Последняя информация по взломам - страница 2 - Безопасность сайтов на Joomla

Symbolic link, символическая ссылка
мне кстати в .htaccess  тех поддержка (надеюсь) изменила на
## Can be commented out if causes errors, see notes above.
Options +SymLinksIfOwnerMatch

Symbolic link, символическая ссылка
мне кстати в .htaccess  тех поддержка (надеюсь) изменила на
## Can be commented out if causes errors, see notes above.
Options +SymLinksIfOwnerMatch

не совсем понял что на что надо изменить??

Приветствую вас форумчане. Действительно происходит нечто непотребно-пакостное. Ранее не сталкивался с проблемами взлома, потому сразу приношу извинения, поскольку надо признать я ещё в категории "чайников" числюсь! Так вот в последнии 2 суток стабильно в логах отмечается стремление неких уродов ломануться в админку:
213.171.204.130 - - [11/Feb/2013:06:17:28 +0400] "GET http://сайт.ru/administrator/" 303 0 "-" "orgO7UlhMzJJRUFojgc" 127.0.0.6
213.171.204.130 - - [11/Feb/2013:06:17:28 +0400] "POST http://сайт.ru/administrator/" 200 13 "-" "orgO7UlhMzJJRUFojgc" 127.0.0.6
Причем сразу отмечу, что это я привел пример по одному сайту, подобные запросы также идут к др. моему сайту с другой тематикой, но находятся на одном серваке. Хостинг у меня от Петерхоста
Как видно посредством GET запроса выдает ошибку и перенаправление на страницу с 303 ошибкой - поскольку я ранее установил плагин с сайта Joomla код от разработчика, и наивно полагал что спрятал админку с глаз долой. Но просматривая случайно лог файлы поразился что с помощью POST запроса - этот модуль не спасает. Потому и первым делом ломанулся сюда на форум в поисках ответа по вопросам безопасности. Кой что прочел, и думаю что дополнительно установлю дополнение (правда для Joomla 1.5  почему-то ссылка для скачивания не рабочая), ну да ладно поработаю ручками найду это дополнения и внесу изменения чтобы POST запрос обрубить. Если конечно я правильно понял работу этого дополнения. С этим я постараюсь разобраться самостоятельно. А вот как мне понять вот это, я признаюсь не могу понять что за этим следует. Так то понятно, что кто-то пытается добыть инфу про юзер лист, супер админа и т.д Вот что утром стало стабильно появляться в дополнение к тем запросам что "нарисованы" выше:
85.173.159.39 - - [12/Feb/2013:05:43:21 +0400] "GET http://сайт.ru/index.php?option=com_kunena&func=userlist&search=%22%25%27%20and%201=2%29%20union%20select%201,%20concat%28username,0x3a,password,0x3a,usertype%29,concat%28username,0x3a,password,0x3a,usertype%29,%27Super%20Administrator%27,%27email%27,%272000-11-26%2022:09:28%27,%272013-11-26%2022:09:28%27,62,1,1,0,0,0,1,15%20from%20jos_users%20where%20usertype=%27Super%20Administrator%27--%20;%22;" 302 161 "http://www.yandex.ru/" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0" WARNING! HACK ATTEMPT!
Если не затруднит, может мне кто разжует и расшифрует эту фиговину и как с этим бороться в случае чего?

подскажите как отключить диррективу FollowSymLinks?

я для остальных сайтов в .htaccess правил

я для остальных сайтов в .htaccess правил

это понятно, как именно? что надо сделать? чтобы отключить FollowSymLinks

## Can be commented out if causes errors, see notes above.
Options +SymLinksIfOwnerMatch

 вроде так

Если не затруднит, может мне кто разжует и расшифрует эту фиговину и как с этим бороться в случае чего?

Патаются задействовать SQL-иньекцию, обращаясь к сайту URL-кодированной строкой:

http://сайт.ru/index.php?option=com_kunena&func=userlist&search="%' and 1=2) union select 1, concat(username,0x3a,password,0x3a,usertype),concat(username,0x3a,password,0x3a,usertype),'Super Administrator','email','2000-11-26 22:09:28','2013-11-26 22:09:28',62,1,1,0,0,0,1,15 from jos_users where usertype='Super Administrator'-- ;";"

Почитайте об уязвимостях Kunena, также используйте стандартный .htaccess Joomla.

Патаются задействовать SQL-иньекцию, обращаясь к сайту URL-кодированной строкой:

http://сайт.ru/index.php?option=com_kunena&func=userlist&search="%' and 1=2) union select 1, concat(username,0x3a,password,0x3a,usertype),concat(username,0x3a,password,0x3a,usertype),'Super Administrator','email','2000-11-26 22:09:28','2013-11-26 22:09:28',62,1,1,0,0,0,1,15 from jos_users where usertype='Super Administrator'-- ;";"

Почитайте об уязвимостях Kunena, также используйте стандартный .htaccess Joomla.

СПС capricorn! Вот только не знаю как плюсик для репутации Вам добавить!

Добрый день! Нашел у себя на сайте в папке image пару файлов расширение php, примерно догадываюсь что это такое, файлы удалил, меры безопасности приняты, но думаю это далеко не все. На сайте не публикуются новые материалы (просто белый экран). Думаю простая перезаливка сайта и базы из бэкапа может не помочь (или поможет временно), надо искать дыру как проникли, изменения в файлах и т. д. В общем хотелось - бы понять причину, а потом что - либо предпринимать. Если кто сталкивался отпишитесь. Заранее благодарен!

файлы..

j.php



jos_enpi.php

Что установлено на сайте? JCE или расширения от nonumber есть?

Что установлено на сайте? JCE или расширения от nonumber есть?

