[Решено] Заразились в один день 4 аккаунта по 10 сайтов - страница 7 - Безопасность сайтов на Joomla

У меня десяток сайтов на одном хосте. Методом анализа логов обнаружил, что источник заражения - атака с адреса 93.189..... С него в произвольные папки идет эта php-шная нечисть. Вид примененного лечения:
1) запрещение захода с этого диапазона IP через htaccess
2) изоляция сайта на самостоятельном хостинге (в "одиночку" скинул)
3) обновление всего, что только может обновиться на сайте.

Виды лечения, не принесшие результата:
1) замена пароля ftp
2) планомерное удаление заражающих файлов
3) изменение прав на файлы и папки.

P.S. при бекапе сайта через комп каспер активно ругался именно на заражающие php, сразу удаляя их.

P.P.S. 10 часов, полет нормальный. Правда, с указанного выше IP продолжает стучаться нечисть, но натыкается на 403 ошибку доступа

Нашел сайт по дырам различных сайтов:
Поиск по слову Joomla: http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_exploit_text=joomla&filter_port=0&filter_osvdb=&filter_cve=

Из распространенных:
1. JCE
2. Nonumber
3. Kunena
4. Joomla Tags
5. VM 1.1.7
6. RSFiles
7. Joomla Fireboard
8. Xmap 1.2.11

Нашел сайт по дырам различных сайтов:

А рядом в теме есть тоже ссылки
Уязвимости расширений Joomla
Также не забываем смотреть "официальный" список уязвимостей расширений Joomla на
http://docs.joomla.org/Vulnerable_Extensions_List

j.php
jos_jarv.php

Да, да, в images такая гадость быть не должна.

Странное и интересное случилось вчера. Только я собрался почистить сайты на втором хостинге, как выяснилось, что вредоносный код из всех js пропал без следа. Даже не знаю, кого благодарить, может хостер, может так задумано.

У меня тоже так именно вчера и было. Я почти уверен, что так и было задумано, т.к. у меня была точно такая же ситуация 9-10 апреля.

Остаются вопросы.
1. Кем задумано?
2. С какой целью?
3. Какие новые задумки нас ожидают и как с ними бороться?
 

Остаются вопросы.
1. Кем задумано?
2. С какой целью?
3. Какие новые задумки нас ожидают и как с ними бороться?
 

рассчитано что успокоитесь, а сайты чистить надо в любом случае

Верно, зато хоть другие сайты перенес и проверил все чисто, теперь есть время все компоненты, модули и плагины, не обновить, простовить заново.

Всем добрый день!
Рано мы успокоились (((((
Вот только что в логах
93.189.43.38 - - [05/May/2013:15:27:49 +0400] "POST /components/com_kunena/template/default/plugin/forumtools/e4c7e.php HTTP/1.0" 404 56727 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

IP шник все тот же московский с хостера
address: LTD NTCOM
Sergey Kononov
B.POLYANKA 44/2
119991 MOSCOW
Russian Federation
phone: +7 4959888765
fax-no: +7 4959888765

Диапазон 93.189.40.0 - 93.189.47.255

Можно писать..................но толку будет мало

так вы удалили файлы, HTTP/1.0" 404 -
выдает же 404, вот если будет 200 - тогда и найдете вашу уязвимость...

Да я про то что атака ПРОДОЛЖАЕТСЯ!
Понятно что удалил и почистил................но ПРОДОЛЖАЕТСЯ! И от куда известно))))

Вопрос как "набить морду" тому кто это делает

Ну так если хакер залил файлы, то понятное дело что не просто так - рано или поздно он к ним начнет запросы посылать... Отправлять со скриптов спам или ддосить кого или еще что...

Да никак(ну если ты не абрамович,)... и Если это не школьник балуется - а школьника же бить не будеш

Школьника с удовольствием )). Но это не школьник, а сетка ботов.

