0 Пользователей и 1 Гость просматривают эту тему.
  • 6 Ответов
  • 253 Просмотров
*

vaf

  • Осваиваюсь на форуме
  • 46
  • 0 / 0
Всем привет. Столкнулся со следующей проблемой - на моем сайте (Joomla 3.4.1) регулярно появляются левые php скрипты, вирусного содержания.
Удалил все файлы, поставил в cron антивирус, раз в час он пересчитывает все контрольные суммы файлов и если что то меняется, он сообщает.
И вот что он мне сообщил. Сначала в папке logs/error.php появляется запись такого содержания.
2020-01-20T19:03:11+00:00   INFO 91.203.193.8   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
после этого на сайте появляются левые скрипты.
посмотрел в логах хостинга, данный IP адрес. и вот что выяснил

Код
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET /index.php/component/users/ HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 7933 3333:3333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET / HTTP/1.1" 200 119606 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 455044 396666:33333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "POST / HTTP/1.1" 303 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 195435 139999:39999
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET /component/users/?view=login HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 4442 3334:3334
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 56575 40000:13333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "POST //3024-day-32.php HTTP/1.1" 200 28 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 8277 6666:0

то есть, злоумышленник использую /index.php/component/users/ и /component/users/?view=login каким то образом внедрил на сайт скрипт 3024-day-32.php с вирусным содержанием. Но как ?

Решил закрыть эту дыру, прописал в .htaccess следующие правила

Код
RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} reset?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} remind?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} registration?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} / [NC]
RewriteCond %{QUERY_STRING} option=com_users&view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

в результате все попытки войти через /component/users перенаправляли на главную страницу, но это не решило проблему, хотя переадресация работает.

P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
*

draff

  • Живу я здесь
  • 4576
  • 311 / 7
  • Ищу работу
на моем сайте (Joomla 3.4.1)
Без вариантов - обновление Joomla до актуальной версии, где закрыты уязвимости.
Но чистка от вирус, шелл  тоже нужна.
п.с. в файл users.php
Код
defined('_JEXEC') or die;

if (!JFactory::getUser()->authorise('core.manage', 'com_users'))
{
throw new JAccessExceptionNotallowed(JText::_('JERROR_ALERTNOAUTHOR'), 403);
}
« Последнее редактирование: 21.01.2020, 18:33:49 от draff »
*

phvsfpgs

  • Захожу иногда
  • 140
  • 0 / 0
Регулярно взламывают дыру?  :laugh:
*

wishlight

  • Живу я здесь
  • 4735
  • 277 / 1
  • 300 руб очень быстрый хостинг в ЕС
Обновления должны быть своевременными. С этой версии уже было несколько существенных дыр. Теперь как писали выше, придется еще и лечить.
Мои VDS быстрее твоих (промокод 648194016 - скидка 25% на первый месяц)|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Дешевые VDS|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг

Защита сайтов и логи взломов
*

ProtectYourSite

  • Живу я здесь
  • 2045
  • 110 / 4
  • Безопасность вебсайтов
Я думал, что уже все сайты на таких версиях повзламывали, и кто знал, уже давно вылечил, но видимо нет...
*

SeBun

  • Живу я здесь
  • 3852
  • 245 / 4
  • @SeBun48
P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
А смысл закрывать админку плагином? От кого вы ее закрываете то? От пользователей, которые знают адрес и могут посмотреть страничку с формой ввода логина и пароля?

Что бы разместить свой код авторизация на сайте не требуется. Любой файл создается без использования средств авторизации - это для пользователей.

По сабжу: за сайтом следить надо, не использовать расширения, скачанные не с сайта разработчика, регулярно обновлять. Сейчас вам могу посоветовать только комплексное лечение и обновление всех компонентов и самого движка. Просто обновить Joomla - теперь уже это бесполезно.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

AlexB

  • Давно я тут
  • 863
  • 22 / 1
Ну или пересобрать сайт на актуальных версиях
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Сайт отключается автоматически каждые 30 дней

Автор juvemen

Ответов: 15
Просмотров: 354
Последний ответ 21.03.2020, 18:37:04
от juvemen
Не открывается сайт

Автор rew_s

Ответов: 4
Просмотров: 103
Последний ответ 18.03.2020, 19:56:22
от gartes
Как импортировать сайт, созданный в Joomla?

Автор ZerGO

Ответов: 18
Просмотров: 353
Последний ответ 18.03.2020, 15:58:00
от SeBun
Не работает сайт на локалке

Автор leha111

Ответов: 11
Просмотров: 4676
Последний ответ 06.03.2020, 11:29:37
от Шмайсер
Как закрыть от индексации страницы печати?

Автор pro777

Ответов: 2
Просмотров: 124
Последний ответ 01.03.2020, 17:11:50
от pro777