System - NoNumber! Framework - я не ставил, нашел через поиск в расширениях. JCE на описываемом сайте нет. Но JCE стоит на тестовом поддомене последняя версия 2.3.2.4 от разработчика. Если она уязвима, то теоретически войти могли оттуда. Joomla 2.5.11. Shell and BackDoor - этим стоит воспользоваться? А как тут картинки вставлять, покажу скрины файлов? Или другой способ, текстом видимо нельзя, гляжу удаляют.

ну и бред, они что телепаты по твоему? и  знают кто у них скачал файл с шелкодом? все куда проше.... сплойты.....

System - NoNumber! Framework то есть стоит? Какой версии?

System - NoNumber! Framework то есть стоит? Какой версии?

Да стоит
( NoNumber! Framework - плагин библиотеки, используемой всеми расширениями NoNumber!) - все что пишет джумла об этом плагине. Версию не пишет.

Версию в установке/удалении смотреть.

Версию в установке/удалении смотреть.

Версия 12.3.1, звиняюсь, не сообразил

Интересные у человека наблюдения из этой же темы
У меня очень похожая ситуация с аккаунтом, правда еще ничего не сканировал, разбираюсь чем и как. А, как все таки здесь можно выложить содержимое файлов чтобы не банили, просто мож кто определит это сам шел или его производное? Правда, кроме нарушения функционала Joomla пока никаких гадостей не наблюдаю (типа редиректа и т.д.), возможно по некомпетентности.

Увад

Версию в установке/удалении смотреть.

Уважаемый wishlight! Просветите, каким образом обновить  System - NoNumber! Framework для Joomla 1.5 стоит версия 11.1..

Какие вообще расширения от nonumber стоят? Их надо все обновить.

 ReReplacer стоит
и при отключении плагина кэш не чистит,
я, в смысле последовательности обновления:..
типа: казнить, нельзя помиловать....

ReReplacer и все? http://download.nonumber.nl/?ext=rereplacer&v=4.3.0 качаете и ставите. Фреймворк в комплекте.

Народ, что за х-нь 188.92.76.167 - - [14/Jun/2013:03:28:08 +0400] "HEAD / HTTP/1.0" 200 - "http://r-e-f-e-r-e-r.com/мойсайт.ru" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.14"

Ого, ностальгия! рефспам..
Когда я только знакомился с сайтами, эта технология уже умерла :-)

Ну и тем более для Joomla это неактуально.
И вообще - на всяких ботов внимания обращать - жизни не хватит..

Ого, ностальгия! рефспам..
Когда я только знакомился с сайтами, эта технология уже умерла :-)

Ну и тем более для Joomla это неактуально.
И вообще - на всяких ботов внимания обращать - жизни не хватит..

Технология не умерла и прекрасно процветает в чем можно легко убедиться немного погуглив, неправильно настроенный сервер хранит довольно долго логи и пускает роботов которые индексируют весь этот хлам. Для Joomla конечно неактуально - в этом полностью согласен, но и пользы от таких запросов тоже нет по этому лучше таких ботов отсылать на 403 а то что рекламируют например сюда для профилактики .

Всем привет. Решил сюда написать, если не к месту, надеюсь модеры поправят.
Обнаружил в корне своего сайта файл gate.php вот с таким содержимым:
И как раз стала часто появляться ошибка 502. Что бы это могло быть? И что делать?

Всем привет. Решил сюда написать, если не к месту, надеюсь модеры поправят.
Обнаружил в корне своего сайта файл gate.php вот с таким содержимым:

Спойлер

[свернуть]

И как раз стала часто появляться ошибка 502. Что бы это могло быть? И что делать?

Если коротко подбор ключей через отправку письма с ошибкой

Если коротко подбор ключей через отправку письма с ошибкой

Спасибо. А кто кому отправляет? И как это я увижу? Или не увижу? И к чему подбираются ключи?

Спасибо. А кто кому отправляет? И как это я увижу? Или не увижу? И к чему подбираются ключи?

Адрес зловреда скорее всего здесь:
$resp = "HTTP/1.0 503 Service Unavailable\r\nX-VPSP-VERSION: " . vpsp_version . "\r\nX-VPSP-ERROR: host_down\r\nX-VPSP-ERROR-TEXT: " . base64_encode($errstr)."\r\nX-VPSP-HOST: " . (isset($_SERVER['HTTPS'])? 'https://' : 'http://'). $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'] . "\r\nX-VPSP-TARGET: " . str_replace('ssl://', '', $host). "\r\nConnection: close\r\n\r\n";
Все выкидывайте, меняйте коды доступа, не переходите по ссылкам об ошибках, посмотрите в файлах htaccess (этот файл может быть не один) проверьте служебные папки хоста.

Адрес зловреда скорее всего здесь:
$resp = "HTTP/1.0 503 Service Unavailable\r\nX-VPSP-VERSION: " . vpsp_version . "\r\nX-VPSP-ERROR: host_down\r\nX-VPSP-ERROR-TEXT: " . base64_encode($errstr)."\r\nX-VPSP-HOST: " . (isset($_SERVER['HTTPS'])? 'https://' : 'http://'). $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'] . "\r\nX-VPSP-TARGET: " . str_replace('ssl://', '', $host). "\r\nConnection: close\r\n\r\n";
Все выкидывайте, меняйте коды доступа, не переходите по ссылкам об ошибках, посмотрите в файлах htaccess (этот файл может быть не один) проверьте служебные папки хоста.

К сожалению не понимаю, что за адрес:(

htaccess в корне содержит только то, что туда положил я. Есть еще один подозрительный в папке одного из компонентов. Его содержание:
Я его пока отключил (переименовал).

Служебных папок хоста у меня нет, так как обычный вертуальный хостинг