Секта не секта, а я написал письмо, хостеру этому и приложил лог и ссылку на этот форум. Если захочет будет разбираться а если нет.......
А так по Вашему мнению ситуация следующая ---- я сижу дома, ко мне лезут воры. Я звоню соседу/ в милицию и т.д. А мне дают совет----- Вот как у вас взломают дверь, вот как вас ограбят. Вот тогда и будете думать как дверь покрепче поставить, решетки на окна.
Отсюда вывод ----- сосед и милиция с ворами за одно (без обид на намеке) По Вашей логике воры это безвинные люди, а то что меня грабят это мои проблемы)))))

По логике, воры это воры.

Ну раз так ...... то надо с ними бороться))))) Вот я и выложил часть лога и IP и хостера Может кто хостится там же или есть дружеские отношения с хостером. Тогда можно было бы выяснить с какой машины/сайта эта зараза и соответственно владельцу написать

Ну раз так ...... то надо с ними бороться))))) Вот я и выложил часть лога и IP и хостера Может кто хостится там же или есть дружеские отношения с хостером. Тогда можно было бы выяснить с какой машины/сайта эта зараза и соответственно владельцу написать

для тех кто в танке )))
ваш взломанный сайт может и даже не может а также используется для взлома других, все делается просто сначала один сайт сломали получили доступ к серверу, потом второй потом с этих двух еще 10 с тех 10 еще 100 и тд. вы что так наивно думаете что просто так ваш сайт сломали что бы вирус именно вам положить, да не нужен ни кому ваш сайт вообще как сайт даже, и не паникуйте не поверите такие боты как вы приходят и кричат помогите что делать вы не первый в такой ситуации оказались и не последний, а нужны совсем не сайты, вам остается просто вычистить все ручками и глазками все все и не оставить ни чего, обновить расширения и успокоиться у вас ни чего ни кто не своровал по большому счету, а взлом сайтов это либо кража информации(её мало кто берет со взломаных сайтов иеё там как правила нету той что хакерам требуется) либо наращивание мощности т.е. железо (сервера хостеров и ПК пользователей) что сейчас и происходит, все же намного проще есть те кто борется с интернетом а для этого одного компьютера мало, и сейчас напугаю у вас на ПК может сейчас сидеть вирус который не один антивирус не обнаружит но по команде "с пульта" он начнет делать свое грязное дело, а как попал, да просто открыли свой зараженный сайт тем браузером с теми настройками и все он у вас, а поможет только полная переустановка ОС, но открыв другой сайт и подцепив такое чудо снова, что опять переустанавливать ОС, так что не парьтесь не тратьте время на ерунду хостеры сами все знают и видят, а хакеры поменяют сервер быстро и с другово айпи начнут стучать, боты ходят у них работа такая и не стоит банить все IP так можно вообще просто свой открыть остальное закрыть, файл меньшего размера будет, просто чистите сайты очень внимательно и не используйте варьез, ну и обновляйте все вовремя
перечитал и сам в шоке

Свои сайты я вылечил благодаря утилите fls.php и total commander+самописное к нему приложение связанное с поиском отдельных ключевых слов с заменой (http://forum.wincmd.ru). Пришлось ещё немного поработать над чисткой самой Jooml-ы от устаревших ненужных компонентов, плагинов и модулей.

Уже скоро пойдут 3 сутки, вирусов пока нет.
  

ну и если стоит JCE и nonumber то следите за ними и обновляйте своевременно, это основная часть массовых взломов последние три года

А какой код искать в js? Вышеперечисленного нет. А Яндекс ругается на присутствие Troj/JSRedir-LH.
На другом сайте были гадости в рнр. Их почистил. Но и там в js ничего не нашел.

А какой код искать в js? Вышеперечисленного нет. А Яндекс ругается на присутствие Troj/JSRedir-LH.
На другом сайте были гадости в рнр. Их почистил. Но и там в js ничего не нашел.

