Опять три дня ломятся на сайты - Безопасность сайтов на Joomla

Опять три дня постоянно кто-то ломится, не постоянно, но с хорошей регулярностью (и в дневное время, и ночью). Лезут уже в Joomla 1.0.15 и в 2.5.27 (несколько сайтов у нас рядом стоят). Во всех случаях становится недоступен MySQL - выдает ошибку Database connection error (2): Could not connect to MySQL. В этом случае валятся все сайты, на любой Joomla (базы у всех сайтов разные, сервак один).

Админ нашел, что, судя по логам, лезут через плагин googlemap2, 2013 года, который стоит на Joomla 2.5 (на нескольких сайта). Все отключил, лезут все равно, пришлось убить физически. Заменил на модуль посвежее.

Кроме того, в корне одного из сайтов (на Joomla 1.0.15, который заражали в прошлый раз и который самый посещаемый), обнаружил файл shellfinder.php, сидит там три дня. Я его не закачивал, админ тоже. Убил, но так до конца не понял, что это такое.

MySQL не может просто так падать, это или посещаемость большая стала или запросы нагружают БД

MySQL не может просто так падать, это или посещаемость большая стала или запросы нагружают БД

Посещаемость не изменилсь, это скорей всего запросы

Посещаемость не изменилсь, это скорей всего запросы

есть тип атак на БД, через уязвимые запросы к БД через bencmark, если это оно, то фильтруйте на входе входящие запросы по бенчмарку и в бан, видать вас конкурент гложит!

Кроме того, в корне одного из сайтов (на Joomla 1.0.15, который заражали в прошлый раз и который самый посещаемый), обнаружил файл shellfinder.php, сидит там три дня. Я его не закачивал, админ тоже. Убил, но так до конца не понял, что это такое.

Вы как-то мониторите появление файлов на сервере? Дата/время ничего не значат - умный шелл их сам поменяет. Вам главное знать что появились новые файлы. Ставьте anti-intrusion script. Он скажет типа  - нечто залилось. Потом смотрите логи. Процесс конечно муторный... Сам недавно налетел на эту беду. Кажется ftp пароли стащили. До сих пор свой ПК не доходит дело просканировать. Восстановите неповрежденный бэкап и ловите рыбку. Лог доступа скажет, когда она клюнула.

Вы как-то мониторите появление файлов на сервере? Дата/время ничего не значат - умный шелл их сам поменяет. Вам главное знать что появились новые файлы. Ставьте anti-intrusion script. Он скажет типа  - нечто залилось. Потом смотрите логи. Процесс конечно муторный... Сам недавно налетел на эту беду. Кажется ftp пароли стащили. До сих пор свой ПК не доходит дело просканировать. Восстановите неповрежденный бэкап и ловите рыбку. Лог доступа скажет, когда она клюнула.

anti-intrusion script - можно вас попросить пояснить поподробнее, как это делать?

есть тип атак на БД, через уязвимые запросы к БД через bencmark, если это оно, то фильтруйте на входе входящие запросы по бенчмарку и в бан, видать вас конкурент гложит!

bencmark - что это? я вроде бы ничего такого не включал и не ставил

anti-intrusion script - можно вас попросить пояснить поподробнее, как это делать?

Это скрипт, который сообщает о добавлении/изменении/удалении файлов.
Если интересно, расскажу как словили shell.
Честно говоря, словили случайно по неопытности. Но выводы сделаны.

tripwire сейчас поставили. понятно, что это только один вариант. как только на здоровый бэкап зальют опять, по логам посмотрим, как залили. устраним причину. так оно и идет.

https://github.com/lucanos/Tripwire

Он примерно такое высылает на почту:

А потом смотрим логи.
Я понимаю, это наивно и есть более мощные средства. Но реально помогает. В cron можно поставить и залитый файл сразу увидеть можно.

Это скрипт, который сообщает о добавлении/изменении/удалении файлов.
Если интересно, расскажу как словили shell.
Честно говоря, словили случайно по неопытности. Но выводы сделаны.

tripwire сейчас поставили. понятно, что это только один вариант. как только на здоровый бэкап зальют опять, по логам посмотрим, как залили. устраним причину. так оно и идет.

