0 Пользователей и 1 Гость просматривают эту тему.
  • 56 Ответов
  • 1959 Просмотров
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Откуда попал вирус
« : 18.01.2017, 10:22:43 »
Здравствуйте,

Сегодня частично перестал работать сайт.
После отката на 2 дня назад сайт поднялся.

Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:
Спойлер
[свернуть]

Вирус ли это? Как думаете?

И еще вопрос. Как понять откуда он залез на мой сайт??
Логи открыл и как говорится вижу фигу. Ткните носом.
сайт объявлений в Томске на Joomla 3.7.
*

ProtectYourSite

  • Живу я здесь
  • 946
  • 49
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #2 : 18.01.2017, 11:49:01 »
Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?
*

flyingspook

  • Moderator
  • 3619
  • 236
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #4 : 19.01.2017, 09:00:09 »
Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?

Есть лишний пользователь. У меня регистрация включена но нигде не выведена.
Данный пользователь не активирован и никогда не заходил.
Обозвался как joomlasupport.

Удалил его и регистрацию отключил в настройках.

Какая версия Joomla у вас? Сколько сайтов на аккаунте? Какая версия php?

На аккаунте 3 сайта. Joomla! 2.5.28. PHP Version 5.3.29.
сайт объявлений в Томске на Joomla 3.7.
*

ProtectYourSite

  • Живу я здесь
  • 946
  • 49
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #5 : 19.01.2017, 10:49:20 »
Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #6 : 19.01.2017, 13:15:34 »
А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.

Патчей безопасности? Официальных?
Варез есть. ZOO компонент. Такое чувство, что там дырявая подача материала с фронтенда. Хотя... я не спец.

пароли вроде нормальные.
сайт объявлений в Томске на Joomla 3.7.
*

ProtectYourSite

  • Живу я здесь
  • 946
  • 49
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #7 : 19.01.2017, 14:13:47 »
Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #8 : 19.01.2017, 16:25:42 »
zoo мне казалось бесплатный компонент)

Когда я качал а это было года три назад были какие-то проблемы с бесплатностью. Сейчас мб и бесплатное.
Спасибо за подсказку.
сайт объявлений в Томске на Joomla 3.7.
*

voland

  • Профи
  • 9467
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #9 : 19.01.2017, 16:29:35 »
Ответ на вопрос.

Сам скачал и\или ничего не обновлял
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #10 : 19.01.2017, 16:38:23 »
Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.
сайт объявлений в Томске на Joomla 3.7.
*

voland

  • Профи
  • 9467
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #11 : 19.01.2017, 17:03:25 »
Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?
Я бы не рисковал

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.
А мне удалось.
*

flyingspook

  • Moderator
  • 3619
  • 236
Re: Откуда попал вирус
« Ответ #12 : 19.01.2017, 19:39:59 »
Откуда попал вирус

Потому что сайты не обслуживаете!
*

winstrool

  • Завсегдатай
  • 769
  • 40
  • Свободен для работы
Re: Откуда попал вирус
« Ответ #13 : 19.01.2017, 22:11:44 »
Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?
Мне кажется данная проблема никогда не решится) или вы о чем-то конкретном?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

SeBun

  • Практически профи
  • 3138
  • 192
  • @SeBun48
Re: Откуда попал вирус
« Ответ #14 : 20.01.2017, 00:05:36 »
пароли вроде нормальные.
Они кроме вас никому не нужны.

Попробую обобщить на доступном примере все то, о чем говорили. Итак, представьте - у вас дом. Вы его построили, обставили, в шкафу под грудой свежих простынь храните свою заначку на черный день. А уходя из дома вешаете на дверь замочек. И вот в один прекрасный день идете вы домой - а по дороге к вам клеиться некая молодая сексуальная особа, которая ну вся такая доступная... Заходите вы в магазин за пузырем и ведете ее домой. А на следующий день придя домой обнаруживаете, что заначки нет, на столе - недопитый пузырь какого то неизвестного науке пойла, на полу - мокрый презерватив, повсюду следы чьих то грязных сапог. Как же так! - резонно возмущаетесь вы, дверь то на замке! Вызываете полицию. Те приезжают, смотрят на вас как на идиота, кто то в сторонке хихикает... А один пожилой капитан начинает терпеливо объяснять - замочек ваш - фуфло, поддел отверткой - он и отвалится. Но его не трогали, так как в дом проникнуть - тыща способов - и через открытое окно, и через заднюю дверь, и через чердак, и даже просто выбив дверь вместе с замком. А вы еще телку привели в дом, которая все разнюхала, да стукнула, кому надо. Че делать... Теперь уж ниче, смотреть, не прячется ли где вор под диваном, да нанимать охрану, ставить сигнализацию, иначе опять влезут.

Собственно, именно это и обсуждается. Вы привели телку в виде вареза на свой и так хлипкий старый двиг, и надеетесь на пароли? Взломать его - тыща способов на самом деле. Это так, пища для размышлений. Собственно, прислушайтесь к словам тех, кто вам ответил.

