0 Пользователей и 1 Гость просматривают эту тему.
  • 18 Ответов
  • 2414 Просмотров
*

CaHeK_pk

  • Осваиваюсь на форуме
  • 115
  • 2
Вообщем на сайт очень долго шла DDOS атака. хостер соотвественно временно сайт отключил, решил посмотреть от куда идут запросы... оказалось что со всего мира. решил посмотреть что происходит в самой дирректории сайта и увидел несколько файлов с "подозрительным содержимым".
три файла:
tmp/sfx.php
cache/jcache.php
components/com_xmap /viewstemplate.php
/cache
Спойлер
[свернуть]
« Последнее редактирование: 15.01.2016, 23:17:00 от CaHeK_pk »
*

winstrool

  • Завсегдатай
  • 770
  • 40
  • Свободен для работы
это бегдоры, а то что запросы со всего мира идут, так это наврное у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС или слива на ПП, встречный вопрос вам в файле tmp/sfx.php случайно "Good day!" не написано?

как пример Яндекс выдает по такому файлу https://yandex.ru/search/?lr=54&msid=22897.4778.1452890623.4338&oprnd=5577373225&text=inurl%3Atmp%2Fsfx.php
и сам бегдор вызывается так:
Цитировать
sfx.php?fun=assert&id_polls=phpinfo();

Честно каюсь, я тогда был мал и глуп, ходил в первый класс и написал свою систему эксплуатации эксплоитов по списку доменов, которая по этому принципу заливала бегдор, а фраза "Good day!" означала что бегдор залился успешно, но щас я исправился и занимаюсь только хорошими вещами...

P.S: Сам файл, что вы вылажели это WSO шелл
« Последнее редактирование: 15.01.2016, 23:51:07 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

dmitry_stas

  • Профи
  • 10000
  • 948
да, WSO... кстати, видел WSO который содержал бекдор :) под видом новой версии выложили индусы по моему :) сливал данные доступа к самому WSO.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winstrool

  • Завсегдатай
  • 770
  • 40
  • Свободен для работы
да, WSO... кстати, видел WSO который содержал бекдор :) под видом новой версии выложили индусы по моему :) сливал данные доступа к самому WSO.
Да их дофига и больше модификаций и от русских есть, высылают на почту доступы, на гейт или просто банальный eval() со стучалкой...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

dmitry_stas

  • Профи
  • 10000
  • 948
да? от... чертяки неугомонные :) даже заливать самим лень :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

CaHeK_pk

  • Осваиваюсь на форуме
  • 115
  • 2
это бегдоры, а то что запросы со всего мира идут, так это наврное у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС или слива на ПП, встречный вопрос вам в файле tmp/sfx.php случайно "Good day!" не написано?

как пример Яндекс выдает по такому файлу https://yandex.ru/search/?lr=54&msid=22897.4778.1452890623.4338&oprnd=5577373225&text=inurl%3Atmp%2Fsfx.php
и сам бегдор вызывается так:
Честно каюсь, я тогда был мал и глуп, ходил в первый класс и написал свою систему эксплуатации эксплоитов по списку доменов, которая по этому принципу заливала бегдор, а фраза "Good day!" означала что бегдор залился успешно, но щас я исправился и занимаюсь только хорошими вещами...

P.S: Сам файл, что вы вылажели это WSO шелл
нет:)куча символов кодировки. вроде вытащил заразу:)
кому может пригодится где могут находиться и имена файлов:

components/com_xmap/views.template.php
cache/jcache.php
tmp/sfx.php
libraries\joomla\filter\wrapper\settings.php
logs\error.php
modules\mod_stats\allstats.php
\templates\protostar\img\framework.php
templates\beez5\javascript\news.php
\templates\beez_20\language\license.php
templates\beez_20\html\framework.php

и вопрос на счет "у вас на сайте прокладку под ТДС сделали, для перенапровления трафика на ТДС " что это? и я это вылечил или как лечить?:)
буду благодарен за ответ:)
*

winstrool

  • Завсегдатай
  • 770
  • 40
  • Свободен для работы
и я это вылечил или как лечить?:)
Я вообще не знаю что вы там вылечили! понял только одно, что вас взломали, по логам посмотрите куда направлялся трафик с разных стран и что там в скрипте прописано было, скорее всего он оббусифецирован был.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

CaHeK_pk

  • Осваиваюсь на форуме
  • 115
  • 2
Я вообще не знаю что вы там вылечили!
удалил эти файлы в директории сайта
*

capricorn

  • Практически профи
  • 1687
  • 105
TDS может означать Traffic Distribution System.

Не забивайте себе голову. Вопросы безопасности давно известны. Просто следуйте им.

Если все-таки взломали, а бэкапа здорового нет, закажите чистку. Это не тривиальная задача - почистить сайт.