Интересно. Если можно, расскажите.
У нас, судя по всему, у наших админов была авария с железом, они на два дня отключили firewall ... ну вот с тех пор и пляшем

У нас, судя по всему, у наших админов была авария с железом, они на два дня отключили firewall

В это трудно поверить.

Поймали просто. Сайт повалился в определенное время. В это время я был на сервере. Посмотрели логи. Увидели изменение времени файлов. Шелл был примитивный. Он не поменял время файла. Но, все равно, увидели запрос в логе с именем файла  POST *** 200 OK. Хорошо, что шелл не сменил лог. Повезло. По адресу открылась форма с предложением ввести пароль. Так примерно получилось.

Этот скрипт рекомендуют уважаемые люди из буржунета co stackoverflow.com. Я сам себе его сейчас поставил в cron.

В это трудно поверить.

Поймали просто. Сайт повалился в определенное время. В это время я был на сервере. Посмотрели логи. Увидели изменение времени файлов. Шелл был примитивный. Он не поменял время файла. Но, все равно, увидели запрос в логе с именем файла  POST *** 200 OK. Хорошо, что шелл не сменил лог. Повезло. По адресу открылась форма с предложением ввести пароль. Так примерно получилось.

У меня может быть и проще. Что-то было, но админ ничего не сказал, по крайней мере логи его ничего не показали, хотя человек очень опытный, работаем вместе уже лет 10 (сервера у нас свои, он всегда при них). Тревогу подняла дама, которая у меня при сайтах сидит на загрузке новостей и проч. - начались дикие тормоза на сайтах, причем только на фронтенде, в админке все летало. Полез смотреть загрузку страниц - интуитивно почувствовал по таймаутам, что какой-то процесс грузится перед загрузкой страниц. Полез смотреть по файлам, благо помню их всех почти все на память и бекапы для сравнения есть - увидел несколько подсаженных файлов, оказалось, что shell. Посмотрел по папкам, где картинки лежат - обнаружил несколько неизвестных мне файлов с расширением jpg, который оказались кодом в base64 (что-то в images, что-то в темплейтах). Также нашел модификацию конфигурационных файлов, которые вызывали эти самые подсадки (оказалось, какая-то биржа ссылок через нас делала рассылки, в основном порнуху). На определенном этапе shell отобрал у меня админские права, пришлось восстанавливать через базу. Убил все, с тех пор каждые 3-5 дней появляется что-то новое. Админ включил расширенные логи, говорит, что сперва "влаз" был через уязвимость в старом JCE редакторе на J 1.0.15, через опцию загрузки картинок, после того как яего пропатчил, взломы пошли через плагин googlemap2. Ломались все версии Joomla, что у нас стоят, от 1.0.15 до 3.3. Пока все спокойно, но "ждем-с". Админ кричит - "Убирай Joomla, задолбало!"  

В последний раз посадили только один файлик - shellfinder.php

bencmark - что это? я вроде бы ничего такого не включал и не ставил

http://www.securitylab.ru/forum/forum26/topic12870/

Админ кричит - "Убирай Joomla, задолбало!"  

Думайте с другими CMS нет подобных проблем?)))

Думайте с другими CMS нет подобных проблем?)))

Вот и я ему то же самое говорю

Друпал ему поставьте и админить заставьте. Хехе.

Друпал ему поставьте и админить заставьте. Хехе.

А что, с друпалом проблемы? Он как раз на это намекал (говорит, "а не поставить ли нам друпал или битрикс?")

А что, с друпалом проблемы? Он как раз на это намекал (говорит, "а не поставить ли нам друпал или битрикс?")

одно другого не легче 

https://github.com/lucanos/Tripwire

А потом смотрим логи.
Я понимаю, это наивно и есть более мощные средства. Но реально помогает. В cron можно поставить и залитый файл сразу увидеть можно.

Как это установить на сайт?

Как это установить на сайт?

самый простой вариант - установить в корень скрипт и конфиг, в котором указать свою почту.
лучший вариант - установить в папку, защищенную авторизацией (некоторые шеллы ищут по названию CDS скрипты).

т.е., ему без разницы, куда эти 2 файла положить? (установить, значит скопировать?) А из настройки только мыло или еще что-то прописывать нужно?