P.S. кстати, тем жуликам теперь известны ходы, и даже есть специальное хитрое приспособление, которое откроет им дверь изнутри....
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #15 : 23.01.2017, 09:34:48 »
Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)

Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?
сайт объявлений в Томске на Joomla 3.7.
*

wishlight

  • Профи
  • 3627
  • 222
  • skype aqaus.com
*

flyingspook

  • Moderator
  • 3619
  • 236
Re: Откуда попал вирус
« Ответ #17 : 28.01.2017, 11:16:35 »
Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?
От инъекции поможет от шелов нет, потому что шел это (если не углубляясь простым языком) файл уже который вам залили, от шелов и бекдоров избавит только чистка сайта, кстати варез это и есть шел который те кто ставит сами себе внедряют.
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #18 : 28.01.2017, 20:32:42 »
Решится 99%, если поставить два патча, удалить уже существующие шеллы и сменить все пароли.
я уже все подчистил. и сменил все пароли.
а что за два патча?
сайт объявлений в Томске на Joomla 3.7.
*

ProtectYourSite

  • Живу я здесь
  • 946
  • 49
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #19 : 28.01.2017, 20:41:08 »
session hardening и патч получения суперадминских прав от VirtueMart, выше по ссылки уже давались.
*

capricorn

  • Практически профи
  • 1680
  • 107
Re: Откуда попал вирус
« Ответ #20 : 28.01.2017, 21:55:33 »
Цитировать
А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

у меня на Хостинг-Центре (shared) тоже такой файл попал туда же. Вот он https://yadi.sk/i/RnohT3a83BWTkm
хостер сообщил о нем. но к тому времени логи уже были недоступны. это произошло в начале месяца.
я перенес сайт на другую услугу - но не из-за этого, панель новую захотелось. поставил tripwire. пока он не появился. Joomla 2.5.28 пропатченная и никакого вареза. кроме этого патча https://virtuemart.net/news/latest-news/478-joomla-security-release-3-6-5-and-patch-for-joomla-2-5-28   ^-^ пропустил как-то. ZOO есть у меня - бесплатный, blog и еще что-то.

проблема такая с хостером - скрипт tripwire в cron через wget не шлет письма иногда если интервал ставить раз в час. раз в сутки шлет. разбираюсь с саппортом.
« Последнее редактирование: 28.01.2017, 22:09:48 от capricorn »
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #21 : 03.02.2017, 14:18:53 »
Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:
Спойлер
[свернуть]

Блин мне опять залили подобный файл в корень сайта. Капееец.
сайт объявлений в Томске на Joomla 3.7.
*

ProtectYourSite

  • Живу я здесь
  • 946
  • 49
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #22 : 03.02.2017, 14:50:11 »
Значит или не всё удалили или не все уязвимости закрыли, смотрите логи, если время создания файла не измененное, то можно посмотреть по конкретному времени.
*

SeBun

  • Практически профи
  • 3138
  • 192
  • @SeBun48
Re: Откуда попал вирус
« Ответ #23 : 03.02.2017, 15:04:32 »
Блин мне опять залили подобный файл в корень сайта. Капееец.
Прочитайте еще раз мой пост выше.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #24 : 03.02.2017, 19:14:16 »
Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml

Спойлер
[свернуть]
сайт объявлений в Томске на Joomla 3.7.
*

voland

  • Профи
  • 9467
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Откуда попал вирус
« Ответ #25 : 03.02.2017, 19:22:18 »
Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml
И причем тут движок?
Написано же, что это  manul похороненный
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #26 : 03.02.2017, 19:54:22 »
И причем тут движок?
Написано же, что это  manul похороненный

Я не знаю что это за манул папка
сайт объявлений в Томске на Joomla 3.7.
*

ProtectYourSite

  • Живу я здесь
  • 946
  • 49
  • Безопасность вебсайтов
Re: Откуда попал вирус
« Ответ #27 : 03.02.2017, 20:02:01 »
Антивирус от яндекса, можно спокойно удалять папку.
Я смотрю даже не знаете, что у вас на сервере происходит.
*

flyingspook

  • Moderator
  • 3619
  • 236
Re: Откуда попал вирус
« Ответ #28 : 04.02.2017, 19:31:36 »
я уже все подчистил. и сменил все пароли.
а что за два патча?
Ни чего вы не почистили, чистка включает в себя, закрытие уязвимостей  и накат обновлений с патчами.
Блин мне опять залили подобный файл в корень сайта. Капееец.
Так и будет пока кто либо компетентный не выполнит работы.

Вам желаю хорошего само обучения! И приобретения опыта.
*

Mick_20

  • Завсегдатай
  • 675
  • 3
  • Кручу мучу... заработать хочу.
Re: Откуда попал вирус
« Ответ #29 : 05.02.2017, 18:47:30 »
Прочитал на серче совет про отплючение функций php:

Цитировать
Отключаем не нужные для 95% сайтов функции ( и нужные для 99% шелов)

disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

Кто что думает?
сайт объявлений в Томске на Joomla 3.7.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

опять вирус \?

Автор mami_

Ответов: 15
Просмотров: 170
Последний ответ 07.09.2017, 06:20:29
от voland
Вирус, который виден только в кэше поисковых систем

Автор silavoli

Ответов: 12
Просмотров: 1159
Последний ответ 19.07.2017, 09:57:20
от flyingspook
Поймали вирус trojan.inject.21 как лечить

Автор nick2202

Ответов: 3
Просмотров: 390
Последний ответ 14.07.2017, 17:31:00
от voland
Вирус в виде рекламы на сайте

Автор yasna

Ответов: 10
Просмотров: 298
Последний ответ 08.06.2017, 18:38:43
от winstrool
Вирус на сайте, редирект, что делать как лечить!

Автор flyingspook

Ответов: 790
Просмотров: 218979
Последний ответ 23.05.2017, 23:22:56
от AlekVolsk