0 Пользователей и 1 Гость просматривают эту тему.
  • 299 Ответов
  • 170076 Просмотров
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Вот свежее сканирование. Но в нем уже нет того, что я сам нашел и удалил:

Спойлер
[свернуть]

И еще, я поменял пароли доступа к админке, к админке хостера и ФТП. Но не могу сообразить как поменять пароль к БД (покраснел) Вернее, я могу поменять пароль к БД из админки хостера, но тогда Joomla не может подключиться. Как в ней-то поменять?
*

Dron25

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Здравствуйте

На хосте пару сайтов, пол месяца назад на одном из них Google хром начал показывать  Внимание! Обнаружена проблема!
Потом на другом иногда показывать (на этих 2 сайтах я ставил Joomla и разные модули и т д )

Вчера покопался в шаблоне нашел base64 с какими то двумя ссылками, удалил.
Сегодня заметил, что .htaccess часто обновляется (до этого тоже обновлялся но я не придал значения), глянул туда а там
Спойлер
[свернуть]
в конце файла
Спойлер
[свернуть]

Поменял пароль к ftp, удалил физилу, новые пароли вводил в ручную.
Пробовал чистить, по новой появляется. Сегодня на все сайты начал идти редирект на msn.com, не зайти ни в админку ни на сайт, выложил бы лог с fls.php но не могу. Выручайте.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
пароль доступа к БД меняется в конфиг.пхп ,после изменения в панели хостинга
Не вижу в результате явного бекдор.Много незнакомых компонентов.Нужно смотреть  каждый файл.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
*

Dron25

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
Доступ есть, сменил пароли

Только, что попробовал зайти на сайт, уже заходит. Но .htaccess дальше с кодом, даже и не знаю откуда это все идет
« Последнее редактирование: 23.06.2012, 18:47:36 от Dron25 »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Ну так залей файл fls.php и запускай сканер. Можешь с бекап восстановиться.Или просто перезалить файлы.
*

Dron25

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
лог не мог дать потому что заходило сразу на сайт msn.com
теперь уже вроде заходит, вот лог

Спойлер
[свернуть]
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
пароль доступа к БД меняется в конфиг.пхп ,после изменения в панели хостинга
Не вижу в результате явного бекдор.Много незнакомых компонентов.Нужно смотреть  каждый файл.
В конфиг.пхп есть переменная var $password =  
Но я не могу ее изменить, меняю, жму сохранить, а когда снова захожу в этот файл, вижу, что ничего не изменилось. Может нужно выключать сайт?
*

Dron25

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
playtoppokerru
сохрани на комп и там сохрани и перезалей
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
playtoppokerru
сохрани на комп и там сохрани и перезалей
Да, так и сделал, и сработало. Попутно обнаружил, что не работает "сайт выключен". Как бы не ставил настройку, сайт все равно включен!

ПС. Хотя, нет, видно что-то с кешем броузра. Пользователи тут же забеспокоились и начали спрашивать что за работы на сайте и почему выкл
« Последнее редактирование: 23.06.2012, 19:05:20 от playtoppokerru »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
В конфиг.пхп есть переменная var $password = 
Но я не могу ее изменить, меняю, жму сохранить, а когда снова захожу в этот файл, вижу, что ничего не изменилось.
а права 644 ?
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
а права 644 ?
Права 444 :) Понял уже, только чтение для всех, поэтому на хосте и не получалось
*

