Вирус на сайте, редирект, что делать как лечить! - страница 25 - Безопасность сайтов на Joomla

За май планируем перейти на свой сервер.

Если это будет сервер в своем помещении и на своих ресурсах, он обойдется дороже. Кроме того он не обеспечивает должный уровень качества и безопасности, который обеспечивают датацентры.

Да, если бабла небыло и нету кроме как на шарада хост, то конечно в мае найдется на (2 сервера + электроэнергия + 3 канала связи + админ), уж физически ощущать VPS ни кто не мешает удаленно, и это дешевле намного чем содержать всю помойку железа у себя "под столом". 10-25тр в год на VPS это только расходы по мелочам + электроэнергия на свалку "под столом".

Переход планировался уже давно, прежде чем пороть горячку про помойки под столом нужно знать хотя бы уровень подготовки. Почему до этого сидели на хостинге? Потому что устраивала тех поддержка и проблем не возникало. Более того, перед тем как принимаются решения проводится анализ специфики тех сайтов, которые будут работать на этом сервере. Я конечно понимаю, вы все тут подрабатываете на хостелов, но по стоимости можно поспорить, например на Агава VPS от 630р + лицензия на панель управления. Можно конечно свою поставить.

...но по стоимости можно поспорить, например на Агава VPS от 630р + лицензия на панель управления. Можно конечно свою поставить.

Смысла нету холиварить, как и писал он вам и выльется в итоге в районе 10тр/год цена 10-25/год(можно конечно уточнять суммы но эти копейки ни какого значения не имеют это "деревяшки") это стандарт, +/-(3-5) из них это не относится ни как к экономике.

Смысла нету холиварить, как и писал он вам и выльется в итоге в районе 10тр/год цена 10-25/год(можно конечно уточнять суммы но эти копейки ни какого значения не имеют это "деревяшки") это стандарт, +/-(3-5) из них это не относится ни как к экономике.

Нет смысла спорить, да есть над чем подумать. Всем спасибо за помощь. 

Доброго времени суток!

И ко мне пришла беда...

Имеется у меня несколько сайтов на Joomla 3.5.1 (недавно обновился). Проблема заключается в интересном для меня редиректе. Если на сайт идти через поисковую систему происходит редирект на сервис terraclicks.com. Если идти на прямую, редиректов никаких нет. Поиск в файлах ссылки на данный ресурс результатов не дал.

Произвел откат файлов на всех сайтах. Редирект исчез, но через пару дней опять появился. Замена файлов из свежего архива с Joomla результатов не дает.

Просканил один из сайтов айболитом, нашел один файл phputf.php, которого в установочном пакете Joomla нет. Весит 21Кб и содержит шифрованный код. Файл переименовал, пока удалять не стал. Также айболит выдал еще несколько файлов, которые я переименовал. Редирект остался.

Куда копать дальше пока не знаю, прошу вашей помощи!

Если поможет, один сайт можно загуглить по заголовку первой страницы "Школа искусств с. Верх-Тула". Из одинаковых компонентов, которые установлены на всех сайтах это JCE и RokBox. Все обновления, которые приходят через админку я ставлю. Все возможные пароли поменял при первом обнаружении редиректа.

После взлома вам внедряют шелы и потом через них пользуются вашими сайтами. Лечение надо проводить комплексное, тем более если сайтов много и они не разделены по пользователям.

К словам @flyingspook добавлю, что ручной взлом используется сейчас редко, а боты настроены так, что при обнаружении факта удаления своих файлов они прекращают использовать шелл некоторое время, что бы не палится. Вы удаляете результат работы этого бота - созданный им файл, но не шелл, через который этот бот орудует у вас на сайте. Айболит шелл может и не обнаружить, так как он ищет по известным сигнатурам, а шелл может быть внедрен как обычный php. Я бы порекомендовал обратиться в коммерческий раздел, если самостоятельно не справитесь с очисткой. Там вам заодно и советы дадут по настройкам. Ну либо самостоятельно ищите, начав с логирования POST-запросов и изучения логов. Опять же, если понимаете, что именно искать.

На данный момент ситуация такая:

Слил с хостинга все файло на комп и просканил айболитом. В результате нашелся один старый сайт, который я переносил с Joomla 1.6 на 3.4 (с нуля делал). После переделки сайт увел на поддомен в целях если с него еще что-то нужно будет дернуть. Критических файлов, найденных айболитом при обычном скане была тьма тьмущая, поэтому сайт грохнул тут же. Просканил еще разок и удалил остальные файлы с других сайтов (в инсталяционном пакете Joomla данных файлов не нашел, поэтому удалял не задумываясь). Редиректы исчезли, сайты открываются без ошибок. На сайты воткнул securitycheck, думаю, лишним не будет. На хостинге включил логирование (таймвэб он такой). Предполагаю, что точкой входа был старый "завирусованный" сайт. Посмотрим, что будет через пару дней...

Ну и еще пару вопросов.  Что еще для профилактики посоветуете сделать?

