взломали сайт: подменили содержимое для п

  • 10 Ответов
  • 831 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

TopClans

Столкнулся с проблемой - позволил заразить свой сайт (сам виноват, расслабился и сохранил пароль в ФТП-менеджере), причем узнал я об этом совершенно случайно. решил проблему, и подумал что возможно кому-то поможет мой пост.

Итак, один из сайтов на Joomla у меня использует нестандартный .htaccess, и на первомайских праздниках я увидел что у меня не грузится одна из страниц, настроенная как раз через .htaccess. Полез смотреть - а у меня левые файлы и папки на сайте. Также были созданы новые суперадминистраторы на каждом сайте, причем они были созданы без E-mail, то есть не через сайт, а скорее всего запросом напрямую в БД, пароль от которой узнали из файла конфига.
Восстановил всё из бекапа за 1 мая, облазил странички сайта в поисках нехорошего кода - никаких левых ссылок, айфреймов, и прочего не увидел. Сменил, разумеется, пароли, и успокоился. Сегодня поработал над семантической разметкой страниц, решил проверить через валидатор - а Google и Яндекс у меня на сайте видят стандартный каркас (хедер, футер, модули), но вместо самой статьи там порноописание и всякие ссылки.
Ужаснулся, не поверил глазам, полез сам смотреть ещё раз - всё в норме. Короче, вредоносный код определяет, кто смотрит сайт - человек или поисковик, если поисковик - выдаёт ему другую страницу, с порно-контентом.

Стало прямо-таки интересно, с полдня наверное пробовал всякое - вроде и .htaccess проверил, и ещё раз проверил логи ФТП - но нет, новых подключений нет (кстати, атака была с китайских IP). Поэксперементировал с БД (благо они каждый день у меня бекапятся), накатывал за прошлый год БД - нет эффекта. Накатил бекап файлов за 1 января - всё нормализовалось.

Короче, не буду всё что делал описывать, напишу что дало эффект:
Яндекс манул нашёл 2 подозрительных файла, но забегая вперед скажу что это было не всё.
Параллельно скачал себе бекап за 1 января и текущий сайт, и сравнил все файлы с помощью TotalCommander - изменения-таки нашлись в .htaccess - в тех же нескольких файлах (ну, кроме тех, которые я менял сам, разумеется), и в нескольких других.


Первый файлик: /libraries/phputf8/phputf8.php
(осторожно, под спойлером 200+ строк base64 кода)
Спойлер
[свернуть]

Второй файлик: /includes/framework.php
Тут кстати тоже есть небольшая фишка. На этот файл мне указал тотал командер, и в нём действительно был вредоносный код, приведу его ниже. Я его удалил, но потом случайно заметил что уж очень широкая в файле какая-то строка. Включил перенос строк, и увидел что на первой строчке тоже был добавлен код, только "замаскирован" множеством пробелов, из-за которых самой строки и не было видно - выглядело просто как пустая строка.

Итак, добавленный в конец файла код:
Спойлер
[свернуть]

Как видно, код также рассчитан и на wordpress.
И код, добавленный в первой строке:

Спойлер
[свернуть]

Идём по следам, оставленным в коде, файл /libraries/joomla/application/joomla-app.php - весь вредоносный, удаляем нафиг:
Спойлер
[свернуть]
« Последнее редактирование: 05.05.2016, 23:23:42 от TopClans »


*

TopClans

забыл добавить. на одном сайте 1.5.*, или что-то типа того
на другом - 3.2.7

*

wishlight

  • ********
  • 3582
  • [+]221 / [-]1
  • skype aqaus.com
Разделять, обновляться, лечится. На первом патч безопасности с обновлением до 1.5 последней, уже не помню какой. Последнюю просто обновить и чистить с сменой паролей. Думаю еще вернется.

*

TopClans

короче, в одно сообщение так много текста не влезает, в конце хотел добавить очевидные напутствия вроде "не сохраняйте нигде пароли, не храните несколько сайтов на одном аккаунте (взломают например Wordpress - заразят и остальные сайты, то же самое с Joomla), и делайте больше бекапов. 2 раза в месяц, и храните год - это обойдется не очень-то дорого (я плачу рублей 300 в год за бекапы на селектел и ещё частые бекапы храню на своём сервере)"

*

TopClans

последнюю обновлять - нужен PHP 5.5, мне не хочется его ставить.
сейчас, я почти уверен, всё дело в слитом пароле - логи ftp говорят о том что кто-то с китайского IP коннектился именно по ФТП.


*

voland

  • ********
  • 9335
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku

*

Missile

последнюю обновлять - нужен PHP 5.5, мне не хочется его ставить.
Что-то личное к PHP 5.5?
Все версии Joomla до 3.4.8 уязвимы, и для заливки на ваш сайт бэкдора совершенно не нужен пароль от ftp. Пока не обновите Joomla - так и будете регулярно чистить сайт от зловредов.

собссно
По-моему, пора уже всех создателей подобных тем первым делом спрашивать о версии Joomla, после чего отправлять курить мануалы в раздел безопасности. Если люди любят играть с огнём, то зачем тратить на них время?

*

TopClans

так я не прошу тратить на меня время - я сам поделился опытом, как я действовал для устранения неполадки.

каждый раз выходит новая версия Joomla, со описанием "защитились", а через месяц-два выходит срочное обновление, потому что снова нашли очередную дырку. у меня есть 4-5 старых сайтов на старых Joomlaх, и их не заражают годами.
« Последнее редактирование: 06.05.2016, 12:13:02 от TopClans »

*

Missile

каждый раз выходит новая версия Joomla, со описанием "защитились", а через месяц-два выходит срочное обновление, потому что снова нашли очередную дырку.
Абсолютно неверная информация. Большинство обновлений Joomla - это исправление багов и минорных уязвимостей. Критические уязвимости в Joomla бывают крайне редко и оперативно патчатся, а 99% "взломов" происходит из-за лени или пофигизма владельцев сайтов.
у меня есть 4-5 старых сайтов на старых Joomlaх, и их не заражают годами.
Попробуйте прогнать их Айболитом - узнаете много нового. Если нет видимых проявлений заражения - это ещё не значит, что сайты чисты.

Уязвимости в любой CMS были, есть и будут в силу особенностей структуры движка. И эти уязвимости при обнаружении всегда оперативно закрываются, но если владельцы сайтов пренебрегают мерами безопасности, то чуда не случится.