Dron25

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
draff
если нет нормального бекапа?
вирус точно в одних из этих файлов что показал fls или может быть шанс что он еще где то еще?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Нужно смотреть.Я не знаю все файлы,и писал выше-проверять каждый файл.
Может и со стороны хостинга взлом,если не определен baseurl www/домена
Смотри access.log and error.log. У моего клиента ,так подчистили даже error.log за три дня
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Небольшой отчет о результатах. Как я уже писал, на сайте стали появляться SEO статьи, которые я не размещал. После сканирования был выявлен файлик с шеллом и удален. Порывшись в бекапах я обнаружил, что этот файлик появился в начале 2012. Тогда же в январе я получал от хостера письмо, что у меня на аккаунте обнаружена вирусная активность, и какие-то там процессы принудительно закрыты. Что это значит и как с ним бороться, я так и не смог добиться от хостера. Поменял все пароли на всякий случай и успокоился (как оказалось зря).
Тем не менее статьи все продолжали появляться, примерно раз в час-два новая статья. По некоторым косвенным признакам я понял, что проблема в компоненте My Blog. Я его отключил из панели управления Joomla, но это ничего не дало. Тогда я за архивировал папки com_myblog на хостинге, то есть убил его вручную. И о чудо! За ночь ни одной статьи. Вывод, или ночью зверьки спят, или проблема в этих папках, что сужает круг поиска.
*

anis

  • Захожу иногда
  • 130
  • 1 / 0
Скажите пожалуйста у меня fls.php находит на сайтах следующее

код прилагаю

на сколько это опасно, и что делать?

1 сайт мега
Спойлер
[свернуть]

2 сайт кул
Спойлер
[свернуть]

3 сайт гал
Спойлер
[свернуть]
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
на втором сайте shell, а остальное проверяйте сами
сканер выдает список файлов которые надо просмотреть на наличие уязвимости/shell-а а остальное все глазами и руками

File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php
String:: default_action = 'FilesMan'

File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php
String:: FilesMan

File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php
String:: c99
*

anis

  • Захожу иногда
  • 130
  • 1 / 0
удалил полностью этот файл
File: /sata2/home/users/cultura1/www/plugins/editors-xtd/read.php



а что во всех остальных проверить, как и на что?

чего не должно быть?

и может ли быть в рабочем нормальном файле?
« Последнее редактирование: 05.07.2012, 18:42:48 от anis »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
anis
В файлах Joomla есть всегда запрет на доступ
Код
// no direct access
defined( '_JEXEC' ) or die( 'Restricted access' );
*

anis

  • Захожу иногда
  • 130
  • 1 / 0
т.е. это нормально?
*

Krec

  • Осваиваюсь на форуме
  • 13
  • 0 / 0
у нас есть один сайт, на Joomla (2.5 или предыдущий)... там постоянно доры заливают, то в папку Logs, то в pictures...
Мне очень интересно как это делают? можно ли так сказать "расследовать" это дело? просто и пароли меняли и вроде код почистили как могли, но всеравно через несколько дней опять появляются.
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
flyingspook, Причина декодирования вашей утилиты в base64?
« Последнее редактирование: 14.07.2012, 08:55:07 от PaLyCH »
*

one_more

  • Захожу иногда
  • 139
  • 87 / 3
  • there is no spoon
Мне очень интересно как это делают? можно ли так сказать "расследовать" это дело?
Логи пишутся (http и ftp)? Если "нет" - нужно включить (оба). Если "да" - смотришь время изменения файлов, потом логи за то же время, когда менялся\добавлялся файл. Если логов нет - можно только угадывать.

По поводу "рецидивов заражения". Бэкдоров сейчас заливают целый набор, суют в самые разные места, файлы с самыми разными названиями, причём шеллы разные по коду. Половину из них никакие антивирусы не определяют как вредоносный софт. Т.е. даже если слить сайт на локальную машину и просканировать антивирусом - найдётся только половина.  "Ручной" поиск по сигнатурам лучше, но тоже гарантии не даёт. А если находится и удаляется только один бэкдор, будут гадить через оставшиеся, и смена паролей ничего не решит. Возможный вариант - делать выборку файлов по времени последнего изменения и отсматривать все "вручную" - на мелких сайтах больших сложностей не будет.

