0 Пользователей и 1 Гость просматривают эту тему.
  • 6 Ответов
  • 375 Просмотров
*

vaf

  • Осваиваюсь на форуме
  • 46
  • 0 / 0
Всем привет. Столкнулся со следующей проблемой - на моем сайте (Joomla 3.4.1) регулярно появляются левые php скрипты, вирусного содержания.
Удалил все файлы, поставил в cron антивирус, раз в час он пересчитывает все контрольные суммы файлов и если что то меняется, он сообщает.
И вот что он мне сообщил. Сначала в папке logs/error.php появляется запись такого содержания.
2020-01-20T19:03:11+00:00   INFO 91.203.193.8   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
после этого на сайте появляются левые скрипты.
посмотрел в логах хостинга, данный IP адрес. и вот что выяснил

Код
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET /index.php/component/users/ HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 7933 3333:3333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET / HTTP/1.1" 200 119606 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 455044 396666:33333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "POST / HTTP/1.1" 303 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 195435 139999:39999
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET /component/users/?view=login HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 4442 3334:3334
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 56575 40000:13333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "POST //3024-day-32.php HTTP/1.1" 200 28 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 8277 6666:0

то есть, злоумышленник использую /index.php/component/users/ и /component/users/?view=login каким то образом внедрил на сайт скрипт 3024-day-32.php с вирусным содержанием. Но как ?

Решил закрыть эту дыру, прописал в .htaccess следующие правила

Код
RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} reset?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} remind?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} registration?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} / [NC]
RewriteCond %{QUERY_STRING} option=com_users&view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

в результате все попытки войти через /component/users перенаправляли на главную страницу, но это не решило проблему, хотя переадресация работает.

P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
*

draff

  • Гуру
  • 5087
  • 357 / 7
  • ищу работу
на моем сайте (Joomla 3.4.1)
Без вариантов - обновление Joomla до актуальной версии, где закрыты уязвимости.
Но чистка от вирус, шелл  тоже нужна.
п.с. в файл users.php
Код
defined('_JEXEC') or die;

if (!JFactory::getUser()->authorise('core.manage', 'com_users'))
{
throw new JAccessExceptionNotallowed(JText::_('JERROR_ALERTNOAUTHOR'), 403);
}
« Последнее редактирование: 21.01.2020, 18:33:49 от draff »
*

phvsfpgs

  • Захожу иногда
  • 140
  • 0 / 0
Регулярно взламывают дыру?  :laugh:
*

wishlight

  • Живу я здесь
  • 4844
  • 284 / 1
  • 300 руб очень быстрый хостинг в ЕС
Обновления должны быть своевременными. С этой версии уже было несколько существенных дыр. Теперь как писали выше, придется еще и лечить.
*

ProtectYourSite

  • Живу я здесь
  • 2090
  • 112 / 4
  • Безопасность вебсайтов
Я думал, что уже все сайты на таких версиях повзламывали, и кто знал, уже давно вылечил, но видимо нет...
*

SeBun

  • Живу я здесь
  • 3953
  • 254 / 4
  • @SeBun48
P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
А смысл закрывать админку плагином? От кого вы ее закрываете то? От пользователей, которые знают адрес и могут посмотреть страничку с формой ввода логина и пароля?

Что бы разместить свой код авторизация на сайте не требуется. Любой файл создается без использования средств авторизации - это для пользователей.

По сабжу: за сайтом следить надо, не использовать расширения, скачанные не с сайта разработчика, регулярно обновлять. Сейчас вам могу посоветовать только комплексное лечение и обновление всех компонентов и самого движка. Просто обновить Joomla - теперь уже это бесполезно.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

AlexB

  • Завсегдатай
  • 1855
  • 48 / 2
Ну или пересобрать сайт на актуальных версиях
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Сайт для слабовидящих!

Автор vlmedia

Ответов: 171
Просмотров: 54941
Последний ответ 04.01.2021, 12:18:31
от artemnaum
SEO сайт на всю Россию

Автор stem2002

Ответов: 6
Просмотров: 235
Последний ответ 04.01.2021, 01:26:24
от pavelrer
Сайт начал медленно грузиться(((

Автор wanted_yra

Ответов: 3
Просмотров: 180
Последний ответ 17.12.2020, 12:12:13
от gartes
Сайт на Joomla 3 с 10кк страниц

Автор mrmagic

Ответов: 17
Просмотров: 823
Последний ответ 02.11.2020, 16:54:12
от Verhov526
Как защитить сайт от недобросоветсного заказчика?

Автор Damarkuzz

Ответов: 13
Просмотров: 353
Последний ответ 07.09.2020, 21:40:52
от robert