0 Пользователей и 1 Гость просматривают эту тему.
  • 678 Ответов
  • 243460 Просмотров
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Очень похоже на запрос пароля
рекомендую
Между прочим твой троян и занимался воровством паролей
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
по этим логам видно вроде как доступ получить пытаются
По этим логам видны попытки атак типа php include и sql injection. Они достаточно распространены и в той или иной мере проходят наверное по всем серверам/сайтам. Если уверены в настройках сервера и защищенности движка сайта, то можно спать спокойно и не обращать на них внимания.
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
Очень похоже на запрос пароля
рекомендую
Если не секрет, то поясните как тут просматривается получение пароля от ftp?
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
третий раз вычищаю сайт от вирусов
Обратите лучше внимание на свой рабочий компьютер. Появление вирусов на сайте не случайное.
*

AdmbVlad

  • Захожу иногда
  • 83
  • 0 / 0
рекомендую
у меня в папке root/ на хостинге (на папку выше от того места где лежат сайты) лежит файл .ftpaccess
с таким вот содержанием
Код
#<Limit All>
#Allow 212.32.5.0/26
#Allow 158.152.0.0/16
#DenyAll
#</Limit>
я этот файл вообще никогда не трогал. если это адреса не моих подсетей, то лучше удалить строчки?
*

chest

  • Осваиваюсь на форуме
  • 49
  • 3 / 0
у меня в папке root/ на хостинге (на папку выше от того места где лежат сайты) лежит файл .ftpaccess
с таким вот содержанием
Код
#<Limit All>
#Allow 212.32.5.0/26
#Allow 158.152.0.0/16
#DenyAll
#</Limit>
я этот файл вообще никогда не трогал. если это адреса не моих подсетей, то лучше удалить строчки?
Все строки в нем закомментированы. Так что он все равно не отрабатывает.
*

AdmbVlad

  • Захожу иногда
  • 83
  • 0 / 0
на вот этот IP 212.32.5.0 whois говорит следующее
Код
Details on IP address 212.32.5.0
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '212.32.5.0 - 212.32.5.15'

inetnum:        212.32.5.0 - 212.32.5.15
netname:        FRONTIER-hq7qqFf0
descr:          ADSL customer allocation
descr:          Frontier Internet Services Customer
country:        GB
admin-c:        FH684-RIPE
tech-c:         FNO1-RIPE
remarks:        rev-srv:      dns0.ftech.net
remarks:        rev-srv:      dns1.ftech.net
remarks:        rev-srv:      dns2.ftech.net
status:         ASSIGNED PA
remarks:        ----------------------------------------------------
remarks:        Please report abuse to abuse@ftech.net
remarks:        Please report security issues to security@ftech.net
remarks:        Web pages at: http://www.frontier.net.uk/
remarks:        Telephone contact: +44 29 20786433 ext. 124
remarks:        ----------------------------------------------------
mnt-by:         MISTRALNOC
source:         RIPE # Filtered
remarks:        rev-srv attribute deprecated by RIPE NCC on 02/09/2009

% Information related to '212.32.0.0/17AS5611'

route:        212.32.0.0/17
descr:        Frontier Internet Services Ltd
descr:        UK-Network-Route-2
origin:       AS5611
mnt-by:       MISTRALNOC
source:       RIPE # Filtered

% Information related to '212.32.0.0/17AS8897'

route:        212.32.0.0/17
descr:        MISTRAL-ROUTE-212.32.0.0
descr:        ALLOCATED PA Space do not break up
descr:        Former Frontier block2
origin:       AS8897
mnt-by:       MISTRALNOC
source:       RIPE # Filtered

% This query was served by the RIPE Database Query Service (proxy) version 1.4.6 (WHOIS2)
*

AdmbVlad

  • Захожу иногда
  • 83
  • 0 / 0
Цитировать
Все строки в нем закомментированы. Так что он все равно не отрабатывает.
спасибо
*

Aurika

  • Захожу иногда
  • 72
  • 1 / 0
Подскажите пожалуйста что на сайте такое пытались сделать и как с этим бороться? Хостер написал папку откуда запускается скрипт и имя самого скрипта: socks.pl Подскажите, поможет ли удаление папки где находится скрипт и какие меры принять что бы в дальнейшем он снова не попал уже в другие папки?  Joomla версии 1.5.22. Как разблокируют сайт сразу же обновлю до 1.5.26
Весь текст не буду приводить, частично:

Много много вот такого текста:

root@spl2:~# lsof -u u1934608 | grep TCP
 perl 324 u1934608 5u IPv4 235403972 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:1380 (ESTABLISHED)
 perl 367 u1934608 5u IPv4 225050665 TCP spl2.hosting.reg.ru:3003->183.25.247.229:3124 (ESTABLISHED)
 perl 388 u1934608 5u IPv4 202335471 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:3241 (ESTABLISHED)
 perl 439 u1934608 4u IPv4 324482962 TCP spl2.hosting.reg.ru:52196->UNKNOWN-98-136-33-X.yahoo.com:www (SYN_SENT)
 perl 477 u1934608 5u IPv4 221149380 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:4684 (ESTABLISHED)
 perl 498 u1934608 4u IPv4 324483174 TCP spl2.hosting.reg.ru:52265->UNKNOWN-98-136-33-X.yahoo.com:www (SYN_SENT)
 perl 507 u1934608 5u IPv4 198199318 TCP spl2.hosting.reg.ru:3003->14.112.67.163:1395 (ESTABLISHED)
 perl 538 u1934608 5u IPv4 233131261 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:1449 (ESTABLISHED)
 perl 570 u1934608 5u IPv4 218637239 TCP spl2.hosting.reg.ru:3003->183.25.247.229:4703 (ESTABLISHED)
 perl 583 u1934608 4u IPv4 324483431 TCP spl2.hosting.reg.ru:52340->UNKNOWN-98-136-33-X.yahoo.com:www (SYN_SENT)
 perl 596 u1934608 5u IPv4 230769766 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:gpsd (ESTABLISHED)
 perl 605 u1934608 5u IPv4 222773719 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:4889 (ESTABLISHED)

Вот такое:

root@spl2:~# ps auxfS | grep u1934608 | wc -l
 1492


 root@spl2:~# ls -la /proc/1858
 total 0
 dr-xr-xr-x 7 u1934608 psacln 0 2012-04-09 13:55 .
 dr-xr-xr-x 1903 root root 0 2012-03-31 03:25 ..
 dr-xr-xr-x 2 u1934608 psacln 0 2012-04-09 14:38 attr
 -r-------- 1 u1934608 psacln 0 2012-04-09 14:38 auxv
 -r--r--r-- 1 u1934608 psacln 0 2012-04-09 14:38 cgroup
 --w------- 1 u1934608 psacln 0 2012-04-09 14:38 clear_refs
 -r--r--r-- 1 u1934608 psacln 0 2012-04-09 13:55 cmdline
 -rw-r--r-- 1 u1934608 psacln 0 2012-04-09 14:38 coredump_filter
 -r--r--r-- 1 u1934608 psacln 0 2012-04-09 14:38 cpuset

Затем много много такого:


perl 1858 u1934608 1995r FIFO 0,6 152489687 pipe
 perl 1858 u1934608 1998w FIFO 0,6 152489675 pipe
 perl 1858 u1934608 1999w FIFO 0,6 152489688 pipe
 perl 1858 u1934608 2000w FIFO 0,6 152489676 pipe
 perl 1858 u1934608 2001w FIFO 0,6 152489759 pipe
 perl 1858 u1934608 2002w FIFO 0,6 152493533 pipe
 perl 1858 u1934608 2003w FIFO 0,6 152489760 pipe
 perl 1858 u1934608 2004w FIFO 0,6 152542981 pipe
 perl 1858 u1934608 2005w FIFO 0,6 152489761 pipe
 perl 1858 u1934608 2006w FIFO 0,6 152493534 pipe
 perl 1858 u1934608 2007w FIFO 0,6 152544806 pipe
 perl 1858 u1934608 2008w FIFO 0,6 152493535 pipe
 perl 1858 u1934608 2009w FIFO 0,6 152542982 pipe
 perl 1858 u1934608 2010w FIFO 0,6 152549427 pipe
 perl 1858 u1934608 2011w FIFO 0,6 152542983 pipe


*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
« Последнее редактирование: 11.04.2012, 17:49:04 от wishlight »
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Сегодня получил на почту вот такие логи от Marco's SQL Injection - LFI Interceptor:
Спойлер
[свернуть]
Сканировали на дыру компонента форм... Которого у меня нет...
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

ram32

  • Новичок
  • 2
  • 0 / 0
Приветствую!
У меня есть следующий вопрос по безопасности Joomla. Засек в логах следующие ошибки:
Спойлер
[свернуть]
Период между запросами одинаковый - час двадцать пять. Кто-то пытается подобрать пароль?
P.S. Ранее подобные же ошибки вылезали с периодичностью в десять секунд, до этого аж раз в секунду (IP были другие). Вот только вчера обнаружил.
Скажите, пожалуйста, что можно предпринять в данной ситуации? Или же только тупо "в лоб" заблокировать взломщика?
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Спойлер
[свернуть]
Спойлер
[свернуть]
Спойлер
[свернуть]
*

SDKiller

  • Живу я здесь
  • 2706
  • 329 / 5
  • ...ergo sum
Вот пример как суровый уральский парень очень старался, перебрал много разных вариантов - от подбора пароля до проверки фильтрации данных POST:

Спойлер
[свернуть]
*

mohax

  • Давно я тут
  • 901
  • 66 / 3
Это он софтинку скачал)) acunetix web vulnerability scanner
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
изменен /public_html/libraries/joomla/application/component/view.php вывод ссылок на виагру через если смотреть как гуглбот.