На данный момент ситуация такая:

Слил с хостинга все файло на комп и просканил айболитом. В результате нашелся один старый сайт, который я переносил с Joomla 1.6 на 3.4 (с нуля делал). После переделки сайт увел на поддомен в целях если с него еще что-то нужно будет дернуть. Критических файлов, найденных айболитом при обычном скане была тьма тьмущая, поэтому сайт грохнул тут же. Просканил еще разок и удалил остальные файлы с других сайтов (в инсталяционном пакете Joomla данных файлов не нашел, поэтому удалял не задумываясь). Редиректы исчезли, сайты открываются без ошибок. На сайты воткнул securitycheck, думаю, лишним не будет. На хостинге включил логирование (таймвэб он такой). Предполагаю, что точкой входа был старый "завирусованный" сайт. Посмотрим, что будет через пару дней...

Ну и еще пару вопросов.  Что еще для профилактики посоветуете сделать?

То что сразу грохнули все вредоносные файлы, поторопились, надо было еще посмотреть по ctime и mtime файлов, так как айболит не может быть гарантией того что все найдет, в следствие чего вы могли пропустить бегдор, который приведет ко всему своя.... в качестве профилактике обновляйте cms до последней версии, в папках относительно корня сайта, выставляете разрешение выполнения только статистических файлов, все остальное запрещаите, на админку ставите бейсик авторизацию, затем делайте хешь суммы сего дияния, можно написать какой нить скриптик который по крону будет проверять хешь суммы файлов и разницу вам высылать на почту, так хотя бы своевременно будите оповещены, о происходящих аномалиях на сайте и вовремя сможете отреагировать.

здравствуйте, чищу свой сайт как могу ( я мало понимаю  в этом).
Наткнулся на такую строку -<?php defined("_JEXEC") or die(file_get_contents("index.html"));- Является ли он а вредной для сайта .
Проверил айболитом, в этом же файле нашел
return move_uploaded_file($_FILES['qqfile']['tmp_name'], $path);
посчитав ее опасной.
Подскажите, что мне нужно сделать?

здравствуйте, чищу свой сайт как могу ( я мало понимаю  в этом).
Наткнулся на такую строку -<?php defined("_JEXEC") or die(file_get_contents("index.html"));- Является ли он а вредной для сайта .
Проверил айболитом, в этом же файле нашел
return move_uploaded_file($_FILES['qqfile']['tmp_name'], $path);
посчитав ее опасной.
Подскажите, что мне нужно сделать?

index.html сделайте пустым, or die(file_get_contents("index.html")); замените на or die(exit());

Получил письмо от хостинга ihc о заражении вирусом сайта:


Рассылка производилась скриптом post.php.
Загружен он с помощью скрипта /components/com_users/SysManager.php. Это фактически файловый менеджер на РНР, выглядит он вот так: (105KB)


Вход в него запаролен в коде строкой вида: $auth_pass = "b06df1ed43dd408680314a33426b9509";
/components/com_users/SysManager.php
загружается на сайт через уязвимость в одном из двух скриптов на выбор злоумышленника:
/libraries/simplepie/simplepie.lib.php
/cache/cache-db.php
Описание уязвимости в этих скриптах вы можете увидеть на сайте : https://malware.expert/malware/cache-db-php/
Передайте описание данной уязвимости вашему программисту, чтобы он устранил уязвимость.


Версия Joomla последняя (неделю назад  обновился)
Как вариант шел до обновления или с другого сайта на этом же тарифе.
Подскажите, как можно понять откуда заливались данные фаилы на сайт?

Анализироваль логи апача, смотреть по дате изменения/создания файла, если на сервере отключены изменение времени файла.
В идеале стоит анализировать получаемые POST запросы, но ни один хостинг не будет писать такой объем данных.

Анализироваль логи апача, смотреть по дате изменения/создания файла, если на сервере отключены изменение времени файла.
В идеале стоит анализировать получаемые POST запросы, но ни один хостинг не будет писать такой объем данных.

Это можно самому сделать, с помощью снифинга, подчистить все, потом поставить снифер, взломщик полюбому попробует востановить доступ, там то в логах и можно будет определить через что пробивался взломщик, такой же подход полезно использовать в качестве WAF

1 какие сайты соседние? может есть взломанные или с уязвимостями
2 читать логи как и написал ProtectYourSite
3 из сайтов соседей и логов уже анализировать и искать

Правила избиты
1 Ни когда не держать сайты на хостинге или разделять их по директориям там, что очень трудоемко как сделать так и потом для дальнейшего наполнения, могут возникать проблемы с загрузкой файлов
2 Каждый сайт должен быть разделен на своего пользователя, такое можно на VPS или своем сервере, на хостинге нет такой возможности
3 Ограничивать вход к папке администратора или из панели менеджера файлов хоста сейчас они все дают пароль поставить либо по IP

ну и самое избитое, надо следить за сайтами и вовремя обновлять сайты

Получил письмо от хостинга ihc о заражении вирусом сайта:

Хостер бесплатно сканирует и поясняет что и как ?

Хостер бесплатно сканирует и поясняет что и как ?

Да, сейчас многие такое выполняют, указывают на место очаг проблемы, но не до конца разъясняют что делать, простого смертного отправляют к разработчику (типа обратитесь к разработчику вашего сайта) любой хостер подразумевает что простой пользователь сайта обязательно имеет в штате или по договору людей разбирающихся в том или ином вопросе.

