Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 13 - Безопасность сайтов на Joomla

VPTool - утилита от Касперского. Хорошо ищет шеллы в бекапах и  вирусы на вашем пк.

Win8.1 - вышибает AVPTool
Надежда только на Лечащая утилита Dr.Web CureIt! и на "Защитник Windows/Windows Defender" - он на jhackguard-log.php сразу сработал заявил что это вирус

jHackGuard -пишет лог в logs/jhackguard-log.php

там вирус был "Найдены сигнатуры шелл"

Сегодня ночью перебирали все известные уязвимости серверов и сайтов


И еще много компонентов.

** Local File Inclusion [GET:view] => ../../../plugins/editors/tinymce/jscripts/tiny_mce/tiny_mce_gzip
** Local File Inclusion [REQUEST:view] => ../../../plugins/editors/tinymce/jscripts/tiny_mce/tiny_mce_gzip

Конкретно обращались к TinyMCE. Что за уязвимость не знаю.

Выкладывать перебор поиска скриптов на сервере не буду. Просто поиск уязвимых скриптов и путей к ним.

Спойлер

[свернуть]

Бот не нашел файл. Ничего страшного.

Лечил одного своего подопечного хостера, логи были впечетляющие....
сами логи выкладывать не буду но желающие у себя могут сами посмотреть выполнив системную команду:

egrep -H "union+select" `find ./home/httpd-logs/ -type f -name "*.log" -print`

где /home/httpd-logs/ путь до ваших логов и union+select искаемый запрос.

P.S: ТС может это имеет смысл закрепить в топе?

union+select искаемый запрос.

А что Joomla пропускает UNION ?

А что Joomla пропускает UNION ?

да пропускает, в разных ее формах, темболие если еще и исказить... тут как пример, можно и другие вариации поставить!

Обнаружил у себя в логах подозрительные строчки:

Не связано ли это с попыткой взлома сайта?
Уж очень подозрительный сайт по данному IP- адресу находится.

Задал вопрос техподдержке.
Получил ответ: "Тех. поддержка подобный анализ работы сайтов не проводит".

Понятное дело, что "спасение утопающих - дело рук самих утопающих", но, хотел бы уточнить для себя один вопрос на будущее.
У меня опыта общения с техподдержкой практически нет.
Это нормально, что пока сайт не "ляжет" или не заразиться вирусом, техподдержка никаких мер не предпринимает?

Бот ломиться, идет опрос на предмет наличия файлов

Офигенная у вас техподдержка. Это бот, как писали выше.

Обнаружил у себя в логах подозрительные строчки:
Это нормально, что пока сайт не "ляжет" или не заразиться вирусом, техподдержка никаких мер не предпринимает?

А что в договоре с хостером указана поддержка работы сайта ? Обычная практика хостеров- хостер за отдельную плату может настраивать работу скриптов сайта.

Ну хотя бы объяснить человеку могли бы... В двух словах. В том числе и о оказании услуг.

Помогите скачать Securitycheck 2.6.0
Все запросы к сайту выдают 403 Error включая переход http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/19451

http://securitycheck.protegetuordenador.com/files/com_securitycheck_j25-2.6.0.zip для 2.5

http://securitycheck.protegetuordenador.com/files/com_securitycheck_j3x-2.6.0.zip 3

 у меня хостеры сами прибили бинго бота: вставили кусочек в htaccess  
## Block BING Bot
deny from 65.52.0.0/14
deny from 207.46.0.0/16
deny from 157.56.0.0/14 157.54.0.0/15 157.60.0.0/16
до этого сайт просто падал
проверь логи

Это вроде бот майкрософтовского поисковика. Просто сняли с себя нагрузку, забанив бота. Оригинальное решение. Из бинга вы выпадете, хотя с него трафф никакой.

Вот какой-то гад с UKR -> 46.149.110.130 пытался (?) узнать пароли на админку, интересно как выяснить получилось или нет ?
Похоже пользовались Joomla tag Remote Sql Exploit  http://www.exploit-db.com/exploits/22098/



И какие действия предпринять от такого типа инъекций?
Плагины пока что ставить не хочу, лучше если можно через .htaccess
что прописать?
Я пока что занес в черный список этот ip/

Вот какой-то гад с UKR -> 46.149.110.130 пытался (?) узнать пароли на админку, интересно как выяснить получилось или нет ?
Похоже пользовались Joomla tag Remote Sql Exploit  http://www.exploit-db.com/exploits/22098/

Спойлер

[свернуть]

И какие действия предпринять от такого типа инъекций?
Плагины пока что ставить не хочу, лучше если можно через .htaccess
что прописать?
Я пока что занес в черный список этот ip/

Есть два вида этого эксплоита, есть что в паблике, не всегда дает нужный эффект, а есть что в привате, чаще дает нужный эффект, обновляйте плагин до последней версии, а то что ип забанели, не поможет...

... обновляйте плагин до последней версии, а то что ип забанели, не поможет...

Какой посоветуете? Желательно который не грузит сайт и эффективный

Какой посоветуете? Желательно который не грузит сайт и эффективный

Так этот же и обновляйте, до последнего)

Так этот же и обновляйте, до последнего)

Ох, теперь понял))) он же и разработчик плагина))

Кроме того, «Яндекс» поддерживает директиву crawl delay в robots.txt, с помощью которой вебмастер может задать приемлемое количество запросов к серверу в секунду со стороны поискового робота.
кто-нибудь знает как вот это задать?

[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: showlogofont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 24, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: showsloganfont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 25, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: showmenufont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 26, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: showmoduletitlefont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 27, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: showpageheadingfont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 28, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: showcontenttitlefont in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/css_var.php on line 29, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: footermodsep1 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/base.php on line 194, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: footermodsep2 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/base.php on line 199, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: footermodsep3 in /home/dS6Ucilw20076/skair.ru/templates/vt_cars/vtemtools/base.php on line 204, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined variable: infinite_list in /home/dS6Ucilw20076/skair.ru/modules/mod_vtem_image_carousel/tmpl/default.php on line 145, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined offset: 1 in /home/dS6Ucilw20076/skair.ru/modules/mod_vtem_image_carousel/tmpl/default.php on line 163, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [warn] [client 178.70.152.22] mod_fcgid: stderr: PHP Notice:  Undefined offset: 1 in /home/dS6Ucilw20076/skair.ru/modules/mod_vtem_image_carousel/tmpl/default.php on line 169, referer: http://vk.com/skairru
[Wed Feb 05 12:34:19 2014] [error] [client 178.70.152.22] File does not exist: /home/dS6Ucilw20076/skair.ru/templates/vt_cars/css/layouts_style.css, referer: http://skair.ru/templates/vt_cars/css/template.css

Кто-нибудь подскажет, что за хрень в логах?И как ее исправить?

С IP 178.70.152.22 идет опрос сайта, проверьте что за адрес, если левый, забейте в htaccess

С IP 178.70.152.22 идет опрос сайта, проверьте что за адрес, если левый, забейте в htaccess

я уже забил)))))

Тогда и переживать не о чем