Судя по многим признакам, теперь уже ломают чаще не турки, а русскоязычные, и похоже, что даже со специализацией именно по Joomla! При этом совсем не школоло. Т.е. те, кто с немалой вероятностью заглядывают и в этот самый форум. Поэтому выкладывать сюда все мелкие хитрости противодействия хаку может быть не всегда разумно.
« Последнее редактирование: 14.07.2012, 09:13:05 от one_more »
Errare humanum est
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
2PaLyCH чтоб не ругался антивирус

Цитировать
Судя по многим признакам, теперь уже ломают чаще не турки, а русскоязычные, и похоже, что даже со специализацией именно по Joomla! При этом совсем не школоло. Т.е. те, кто с немалой вероятностью заглядывают и в этот самый форум. Поэтому выкладывать сюда все мелкие хитрости противодействия хаку может быть не всегда разумно.

ну хоть не у меня одного такое ощущение, не параноя
правильно сказано что выкладывать нет смысла они тогда найдут обход и быстро

IMXO конечно "не пойман не вор", но занимаются этим уже и наши профи, раньше сайты делали теперь не видно их(видимо не удалось сайта строение), но видно труд в другой области и на форуме бывают и не только на нашем
*

rabamaster

  • Осваиваюсь на форуме
  • 43
  • 1 / 0
Можно по сканеру какой-нибудь мини фак сделать?

Согласно результата работы Sheel and Basic Backdoor Script Finder вижу список файлов, вроде похожи на нормальные, код подозрений у меня не вызывает по той простой причине, что читаю и перевожу со словарем.

Тем более, что, как мне кажется вредоносный код маскируется. Может мануал какой дадите, хочу читать, но что?

Тут проскочило пару советов: сравнивать логи, даты изменения файлов, файлы Joomla имеют определенный код и т.д. Может давайте каждый по фразе и FAQ готов!

Да, еще, зашел на 1000in1.net, че-то сайт не живой...
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Тут проскочило пару советов: сравнивать логи, даты изменения файлов, файлы Joomla имеют определенный код и т.д. Может давайте каждый по фразе и FAQ готов!
сравнивать логи - затрут
дата изменения файлов - оставят без изменения
файлы Joomla имеют определенный код - сравнить с оригиналом

Вот и весь FAQ готов!
*

rabamaster

  • Осваиваюсь на форуме
  • 43
  • 1 / 0
Да, я понмаю, что если создать FAQ - то создадим фак и по маскировке для хакеров. Ну, а если хорошо подумать, и описать какие-то типичные функции, команды и т.д.

Ведь половину хаков делают не профессионалы по инструкции на каком нибудь античте. Поповина сети еще до сих пор заба описанием хака со сбросом пароля admina '.
*

Krec

  • Осваиваюсь на форуме
  • 13
  • 0 / 0
Мне кажется есть серьезная бага на движке и доры запиваются автоматически через какой то ПО "частного приготовления", типа эксплойта. По этому хотел узнать как можно понять что за уязвимость? даже если узнать время изминения файлов..
*

rabamaster

  • Осваиваюсь на форуме
  • 43
  • 1 / 0
Почему я засуетился - у меня на одном хостинге 7 сайтов, и с нового года их ломают уже 3 раз. Последний раз взломал все 7 файлов, просто подменив index.php своим файлом.
вот npal113.lg.ua/hak--index.php оставил фалик, скоро удалю, ели хотите - посмотрите.

он 06 и 07 июля взломал около 900 сайтов, я ведь не думаю, что это вручную.
Файлы я назад подменил, но может гад где-то остался.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 678
Просмотров: 243457
Последний ответ 14.09.2022, 14:29:43
от wishlight
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1226
Последний ответ 05.10.2021, 21:39:26
от ShopES
Тестирую сайты на уязвимости

Автор SalityGEN

Ответов: 0
Просмотров: 473
Последний ответ 21.08.2021, 23:01:01
от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1069
Последний ответ 03.11.2020, 17:36:03
от Cedars
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 4380
Последний ответ 28.08.2020, 22:00:30
от cntrl