Да, сейчас многие такое выполняют, указывают на место очаг проблемы

Ну я бы не сказал что прям на ояг скорее, указывают что есть проблема

Это не те логи?:

Фаил _error.log:

Фаил _access     Выдержки, где встречается  SysManager.php

Это только обращение к файлу управления, а Вам стоит выяснить его появление на сайте.
Анализируйте запросы вокруг первого упоминания, а также смотрите, какие запросы предшествовали по этим айпи.

Вам смотреть надо дату не 28/Nov/2016, а намного раньше, просматривать последние 90 дней а то и более и на всем вашем пользователе (т.е. все сайты какие на хосте).

Всем привет.

Сколько раз уже лечил 1.6.6 от редиректа..
Но в этот раз осилить не могу
Кучу всего вычистил
и всё равно на выходе GET http://s3.eu-central-1.amazonaws.com/forton/cbp/cmps/50_c211e.js

и eval и base ..

Не знаю что искать ещё.

Не знаю что искать ещё.

Тогда и не занимайтесь фигней.

Я поясню, почему фигней: допустим, я хочу, что бы у вас на сайте выводилась ссылка на мой сайт, что принесет мне некоторую денежную прибыль. Но просто размещать ссылку в тексте - палевно, вы ее найдете легко. Что тогда я сделаю? Как вариант, закодирую ее в base64, что усложнит поиск. Но вы, если увидите ее, и поспрашиваете народ на форуме, будете искать именно base64. И может быть даже найдете. И удалите, а мне это не надо. Мне надо, что бы ссылка была неудаляемая. Я могу пойти другим путем - немного изменить системные файлы или добавить в системные папки свои файлы, что позволит мне получать доступ к любому файлу сайта, менять права, дописывать и переписывать их, создавать новые...я фактически контролирую весь ваш сайт (о вариантах подробно расписано в шапке). А могу и не добавлять - в старых версиях уже есть уязвимости, через которые можно получить контроль над сайтом. А теперь ответьте сами себе, зачем вы фигней занимаетесь? Ведь вы удаляете следствие, а не причину, а это мартышкин труд.

Минимум, что у вас должно стоять - это голая 2.5 со всеми патчами. Но никак не 1.6. А в идеале 3.6.

Ну хобби наверно у человека такое.
Реомендую рядом поставить старенький wordpress и древний phpbb, для полного удовлетворения

Реомендую рядом поставить старенький wordpress и древний phpbb, для полного удовлетворения

На древнем-древнем VPS
Поставлю Joomla древнюю.
И древний запущу процесс
Нажав на ссыль заветную.
А рядом phpBB -
Все для людей и для прогресса!
И блог еще в довесок мне
На коде старого wordpressa.
Зашевелит усами вирь,
И малварь вздуется абцессом.
Но пусть летит к чертям весь мир –
Тут я руковожу процессом!

P.S. Походу, я от кого то тут заразился музой...
P.P.S. Сорь за оффтоп  

Тогда и не занимайтесь фигней.

Хорошо расписали. Принято. Напишу информационное письмо клиенту, пусть решают что-то.
Это не хобби. Это работа контент-менеджером, по ходу реально пора что-то делать с этим старьём.

Обновился до  1.7.5. Хорошо сидит гад.
Попробую с разрешения руководства до 2.5 натянуть и выше. Вопрос - исчезнет ли эта байда...

Спасибо всем ещё раз.

Хорошо расписали. Принято. Напишу информационное письмо клиенту, пусть решают что-то.
Это не хобби. Это работа контент-менеджером, по ходу реально пора что-то делать с этим старьём.

Обновился до  1.7.5. Хорошо сидит гад.
Попробую с разрешения руководства до 2.5 натянуть и выше. Вопрос - исчезнет ли эта байда...

Спасибо всем ещё раз.

Байда не исчезнет от одного обновления, нужно сканировать на вирусы и вычищать. Универсальный контент-менеджер из вас получается.

Всем привет.

Сколько раз уже лечил 1.6.6 от редиректа..

Обновляйтесь/делайте новый сайт с тем же контентом. Что-то мне подсказывает, что он совсем небольшой.

Попробую с разрешения руководства до 2.5 натянуть и выше. Вопрос - исчезнет ли эта байда...

Опять вы фигней занимаетесь. Ибо нет смысла натягивать презерватив после секса...
Дело в том, что обновление не все файлы обновляет, а лишь так называемое ядро системы. Все остальное остается нетронутым. Вам выше уже неоднократно совет давали - поставьте 3.6 и вручную перенесите материалы со страниц сайта (либо, если есть навыки, в базе данных).
А вообще это не работа контент-менеджера. Давайте сюда вашего клиента и занимайтесь своими делами.

Опять вы фигней занимаетесь. Ибо нет смысла натягивать презерватив после секса...
...
А вообще это не работа контент-менеджера. Давайте сюда вашего клиента и занимайтесь своими делами.

Понятно. Денег сколько?
Например закину архив со всеми php-файлами поизучать.