0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 524 Просмотров
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0
Добрый день!

Сайт был на Joomla! 3.4.5, его взломали. Очистил от вирусов, обновил до 3.5.1, обновил расширения и прописал в корневом .htaccess защитные директивы:
Код
RewriteEngine On
RewriteCond %{REQUEST_URI}  ^/components/ [NC,OR]
RewriteCond %{REQUEST_URI}  ^/images/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/media/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/modules/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/templates/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/logs/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/tmp/
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]

# Blocking the scripts, trying to send something via base64_encode by URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
 
# Blocking the scripts containing < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
 
# Blocking the scripts trying to set GLOBAL variable through URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
 
# Blocking the scripts trying to change _REQUEST variable through URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
 
# Blocking the scripts trying set sbp or sb_authorname through URL
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)

Не прошло и недели, как сайт снова взломали, причем вписали в файлы скрипты с GLOBALS, хотя вроде как есть директива, чтобы эти команды нельзя было загрузить.

Права на папки стоят 755, на файлы 644, на configuration.php и .htaccess 444.

Подскажите пожалуйста, в чем может быть проблема, и что еще можно сделать для защиты?
*

draff

  • Практически профи
  • 2782
  • 175
  • step by step
Если не устанавливать расширения и вносить правки в шаблон, то можно права 555/444
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0
Сайт один. Мне тоже хотелось верить в "плохо очистили", но у меня есть копия сайта недельной давности, специально заходил и проверял — в ней не было вирусного кода в тех файлах, в которых он есть сейчас.
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0
Еще момент. Там .htaccess не стандартный Джумловский. До моего кода там было указано вот что:

Код
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

Ниже я вписал свой код, который в первом посте указан. Может что-то неправильно сделал, надо было например внутрь <IfModule mod_rewrite.c></IfModule> вписать?
*

flyingspook

  • Moderator
  • 3620
  • 236
Может не может
Сайт один. Мне тоже хотелось верить в "плохо очистили", но у меня есть копия сайта недельной давности, специально заходил и проверял — в ней не было вирусного кода в тех файлах, в которых он есть сейчас.
Не дочистили сайт, вы смотрите и ищете как и многие не то что надо. Глубже копать надо и обновлять закрывать уязвимости.
*

pavelrer

  • Завсегдатай
  • 412
  • 8
Если вас взломали, даже если не со зла, это беда.

Первым делом меняем все логины, пароли, префиксы и.т.д не только нв сайте, в почте, в акк контакта и.т.д (не забудьте про всякие внешние db и.т.д)
Практика показывает, да не то-что практика, это уже школьные азы хака.
Если есть одна ниточка - тяни и не пались. Вы может все и поправили по вашему мнению но, нехороший дядька уже видит вашу почту допустим и от тудыва тянет пароли.
Если почта допусим храниться на сервере yandex, mail и сообщения не удобряются то злой дядя из нее вытащит цельную кучу информации и опять проникнет! - Хорошо если только на сайт!

Первым делом надо вспомнить всю электронную жизнь и сменить все логины и пароли! ДА ГЕМОРОЙ!
После вы сделаете выводы, и все будет нормально! 
*

pavelrer

  • Завсегдатай
  • 412
  • 8
Забыл сказать, логины и пароли не должны повторяться а то вы пока меняете один! ну вы поняли!
Если сайт был с личными данными юзеров, стоит закрыть им доступ и оповестить мягко о смени пароля!
*

pavelrer

  • Завсегдатай
  • 412
  • 8
Айболит! Там есть функция контроля изменения файлов! Как то-так! Если конечно поможет!
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0
Не дочистили сайт, вы смотрите и ищете как и многие не то что надо. Глубже копать надо и обновлять закрывать уязвимости.

Т.е. если вас правильно понял, то если я не дочистил какие-то файлы, то вредоносный код может потом появиться и в тех файлах, в которых его раньше не было? И могут появиться новые файлы, состоящие полностью из этого вредоносного кода?
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0
Если вас взломали, даже если не со зла, это беда.

