Новости Joomla

0 Пользователей и 1 Гость просматривают эту тему.
  • 6 Ответов
  • 801 Просмотров
*

vaf

  • Осваиваюсь на форуме
  • 46
  • 0 / 0
Всем привет. Столкнулся со следующей проблемой - на моем сайте (Joomla 3.4.1) регулярно появляются левые php скрипты, вирусного содержания.
Удалил все файлы, поставил в cron антивирус, раз в час он пересчитывает все контрольные суммы файлов и если что то меняется, он сообщает.
И вот что он мне сообщил. Сначала в папке logs/error.php появляется запись такого содержания.
2020-01-20T19:03:11+00:00   INFO 91.203.193.8   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
после этого на сайте появляются левые скрипты.
посмотрел в логах хостинга, данный IP адрес. и вот что выяснил

Код
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET /index.php/component/users/ HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 7933 3333:3333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "GET / HTTP/1.1" 200 119606 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 455044 396666:33333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:11 +0300] "POST / HTTP/1.1" 303 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 195435 139999:39999
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET /component/users/?view=login HTTP/1.1" 301 304 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 4442 3334:3334
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "GET / HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 56575 40000:13333
site.ru 91.203.193.8 - - [20/Jan/2020:22:03:12 +0300] "POST //3024-day-32.php HTTP/1.1" 200 28 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 OPR/62.0.3331.99" 8277 6666:0

то есть, злоумышленник использую /index.php/component/users/ и /component/users/?view=login каким то образом внедрил на сайт скрипт 3024-day-32.php с вирусным содержанием. Но как ?

Решил закрыть эту дыру, прописал в .htaccess следующие правила

Код
RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} reset?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} remind?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} /component/users [NC]
RewriteCond %{QUERY_STRING} registration?Itemid=101 [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

RewriteCond %{REQUEST_URI} / [NC]
RewriteCond %{QUERY_STRING} option=com_users&view=login [NC]
RewriteRule .* http://site.ru.ru/? [R=301,L]

в результате все попытки войти через /component/users перенаправляли на главную страницу, но это не решило проблему, хотя переадресация работает.

P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
на моем сайте (Joomla 3.4.1)
Без вариантов - обновление Joomla до актуальной версии, где закрыты уязвимости.
Но чистка от вирус, шелл  тоже нужна.
п.с. в файл users.php
Код
defined('_JEXEC') or die;

if (!JFactory::getUser()->authorise('core.manage', 'com_users'))
{
throw new JAccessExceptionNotallowed(JText::_('JERROR_ALERTNOAUTHOR'), 403);
}
« Последнее редактирование: 21.01.2020, 18:33:49 от draff »
*

phvsfpgs

  • Захожу иногда
  • 198
  • 1 / 0
Регулярно взламывают дыру?  :laugh:
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Обновления должны быть своевременными. С этой версии уже было несколько существенных дыр. Теперь как писали выше, придется еще и лечить.
*

ProtectYourSite

  • Живу я здесь
  • 2356
  • 135 / 4
  • Безопасность вебсайтов
Я думал, что уже все сайты на таких версиях повзламывали, и кто знал, уже давно вылечил, но видимо нет...
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
P.S. На сайте запрещена регистрация пользователей, вход в админку так же закрытдополнительным ключом типа site.ru/administrator/?key=password

Не пойму как получается авторизироваться на сайте и разместить левый код и как закрыть данную дыру ?
А смысл закрывать админку плагином? От кого вы ее закрываете то? От пользователей, которые знают адрес и могут посмотреть страничку с формой ввода логина и пароля?

Что бы разместить свой код авторизация на сайте не требуется. Любой файл создается без использования средств авторизации - это для пользователей.

По сабжу: за сайтом следить надо, не использовать расширения, скачанные не с сайта разработчика, регулярно обновлять. Сейчас вам могу посоветовать только комплексное лечение и обновление всех компонентов и самого движка. Просто обновить Joomla - теперь уже это бесполезно.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

AlexB

  • Завсегдатай
  • 1973
  • 54 / 2
Ну или пересобрать сайт на актуальных версиях
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Google Переводчик не переводит сайт

Автор Aqua

Ответов: 1
Просмотров: 439
Последний ответ 04.03.2024, 12:50:00
от kovAlexandr78
Администрирую и редактирую сайт на CMS Joomla. Вопросы про настройки CMS

Автор admi5575

Ответов: 4
Просмотров: 541
Последний ответ 10.05.2023, 09:02:29
от admi5575
Не работает сайт на локалке

Автор leha111

Ответов: 25
Просмотров: 29478
Последний ответ 23.03.2023, 12:00:55
от Akeksandr
Как закрыть отдельные публикации для определенной страны со своим сообщением?

Автор Sponsor

Ответов: 1
Просмотров: 333
Последний ответ 19.03.2023, 13:04:35
от stepan39
Тормозит сайт

Автор vasya99

Ответов: 12
Просмотров: 715
Последний ответ 10.12.2022, 10:37:32
от marksetter