0 Пользователей и 1 Гость просматривают эту тему.
  • 6 Ответов
  • 422 Просмотров
*

vaf

  • Осваиваюсь на форуме
  • 46
  • 0 / 0
Всем привет. Столкнулся со следующей проблемой - на моем сайте (Joomla 3.4.1) регулярно появляются левые php скрипты, вирусного содержания.
Удалил все файлы, поставил в cron антивирус, раз в час он пересчитывает все контрольные суммы файлов и если что то меняется, он сообщает.
И вот что он мне сообщил. Сначала в папке logs/error.php появляется запись такого содержания.
2020-01-20T19:03:11+00:00   INFO 91.203.193.8   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
после этого на сайте появляются левые скрипты.
посмотрел в логах хостинга, данный IP адрес. и вот что выяснил

Код
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET /index.php/component/users/ HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 7933 3333:3333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET / HTTP/1.1" 200 119606 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 455044 396666:33333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "POST / HTTP/1.1" 303 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 195435 139999:39999
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET /component/users/?view=login HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 4442 3334:3334
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 56575 40000:13333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "POST //3024-day-32.php HTTP/1.1" 200 28 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 8277 6666:0

то есть, злоумышленник использую /index.php/component/users/ и /component/users/?view=login каким то образом внедрил на сайт скрипт 3024-day-32.php с вирусным содержанием. Но как ?

Решил закрыть эту дыру, прописал в .htaccess следующие правила

Код
RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} reset?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} remind?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} registration?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} / [NC]
RewriteCond %{QUERY_STRING} option=com_users&view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

в результате все попытки войти через /component/users перенаправляли на главную страницу, но это не решило проблему, хотя переадресация работает.

P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
*

draff

  • Гуру
  • 5232
  • 372 / 7
  • ищу работу
на моем сайте (Joomla 3.4.1)
Без вариантов - обновление Joomla до актуальной версии, где закрыты уязвимости.
Но чистка от вирус, шелл  тоже нужна.
п.с. в файл users.php
Код
defined('_JEXEC') or die;

if (!JFactory::getUser()->authorise('core.manage', 'com_users'))
{
throw new JAccessExceptionNotallowed(JText::_('JERROR_ALERTNOAUTHOR'), 403);
}
« Последнее редактирование: 21.01.2020, 18:33:49 от draff »
*

phvsfpgs

  • Захожу иногда
  • 171
  • 0 / 0
Регулярно взламывают дыру?  :laugh:
*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Обновления должны быть своевременными. С этой версии уже было несколько существенных дыр. Теперь как писали выше, придется еще и лечить.
*

ProtectYourSite

  • Живу я здесь
  • 2118
  • 116 / 4
  • Безопасность вебсайтов
Я думал, что уже все сайты на таких версиях повзламывали, и кто знал, уже давно вылечил, но видимо нет...
*

SeBun

  • Живу я здесь
  • 3984
  • 256 / 4
  • @SeBun48
P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
А смысл закрывать админку плагином? От кого вы ее закрываете то? От пользователей, которые знают адрес и могут посмотреть страничку с формой ввода логина и пароля?

Что бы разместить свой код авторизация на сайте не требуется. Любой файл создается без использования средств авторизации - это для пользователей.

По сабжу: за сайтом следить надо, не использовать расширения, скачанные не с сайта разработчика, регулярно обновлять. Сейчас вам могу посоветовать только комплексное лечение и обновление всех компонентов и самого движка. Просто обновить Joomla - теперь уже это бесполезно.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

AlexB

  • Завсегдатай
  • 1973
  • 53 / 2
Ну или пересобрать сайт на актуальных версиях
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Сайт для слабовидящих!

Автор vlmedia

Ответов: 172
Просмотров: 56280
Последний ответ 12.05.2021, 15:08:35
от starclyde
Как вывести потоковое видео на сайт через api?

Автор V1RTUS

Ответов: 0
Просмотров: 86
Последний ответ 22.04.2021, 02:05:39
от V1RTUS
Краулер нагружает сайт

Автор polezniy

Ответов: 7
Просмотров: 356
Последний ответ 09.04.2021, 08:04:01
от SeBun
Как закрыть от просмотра?

Автор tmpnikl

Ответов: 5
Просмотров: 184
Последний ответ 07.04.2021, 18:40:10
от IToro82
Как поставить виртуальную экскурсию колледжа на сайт?

Автор NoName

Ответов: 14
Просмотров: 234
Последний ответ 30.03.2021, 17:27:27
от effrit