Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 18 - Безопасность сайтов на Joomla

Последние три вполне могли бы быть ими. Видеть бы код.

rsv.spb.ru/home.php тут явно что-то от пейпала ворует.

Я удалил его. И нашел вирус, Shell, был в файле php.php в папке tmp, и этот же файл в корне но не зараженный. Удалил все. ПРосто при открытии Drweb  ругнулся. Надеюсь это поможет.

Знать бы только как это произошло. То что последнее ставил удалил, там Joomla мобайл (free) но я ставил ad-remover (удалил). Может и не оно было, на хостинге сказали могло даже старое расширение активироваться. Т.к. сайт не я создавал, но заметил что там есть кое-какие плагины "купленные" т.е. чужие стоят, возможно там код сидит.

А подскажите - можно ли все папки темповские очистить через ftp, т.е. если все очищу будет нормально работать? Как раз вирусня там тоже сидела.

А подскажите - можно ли все папки темповские очистить через ftp, т.е. если все очищу будет нормально работать? Как раз вирусня там тоже сидела.

временные можете полностью очистить, и лучше их перенести с публичного места

Да. Сайт http://rsv.spb.ru/ (сейчас на хостинге производятся работы, они сказали завтра все будет работать, какие-то обновления там).
Но прислали такое письмо:
support message: Жалоба на фишинг 91.201.41.160 Hosted Phishing Alert [CY-176-20150719-420072]

Приветствую, еще раз! Вот еще одна проблема.
Нам хостинг прислал уведомление о том, что ваш сайт взломан и перебрасывает пользователей на эту страницу
URL: hxxp://rsv.spb.ru/home.php
 
Нужно чтобы кто-нибудь починил вам Joomla, вхудшем случае нам придётся убрать с хостинга этот сайт.
The URL stated in this report has been identified as a phishing site and is currently involved in identity theft activities.

URL: hxxp://rsv.spb.ru/home.php
IP Address: 91.201.41.160

На форуме впервые, по сайту тоже новичок, т.к. создавал не я, так что не особо не разбираюсь но починить надо. Готов предоставить логин и пароль, если конечно поможет (в личных сообщениям или по почте).

ТОлько что провел сканирование FLS.PHP. Вот что выдало:

Спойлер

[свернуть]

Являются эти файлы вредоносными?

У вас уязвимый компонент AdsManager подробней читайте тут https://revisium.com/ru/blog/adsmanager_afu.html
для этой уязвимости характерный URL для заливки /tmp/plupload/ что и есть в вашем случае! и сплоит под эту уязвимость тоже уже есть в паблике

У вас уязвимый компонент AdsManager подробней читайте тут https://revisium.com/ru/blog/adsmanager_afu.html
для этой уязвимости характерный URL для заливки /tmp/plupload/ что и есть в вашем случае! и сплоит под эту уязвимость тоже уже есть в паблике

Cпасибо за подсказку. Прочитал статью. У меня AdsManager версии 3.1.1, недавно обновлялся. ВРоде там что-то исправлено в статье написано. А возможно вирус во время обновления вскрылся? (я точно не помню какая версия до этой стояла, но  явно 2.х какая-то). Если можно ссылку на сплоит, не очень разбираюсь просто что это. Спасибо.

Cпасибо за подсказку. Прочитал статью. У меня AdsManager версии 3.1.1, недавно обновлялся. ВРоде там что-то исправлено в статье написано. А возможно вирус во время обновления вскрылся? (я точно не помню какая версия до этой стояла, но  явно 2.х какая-то). Если можно ссылку на сплоит, не очень разбираюсь просто что это. Спасибо.

Скинул в ПМ!

Скинул в ПМ!

Извиняюсь, в личке пока не могу ответить (не позволяет еще писать сообщения) - напишите мне там для чего это и что с этим делать. Спасибо.

Извиняюсь, в личке пока не могу ответить (не позволяет еще писать сообщения) - напишите мне там для чего это и что с этим делать. Спасибо.

Это вам уже на другой форум нужно, посвященный информационной безопасности, тут не школа этичного хакинга...

https://revisium.com/ru/blog/adsmanager_afu.html эта что ли? Ну тут ясно, что обновит AdsManager и все остальное и чистить сайт с сменой всех паролей. У вас уже вроде нет уязвимости (по крайне мере этой).

Свежее что-то.

Вчера долбили:

Не могу понять, стоит галерея djimageslider - а долбают wp-config.php - это ведь конфиг WordPress, т.е. боты тупо прогоняют имеющиеся дырки, зацепившись за модуль, а что это Joomla не догадываются?

От фонаря молотят, в надежде что-то что попадется.

Это вам уже на другой форум нужно, посвященный информационной безопасности, тут не школа этичного хакинга...

Скинул в ПМ!

winstrool подскажите, как с вами связаться, нашла номер аськи, у меня ее нет, какие то другие контактные данные напишите, в личку писать не могу, мне нужна ваша консультация

Добавьте, пожалуйста в ваш список aeSecure - скрипт защиты и оптимизации сайта. Разрабатывается французом (моим знакомым), имеется русский перевод (от вашего покорного слуги).

Официальный сайт: http://www.aesecure.com/en/
Демо на русском языке: http://aesecure.com/_demo/aesecure/setup.php?lang=ru

DMC Firewall постоянно пишет такое сообщение:

"Your '.htaccess' file has errors - please click the button below to correct these issues!"

и далее предлагает нажать на кнопку исправления, после чего появляется сообщение:

"We have successfully edited your '.htaccess' file!"

но сообщение об ошибке не исчезает. Далее, опять предлагает нажать на кнопку, опять "We have successfully edited your '.htaccess' file!" и т.д. по кругу.

В чём может быть ошибка? Что надо править?

Следовало бы спросить у разработчиков этого расширения.

Следовало бы спросить у разработчиков этого расширения.

понятно, но поддержка осуществляется только для платной PRO версии, форума обсуждения мне обнаружить не удалось...

может быть заинстолить другой файрвол... у которого из них надёжность и поддержка хорошая?

В Топике уже такая база потенциально уязвимых запросов собралась, что можно уже любой фаервол на базу регулярных выражений настроить и чтоб работало от сервака, а не от CMS нагружая ее

P.S:

DMC Firewall постоянно пишет такое сообщение:

"Your '.htaccess' file has errors - please click the button below to correct these issues!"

и далее предлагает нажать на кнопку исправления, после чего появляется сообщение:

"We have successfully edited your '.htaccess' file!"

но сообщение об ошибке не исчезает. Далее, опять предлагает нажать на кнопку, опять "We have successfully edited your '.htaccess' file!" и т.д. по кругу.

В чём может быть ошибка? Что надо править?

Поищите в коде, где идет обработка этих значений, просмотрите логику, да если что не так подправте!

P.S:Поищите в коде, где идет обработка этих значений, просмотрите логику, да если что не так подправте!

это сложно, php плохо знаю

Добрый день, уже не в первый раз сталкиваюсь с перенагрузкой на сервер хостера, на сайт приходят десятки тысяч запросов за считанные часы ниже кусочек лога, запросы примерно идентичны
папки на которые идут запросы удалены за ненадобностью, установил rsfirewall сделал блокировку по IP для всех стран, кроме России, нагрузка на сервер не уменьшается. Завтра последний день данный хостингом для решения проблемы. Подскажите, что делать, кто сталкивался?

Взять вдску или делать ограничение на запросы с 1 IP. Ну или поискать решения на форуме. Тут были какие-то методы защиты от ботов, но думаю они мало помогут. Кстати, лишать себя траффика не очень умно. Я к примеру не могу зайти на ваш сайт.

Взять вдску или делать ограничение на запросы с 1 IP. Ну или поискать решения на форуме. Тут были какие-то методы защиты от ботов, но думаю они мало помогут. Кстати, лишать себя траффика не очень умно. Я к примеру не могу зайти на ваш сайт.

Сайт принадлежит маленькой компании с маленьким бизнесом, средняя посещаемость ресурса 1-7 человек в день. Конечно ни о какой vds  речи не может быть. Бизнес компании ограничен регионом и даже городом. Самое главное примерно год назад я уже встречал подобные запросы спам-ботов на другом сайте, тоже Joomla, пришлось сделать другой сайт (на всякий случай) и перенести на другой сервер хостинга...помогло.

Special Deals - AUG-512MB
512 MB Dedicated RAM 100 GB HDD 1000 GB Bandwidth 2 CPU Cores 1 Gbps Uplink 1x IPV4 Address IPV6 Available Upon Request(UP to /64)

14 баксов в год

Подскажите по плагину Marco's SQL Injection
Например, если приходит такое сообщение:
и т.п.

Это означает, что плагин по факту просто сообщил об этой попытке или он одновременно и защитил от SQL-инъекции?

Конечно и сообщил и защитил, он же этот кусок знает.
Это он сообщил что типа работает 

Господа, кто-нибудь разбирается в таких логах?
Хостинг в RU-CENTRe, фрагмент логов почтового сервера. Объясните пжлст, что это было?
Это получается, через мой формальный почтовый ящик, которым я даже никогда не пользовался, проходит какая-то команда на сервер? В ящике никаких следов нет, а на сайте появилось. Началось ещё в декабре, до сих пор воюю. Всё удалял, восстанавливал из back-up, менял пароли, чистил, проверял, заебался уже, а оно всё лезет и лезет. Вот нашел еще такие логи.

Ну вы сами написали:

а оно всё лезет и лезет.

Спамят наверно.

Я наверное неправильно задал вопрос. Возможно ли через почту дать какое-либо указание для действия на сервере?
На сегодняшний день остался один сайт, который не могу вычистить. В папках  cache (в корне и в  administrator) каждые полтора-два часа появляются новые папки. Удаляю, они опять появляются. Кто-то их генерирует внутри сайта, где-то лежит закладка, которую ни одна программа не видит.

POST запросы в логах хостинга проверить, к каким файлам  . Еще cron запуск проверить.
Установить права на директории /cache 555

ai-bolit скрипт пробуйте.