Спойлер
[свернуть]
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
1.) в 13-хх.  IP адрес: 217.119.135.150
 Страна: France
 Регион: Ile-de-France
 2.) 16-51
81.89.56.76 со Словакии
Запросы одинаковые,вылаживаю за 16-51
Спойлер
[свернуть]
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Да, у меня тоже сегодня было..
Такой же ? -> images/pst.php
ПС выдал страничку сайта Марка,там тоже такой запрос,но никто не ответил.
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

DamianTrash

  • Захожу иногда
  • 169
  • 4 / 0
А есть млагин Marco's SQL Injection для Joomla 2.5? Во всяком случае у меня он не устанавливается. А jHackGuard нормально установился, но сайт перестал работать. Выдаёт только
Код
Fatal error: Call to a member function route() on a non-object in /home/d/damian/dobrenkiy.ru/public_html/index.php on line 36
И сразу уж спрошу:
1. А для чего нужен скрипт replace.php? Что он заменяет на что?
2. У меня скрипт fls.php выдаёт следующую информацию:

Код
Sheel and Basic Backdoor Script Finder www.1000in1.net

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_finder/views/index/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_finder/views/maps/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_finder/views/filters/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_alphauserpoints/views/cpanel/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_community/controllers/groups.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_community/views/profiles/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_community/views/activities/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_community/views/userpoints/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_akeeba/views/buadmin/view.html.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_akeeba/views/postsetup/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_menus/views/menus/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_rsform/helpers/rsform.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_rsform/views/forms/tmpl/edit_components.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_rsform/views/forms/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_kunena/admin.kunena.html.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_users/views/groups/tmpl/default.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/administrator/components/com_joomlaupdate/restore.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/libraries/joomla/environment/request.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/plugins/system/zend/Zend/Controller/Request/Http.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/plugins/system/zend/Zend/Tool/Framework/System/Provider/Phpinfo.php
String:: phpinfo()

File: /home/d/damian/dobrenkiy.ru/public_html/plugins/system/azrul.system.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/plugins/system/jhackguard/jhackguard.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_alphauserpoints/helpers/openinviter.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_alphauserpoints/assets/crop/save-thumb.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_alphauserpoints/assets/phpThumb/phpthumb.class.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_alphauserpoints/assets/phpThumb/phpthumb.functions.php
String:: phpinfo()

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_alphauserpoints/controllers/invite.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_community/templates/default/photos.photo.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_community/templates/default/wall.form.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_community/controllers/register.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_community/controllers/connect.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_community/views/friends/view.html.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_mailto/controller.php
String:: $_POST[

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_rsform/controller.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/components/com_users/controllers/reset.php
String:: confirm(

File: /home/d/damian/dobrenkiy.ru/public_html/replace.php
String:: $_POST[

Done

Что мне примерно из этого нужно извлечь?

Заранее спасибо)))
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

assaru

  • Давно я тут
  • 763
  • 88 / 1
Спойлер
[свернуть]
Спойлер
[свернуть]
Спойлер
[свернуть]
Проблему можно решить и по скрину и по эмоциям, счет на оплату через ЛС (с) Nobody
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Бот три раза стучал.Лог один выложу,в еще двух-другое время и IP
Спойлер
[свернуть]
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
*

assaru

  • Давно я тут
  • 763
  • 88 / 1
Проблему можно решить и по скрину и по эмоциям, счет на оплату через ЛС (с) Nobody
*

netparty

  • Осваиваюсь на форуме
  • 11
  • 2 / 0
Использую только стандартную комплектацию Joomla 2.5.7 + Xmap + шаблон yootheme больше никаких сторонних компонентов

Компонент перенаправления записал попытку взлома (если правильно понимаю):
Код
http://tpgtitan.ru/ru/?option=com_spidercalendar&date=999999.9'+union+all+select+null,null,concat(0x3D3D3D3D3D,username,0x3D,password,0x3D3D3D3D3D),null,null,null+from+jos_users+--++D4NB4R
насколько этот способ взлома актуален для 2.5.7 ?

лестно, конечно, что сайт удостоился такого внимания, но хотелось бы оставить эти попытки безрезультатными.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1076
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1226
Последний ответ 05.10.2021, 21:39:26
от ShopES
Тестирую сайты на уязвимости

Автор SalityGEN

Ответов: 0
Просмотров: 473
Последний ответ 21.08.2021, 23:01:01
от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1069
Последний ответ 03.11.2020, 17:36:03
от Cedars
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 4380
Последний ответ 28.08.2020, 22:00:30
от cntrl