Цитировать
удалил эти файлы в директории сайта

Они снова появятся, если не устранена причина взлома.

Если у вас есть бэкап все-таки, то установите скрипт отслеживающий изменения в файлах. Периодически обращайтесь к нему, и он вам покажет заливку бэкдора. Просмотрите лог доступа после этого и вам станет все ясно.

Пример intrusion-detection скрипта https://github.com/lucanos/Tripwire

Он делает md5 хэш сумму всех файлов и скажет что и где изменилось.

*

CaHeK_pk

  • Осваиваюсь на форуме
  • 115
  • 2
вирус больше не проявляется но постоянная атака уже замучала..
судя по логам боты постоянно пытаются зарегистрироваться. похоже на спам ботов, скажите как можно защититься от них? за два часа логи стали весить около 20мб..
*

flyingspook

  • Moderator
  • 3619
  • 236
вирус больше не проявляется но постоянная атака уже замучала..
судя по логам боты постоянно пытаются зарегистрироваться. похоже на спам ботов, скажите как можно защититься от них? за два часа логи стали весить около 20мб..
20mb это не размер для логов, на админку ограничение доступа http авторизацию gjcnfdmnt
*

CaHeK_pk

  • Осваиваюсь на форуме
  • 115
  • 2
20mb это не размер для логов, на админку ограничение доступа http авторизацию gjcnfdmnt
на админку и регистрацию\вход на сайт поставил редирект на основную страницу сайта. все равно очень запросов идет, и нагрузка на сервер в арифметической прогрессии повышается. на форумах почитал про RSFirewall!, якобы он отсеивает "подозрительные" IP с запросами. как думаете стоит ли ставить?
*

dmitry_stas

  • Профи
  • 10000
  • 948
а у вас в логах постоянно один и тот же айпи проскакивает, чтобы его можно было классифицировать как "подозрительный"?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

CaHeK_pk

  • Осваиваюсь на форуме
  • 115
  • 2
а у вас в логах постоянно один и тот же айпи проскакивает, чтобы его можно было классифицировать как "подозрительный"?
айпишники постоянно разные, но у всех запросы идут на несуществующие страницы напр. (/index.php?option=com_easyblog&view=dashboard&layout=write) и обязательно прямые запросы на страницы регистрации
/index.php/component/users/?view=registration
/index.php?option=com_user&view=register
/index.php/component/user/?task=register
и так с каждого IP...
раньше было около 60+ запросов с одного IP, после установки редиректов и отключения возможности комментировать идет около 10 запрсов..
----upd--
небольшая часть логов
Спойлер
[свернуть]
« Последнее редактирование: 18.01.2016, 14:40:44 от CaHeK_pk »
*

dmitry_stas

  • Профи
  • 10000
  • 948
ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winstrool

  • Завсегдатай
  • 770
  • 40
  • Свободен для работы
ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?
www.mysite.ru 172.245.214.189 - - [18/Jan/2016:14:20:48 +0300] "GET /types/bored-piles.html HTTP/1.0" 200 33990 "http://www.mysite.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36 OPR/26.0.1656.60"
где 200 код ответа страници.


www.mysite.ru 172.245.214.189 - - [18/Jan/2016:14:21:04 +0300] "GET /index.php?option=com_easyblog&view=dashboard&layout=write HTTP/1.0" 301 230 "http://www.mysite.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36 OPR/26.0.1656.60"
где 301 код ответа страници
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

CaHeK_pk

  • Осваиваюсь на форуме
  • 115
  • 2
ну дыры ищут... а у вас например /index.php?option=com_easyblog&view=dashboard&layout=write - какой код ответа отдает? не 200 случайно? просто боты они ж в общем то тоже понимающие должны быть. ищут дыры, но если 404 - то зачем по 100500 раз туда соваться? а получается что почему то лезут все равно туда. может ваш сервер им не говорит, что там нет того, за чем они пришли?
самое интересное когда сайт по этому домену сделал одностраничный. (т.е. index.html с тектом без CMS) они все равно пытаются залезть на эти страницы хотя их и впомине нет..
а на /types/bored-piles.html и паре подобных страниц раньше можно было оставлять комментарии (их было большое количество, и все спам). сейчас закрыл доступ к написанию комментов. таким образом уменьшил запросы к SQL, раньше в день была нагрузка 7000 сек. сейчас 1сек.
*

dmitry_stas

  • Профи
  • 10000
  • 948
где 301 код ответа страници
тю... слепой стал совсем... я ж и смотрел даже, не увидел. я так думаю им надо 404 отдавать, видимо 301 не очень понимают...
« Последнее редактирование: 18.01.2016, 18:38:15 от dmitry_stas »
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться