Подскажите что это и кто сталкивался с этим? - Безопасность сайтов на Joomla

Вообщем на сайт очень долго шла DDOS атака. хостер соотвественно временно сайт отключил, решил посмотреть от куда идут запросы... оказалось что со всего мира. решил посмотреть что происходит в самой дирректории сайта и увидел несколько файлов с "подозрительным содержимым".
три файла:
tmp/sfx.php
cache/jcache.php
components/com_xmap /viewstemplate.php
/cache

это бегдоры, а то что запросы со всего мира идут, так это наврное у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС или слива на ПП, встречный вопрос вам в файле tmp/sfx.php случайно "Good day!" не написано?

как пример Яндекс выдает по такому файлу https://yandex.ru/search/?lr=54&msid=22897.4778.1452890623.4338&oprnd=5577373225&text=inurl%3Atmp%2Fsfx.php
и сам бегдор вызывается так:

sfx.php?fun=assert&id_polls=phpinfo();

Честно каюсь, я тогда был мал и глуп, ходил в первый класс и написал свою систему эксплуатации эксплоитов по списку доменов, которая по этому принципу заливала бегдор, а фраза "Good day!" означала что бегдор залился успешно, но щас я исправился и занимаюсь только хорошими вещами...

P.S: Сам файл, что вы вылажели это WSO шелл

да, WSO... кстати, видел WSO который содержал бекдор под видом новой версии выложили индусы по моему сливал данные доступа к самому WSO.

да, WSO... кстати, видел WSO который содержал бекдор под видом новой версии выложили индусы по моему сливал данные доступа к самому WSO.

Да их дофига и больше модификаций и от русских есть, высылают на почту доступы, на гейт или просто банальный eval() со стучалкой...

да? от... чертяки неугомонные даже заливать самим лень

это бегдоры, а то что запросы со всего мира идут, так это наврное у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС или слива на ПП, встречный вопрос вам в файле tmp/sfx.php случайно "Good day!" не написано?

как пример Яндекс выдает по такому файлу https://yandex.ru/search/?lr=54&msid=22897.4778.1452890623.4338&oprnd=5577373225&text=inurl%3Atmp%2Fsfx.php
и сам бегдор вызывается так:
Честно каюсь, я тогда был мал и глуп, ходил в первый класс и написал свою систему эксплуатации эксплоитов по списку доменов, которая по этому принципу заливала бегдор, а фраза "Good day!" означала что бегдор залился успешно, но щас я исправился и занимаюсь только хорошими вещами...

P.S: Сам файл, что вы вылажели это WSO шелл

нет:)куча символов кодировки. вроде вытащил заразу:)
кому может пригодится где могут находиться и имена файлов:

components/com_xmap/views.template.php
cache/jcache.php
tmp/sfx.php
libraries\joomla\filter\wrapper\settings.php
logs\error.php
modules\mod_stats\allstats.php
\templates\protostar\img\framework.php
templates\beez5\javascript\news.php
\templates\beez_20\language\license.php
templates\beez_20\html\framework.php

и вопрос на счет "у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС " что это? и я это вылечил или как лечить?
буду благодарен за ответ:)

и я это вылечил или как лечить?

Я вообще не знаю что вы там вылечили! понял только одно, что вас взломали, по логам посмотрите куда направлялся трафик с разных стран и что там в скрипте прописано было, скорее всего он оббусифецирован был.

Я вообще не знаю что вы там вылечили!

удалил эти файлы в директории сайта

TDS может означать Traffic Distribution System.

Не забивайте себе голову. Вопросы безопасности давно известны. Просто следуйте им.

Если все-таки взломали, а бэкапа здорового нет, закажите чистку. Это не тривиальная задача - почистить сайт.

удалил эти файлы в директории сайта

Они снова появятся, если не устранена причина взлома.

Если у вас есть бэкап все-таки, то установите скрипт отслеживающий изменения в файлах. Периодически обращайтесь к нему, и он вам покажет заливку бэкдора. Просмотрите лог доступа после этого и вам станет все ясно.

Пример intrusion-detection скрипта https://github.com/lucanos/Tripwire

Он делает md5 хэш сумму всех файлов и скажет что и где изменилось.

Не факт что все вытащили. Наблюдайте еще за сайтом.

вирус больше не проявляется но постоянная атака уже замучала..
судя по логам боты постоянно пытаются зарегистрироваться. похоже на спам ботов, скажите как можно защититься от них? за два часа логи стали весить около 20мб..

вирус больше не проявляется но постоянная атака уже замучала..
судя по логам боты постоянно пытаются зарегистрироваться. похоже на спам ботов, скажите как можно защититься от них? за два часа логи стали весить около 20мб..

20mb это не размер для логов, на админку ограничение доступа http авторизацию gjcnfdmnt

20mb это не размер для логов, на админку ограничение доступа http авторизацию gjcnfdmnt

на админку и регистрацию\вход на сайт поставил редирект на основную страницу сайта. все равно очень запросов идет, и нагрузка на сервер в арифметической прогрессии повышается. на форумах почитал про RSFirewall!, якобы он отсеивает "подозрительные" IP с запросами. как думаете стоит ли ставить?

а у вас в логах постоянно один и тот же айпи проскакивает, чтобы его можно было классифицировать как "подозрительный"?

а у вас в логах постоянно один и тот же айпи проскакивает, чтобы его можно было классифицировать как "подозрительный"?

айпишники постоянно разные, но у всех запросы идут на несуществующие страницы напр. (/index.php?option=com_easyblog&view=dashboard&layout=write) и обязательно прямые запросы на страницы регистрации
/index.php/component/users/?view=registration
/index.php?option=com_user&view=register
/index.php/component/user/?task=register
и так с каждого IP...
раньше было около 60+ запросов с одного IP, после установки редиректов и отключения возможности комментировать идет около 10 запрсов..
----upd--
небольшая часть логов

ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?

ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?

www.mysite.ru 172.245.214.189 - - [18/Jan/2016:14:20:48 +0300] "GET /types/bored-piles.html HTTP/1.0" 200 33990 "http://www.mysite.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36 OPR/26.0.1656.60"
где 200 код ответа страници.


www.mysite.ru 172.245.214.189 - - [18/Jan/2016:14:21:04 +0300] "GET /index.php?option=com_easyblog&view=dashboard&layout=write HTTP/1.0" 301 230 "http://www.mysite.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36 OPR/26.0.1656.60"
где 301 код ответа страници

ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?

самое интересное когда сайт по этому домену сделал одностраничный. (т.е. index.html с тектом без CMS) они все равно пытаются залезть на эти страницы хотя их и впомине нет..
а на /types/bored-piles.html и паре подобных страниц раньше можно было оставлять комментарии (их было большое количество, и все спам). сейчас закрыл доступ к написанию комментов. таким образом уменьшил запросы к SQL, раньше в день была нагрузка 7000 сек. сейчас 1сек.

где 301 код ответа страници

тю... слепой стал совсем... я ж и смотрел даже, не увидел. я так думаю им надо 404 отдавать, видимо 301 не очень понимают...