Первым делом меняем все логины, пароли, префиксы и.т.д не только нв сайте, в почте, в акк контакта и.т.д (не забудьте про всякие внешние db и.т.д)
Практика показывает, да не то-что практика, это уже школьные азы хака.
Если есть одна ниточка - тяни и не пались. Вы может все и поправили по вашему мнению но, нехороший дядька уже видит вашу почту допустим и от тудыва тянет пароли.
Если почта допусим храниться на сервере yandex, mail и сообщения не удобряются то злой дядя из нее вытащит цельную кучу информации и опять проникнет! - Хорошо если только на сайт!

Первым делом надо вспомнить всю электронную жизнь и сменить все логины и пароли! ДА ГЕМОРОЙ!
После вы сделаете выводы, и все будет нормально! 

Интересно. У меня на сайте множество юзеров зарегистрировано, и ботов тоже (хотя они все отключены). Это может влиять?
*

pavelrer

  • Завсегдатай
  • 412
  • 8
Я имел ввиду зарегиных юзеров с личными данными!
Яж уже сказал - ниточка за ниточкой!

Допустим я нехороший человек получил все мыло (! Без паролей !) ваших зарегиных юзеров! только мыло! только ваших юзеров!
Как вы думаете смогу ли я положить ваш ресурс? Еще раз внимание! Всех ваших юзеров!
*

pavelrer

  • Завсегдатай
  • 412
  • 8
Извенямбус, Комментарии

1. http://joomlaforum.ru/index.php/topic,328078.0.html  -  Если так то это видимо не взлом а вирус машинный, я могу быть не прав но nod не лечит, drweb запуска находит ноль вирусов но эффект пропадает. Пока виновника не нашли но похоже это torrent.exe распоковщики.

2. .htaccess - Полностью надо изучить каждую строку, если что-то пишете вы должны четко понимать что! Хороший старый форум opennet в помощь! там рубяты всегда помогут.

3. .htaccess - это файл (только с запретом прямого доступа) располагайте в те корневые папки куда доступ запрещен, и допустим для админки открывайте доступ по IP!
   Если у вас типа домашнии сети то или вносите несколько своих IP они могут меняться, или у провайдера запросите и оплатите постоянный.

4. В панели управления хостом, ищем все что может защитить! изучаем при необходимости включам! Если в панели есть вкладка сменить интерфейс, меняем и ищем и там и там они могут быть немного разнвми!

5. Айболит - скрипт не плохой! Ставим не в корень а в хост! Запускаем кроном раз в сутки! У Айболита есть плохо документированные функции, но ребята отвечают быстро и не важно что ты бесплатный клиент.

6. Про пароли и ниточки я сказал.

Как лечит не скажу, вы не написали в чем собстно взлом, или я не понял.

6.1 Не стоит искать IP в логах Joomla которые стучались в рег форму, даже если зарегился, не стоит блокировать IP. Скорей всего забаните нужную вам часть региона, хоть и сервисы будут показывать что это канада или украина.
*

Kiskenbassker

  • Осваиваюсь на форуме
  • 26
  • 0
Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXM  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?
*

pavelrer

  • Завсегдатай
  • 412
  • 8
Айболит отреагировал на base64 и усе! Это нормально так кодируют вирусы школьники! А может это и нужная картинка! Вы же весь base не написали!

Вы реально видимо не понимаете что смысла искать в файлах кусок кода который вы обноружили браузером смысла НЕТ!
*

draff

  • Практически профи
  • 2782
  • 175
  • step by step
Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?
Вирус или шел. Очистить только пересохранением картинки. И можно положить в папку с картинками, файл .htaccess запрещающий выполнение скриптов
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

flyingspook

  • Moderator
  • 3620
  • 236
Т.е. если вас правильно понял, то если я не дочистил какие-то файлы, то вредоносный код может потом появиться и в тех файлах, в которых его раньше не было? И могут появиться новые файлы, состоящие полностью из этого вредоносного кода?
Совершенно верно.

Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код e· eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXM  в изображениях. При том, что это вполне нормальные изображения, не файлы PHP с измененным расширение. Это вирус или нет? И если да, как его вычистить?

Приписано снизу? бывает реже что сверху дописывают.
Если допиской снизу/сверху то удалите в нотепад этот код и посмотрите откроется ли картинка. И скорей всего у вас должен быть где то вызов в файлах .php этого изображения типа
Код
include "/файл изображения"
пройдитесь поиском по содержимому файлов на предмет поиска этой картинки.

P.S. и это скорей всего на 100% то что вы скачали где то бесплатно из кем то ворованного
« Последнее редактирование: 29.06.2016, 19:31:20 от flyingspook »
*

pavelrer

  • Завсегдатай
  • 412
  • 8
Цитировать
файл .htaccess запрещающий выполнение скриптов
+1 Ну яж сказал что в opennet!
.htacces - это хороший файл! он не дерется! если туды написать где брать молочка, то он ответит вам так же - и в место химических пельмешех и получите авсралийске типо мясо на шашлык! получите то что кушает Валя Стакан!
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Код
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]
Предпочитаю разрешать выполнения ТОЛЬКО статистических файлов, а не набор скриптовых языков, которые с легкостью обходятся выполнением того же index.php в каких либо папках, как пример http://site/media/?backdor=CODE
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

pavelrer

  • Завсегдатай
  • 412
  • 8
я изменяюсь за последний мой ответ. сори не духе
*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
Вот интересно, я Айболитом полную проверку сделал, и он нашел некий код ...
До этого вы писали, что сайт от вирусов очистили, чем делали проверку?
Следует так же помнить, что Айболит не является панацеей, он сканирует код, сверяя его со своей базой сигнатур. Если у вас внутри нестандартный шелл, Айболит его может не увидеть. А может и ругаться на какой нибудь безобидный код, например, на класс, работающий с cURL.
Если вы слабо знаете PHP и вам сложно найти и обезвредить вредонос, у вас два пути. Первый - заплатить. Вам все сделают и настроят. Если денег нет или хочется самому - то лучше сделайте перенос. Т.е. установите чистую Joomla, скачанную с официального сайта Joomla.org (кстати, откуда скачана ваша версия?), перенесите на нее со старого сайта меню, материалы (это делается через базу данных запросами), перенесите изображения (проверив каждое из них, а лучше сконвертировать в другой формат или пакетно изменить размер) и другие файлы. Купите шаблон (а не с варезника, там 100% вирусня) или закажите дизайн (если ранее уже заказывали/покупали, то ставьте именно этот). Ну и защитите свой компьютер хорошим антивирусом (рекомендую глянуть рейтинг тут). В целом максим внимания и осторожности, проверяйте все. А лезть в код и искать не зная чего - это как в темноте пытаться на ощупь понять, что нарисовано на картине.
« Последнее редактирование: 30.06.2016, 13:45:23 от SeBun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 589
Просмотров: 192194
Последний ответ 06.08.2017, 12:41:32
от winstrool
На протяжении месяца постоянно взламывают сайт

Автор kaaaaaljan

Ответов: 4
Просмотров: 374
Последний ответ 17.07.2017, 21:36:10
от Sulpher
Помогите вылечить сайт от вирусов

Автор Victor333

Ответов: 26
Просмотров: 534
Последний ответ 15.06.2017, 18:35:15
от Миха1211
Не выводятся материалы ZOO. После вируса

Автор nuclearacid

Ответов: 1
Просмотров: 152
Последний ответ 29.05.2017, 21:48:36
от robert
Атака на сайт?

Автор yura88851

Ответов: 7
Просмотров: 746
Последний ответ 30.03.2017, 22:40:00
от yura88851