ?
Вас научить?

И как вариант, можно использовать просто админскую сессию которая хранится в БД, и пройти в админку...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

buto

  • *****
  • 522
  • 1
Re: Как найти дыру?
« Ответ #19 : 27.12.2015, 23:36:03 »
Цитировать
По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.

Да похоже на правду. Проверил Ai-bolit очень много чего показал, сейчас проверяю версии дампа более ранние от  07.12 и т.д.
По теме читал этот топик http://joomlaforum.ru/index.php/topic,246899.660.html , там настоятельно рекомендуется отключать сайт на период выполнения работ (либо как только был обнаружен вредоносный код типо шел, бекдоры).
Из всего, что я прочел за эти 2 дня, попробую сделать вывод:
 я понял что у меня был шел через который был залит вирус троян template.php (просто запросом
Спойлер
[свернуть]
 и множество других файлов. Лечить надо все, всей сайты на хостинге. Устанавливать надо себе скрипт  по защите для хостинга типо ai-bolit (так рекомендовал хостинг), следить за всеми обновлениями Joomla (чуть ли не с разбежкой до часа). Все левые сайты которые были на хостинге (которые набирали себе возраст  и были версии 2.5.28) я скосил, вернусь к ним позже, пока надо спасть то, что кормит. Обновил все расширения, поменял логи пароли админки, пользователей бд, через admin tools проверил права папок и поменял пароли htaccess.  Также теперь в файлообменике надо как то разграничить доступы по сайтам, чтобы не расползались версии (тут немного не понял как). Ну и последнее -раз уже точно есть вирусный код-надо заказывать работу специалиста, т.к. тут однозначно нужен опыт, тут нужен именно лекарь). Вроде все правильно написал либо еще что-то?

*

AlexeyGal

  • ****
  • 327
  • 23
Re: Как найти дыру?
« Ответ #20 : 27.12.2015, 23:43:39 »
Вроде все правильно написал либо еще что-то?
используй генератор паролей
« Последнее редактирование: 01.03.2016, 17:34:10 от AlexeyGal »

*

flyingspook

  • *****
  • 3607
  • 236
Re: Как найти дыру?
« Ответ #21 : 28.12.2015, 01:28:29 »
Да похоже на правду. Проверил Ai-bolit очень много чего показал, сейчас проверяю версии дампа более ранние от  07.12 и т.д.
По теме читал этот топик http://joomlaforum.ru/index.php/topic,246899.660.html , там настоятельно рекомендуется отключать сайт на период выполнения работ (либо как только был обнаружен вредоносный код типо шел, бекдоры).
Из всего, что я прочел за эти 2 дня, попробую сделать вывод:
 я понял что у меня был шел через который был залит вирус троян template.php (просто запросом
Спойлер
[свернуть]
  и множество других файлов. Лечить надо все, всей сайты на хостинге. Устанавливать надо себе скрипт  по защите для хостинга типо ai-bolit (так рекомендовал хостинг), следить за всеми обновлениями Joomla (чуть ли не с разбежкой до часа). Все левые сайты которые были на хостинге (которые набирали себе возраст  и были версии 2.5.28) я скосил, вернусь к ним позже, пока надо спасть то, что кормит. Обновил все расширения, поменял логи пароли админки, пользователей бд, через admin tools проверил права папок и поменял пароли htaccess.  Также теперь в файлообменике надо как то разграничить доступы по сайтам, чтобы не расползались версии (тут немного не понял как). Ну и последнее -раз уже точно есть вирусный код-надо заказывать работу специалиста, т.к. тут однозначно нужен опыт, тут нужен именно лекарь). Вроде все правильно написал либо еще что-то?
Да все верно.

*

buto

  • *****
  • 522
  • 1
Re: Как найти дыру?
« Ответ #22 : 29.12.2015, 02:05:23 »
Цитировать
Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!
Это где такой плагин найти?

*

AlexeyGal

  • ****
  • 327
  • 23

*

buto

  • *****
  • 522
  • 1
Re: Как найти дыру?
« Ответ #24 : 30.12.2015, 00:03:29 »
Цитировать
http://extensions.joomla.org/extensions/extension/access-a-security/site-security/cupdater
Спасибо как закончат цементацию сайта сразу установлю