Нужно сканировать все файлы сайта по ключу /*214afaae*/
Если такого ключа у Вас на сайте нет, значит Troj/JSRedir-LH временно деактивировался.
Данный вирус имеет свойства удаления и внедрения кода с начальным ключом заголовка /*214afaae*/ и каждый новый алгоритм данного кода более совершенней.
Последняя версия данного вируса содержит проверку некоторых интернет-браузеров и операционных систем, но, интернет-браузер Opera не входит в данный список.
Если открывать заражённый Troj/JSRedir-LH сайт через интернет-браузер Opera, то, тогда можно будет увидеть процесс обращения через cookie вставки ключевого кода в ссылку tcp (например,'b19ad018sc') работающий на javasctript.  Данный процесс можно увидеть, если у вас установлен антивирусный брандмауэр, который сразу отобразит данное обращение при открытии заражённого сайта в интернет-браузере Opera.

На сколько я понимаю, данный вирус Troj/JSRedir-LH рассчитан для заражения пользовательских рабочих станций через слабые места определённых интернет-браузеров пользовательских рабочих станций.
Разносчиками Troj/JSRedir-LH являются интернет-сайты имеющие слабую защитную архитектуру. Следы распространения данного вируса искать бесполезно, атакующим веб-сервер ботом может быть любая заражённая рабочая станция или сервер.

Постоянная вирусная метка /*214afaae*/ с переменным содержимым, необходима для смены или для удаления блока кода.

Поэтому, код может появиться, а может таинственным образом полностью исчезнуть из файлов .js

Для этих целей требуется ваша внимательность, нужно производить процедуру мониторинга ранее заражённого сайта на предмет ключевых кодовых внедрений в фалы сайта и поиск и удаление неизвестных файлов не относящихся к скриптам ядра и приложений сайта.  Ещё, нужно просматривать и анализировать вручную логи веб-сервера по обращению к сайту на предмет подборов паролей и т.д.   
     

 

А какой код искать в js? Вышеперечисленного нет. А Яндекс ругается на присутствие Troj/JSRedir-LH.

Сравнивай код в скриптах твоего сайта с кодом из архива расширения, скачанного с сайта разработчика.

у меня 214afaae нет. Проверяю на локальной копии. А Яндекс все равно черную метку не снимает:(
Что еще искать?

у меня 214afaae нет. Проверяю на локальной копии. А Яндекс все равно черную метку не снимает:(
Что еще искать?

Попробуйте поискать во-всех файлах следующий код

или


Ищите подозрительные файлы в папках сайта, с цифровым любым именем (например, 56454.php).

Надеюсь, вы код ищете не ручным способом (открытие каждого файла вручную)?

А какой код искать в js? Вышеперечисленного нет. А Яндекс ругается на присутствие Troj/JSRedir-LH.
На другом сайте были гадости в рнр. Их почистил. Но и там в js ничего не нашел.

как вариант просмотреть js файлы на дописку в коде
document.write(*************

Все, Каспер начал ругаться.

Расскажите, еще кто и как зловредные php вычислил. Ищу сейчас через тотал на всех сайтах на аккаунте разом по фразе (@base64_decode(@str_replace(' ','',urldecode($_POST['msg']. 3 часа уже ищет, с  214afaae в js дофига нашел, хотя день назад все вычистила, а php так и не вылазит.

У меня Яндекс ругался на 5 сайтов. Вирус самоустранился, но как это понятно проблема -нет. Чтобы снять сообщение Яндекса о заражении, по крайней мере быстрее, надо зайти в веб-мастер Яндекса, нажать мой сайты и там возле заражённого сайта будет красно-белая иконка, типа как у биологической угрозы, жмём на неё и на открывшейся странице кликаем по кнопке "Перепроверить" и ждём несколько дней. У меня на препроверку 4-х сайтов ушло 1,5 суток, а 1 до сих пор "типа" заражён.