Борьба с шелами на сайтах
Moderator: AlexSmirnov
Forum rules
-
- Joomla! Fledgling
- Posts: 2
- Joined: Mon Feb 13, 2017 10:38 am
Борьба с шелами на сайтах
Здравствуйте,
С некоторых пор на мои сайты стали загружаться шелы(файлы в которых много кода в base64).
Обычно в корень сайтов. Если оперативно их удалить, то сайты работают нормально, иначе иногда падают.
Что я, будучи не образованным в безопасности сайтов, уже сделал:
- Защитил папку administrator паролем через файл .htaccess;
- Выставил на каталоги в корне 755, на все файлы в корне 444;
- Удалил все сохраненные в ФТП клиентах пароли;
- Поменял все пароли(админки, ФТП, phpmyadmin);
- Проверил сайт на вирусы утилитой AI-Bolit;
- Загрузил в папки где не могут быть и не должны выполняться скрипты соответствующий .htaccess;
- Проверил все свои компьютеры на вирусы различными популярными антивирусами и антитроянами;
- Все пароли стал хранить в программе Kaspersky Password Manager.
Но увы, сегодня опять в 4 из 5 сайтов в корне появились загруженные шелы.
Подскажите что я еще не сделал?
Как устранить уязвимость?
С некоторых пор на мои сайты стали загружаться шелы(файлы в которых много кода в base64).
Обычно в корень сайтов. Если оперативно их удалить, то сайты работают нормально, иначе иногда падают.
Что я, будучи не образованным в безопасности сайтов, уже сделал:
- Защитил папку administrator паролем через файл .htaccess;
- Выставил на каталоги в корне 755, на все файлы в корне 444;
- Удалил все сохраненные в ФТП клиентах пароли;
- Поменял все пароли(админки, ФТП, phpmyadmin);
- Проверил сайт на вирусы утилитой AI-Bolit;
- Загрузил в папки где не могут быть и не должны выполняться скрипты соответствующий .htaccess;
- Проверил все свои компьютеры на вирусы различными популярными антивирусами и антитроянами;
- Все пароли стал хранить в программе Kaspersky Password Manager.
Но увы, сегодня опять в 4 из 5 сайтов в корне появились загруженные шелы.
Подскажите что я еще не сделал?
Как устранить уязвимость?
-
- Joomla! Fledgling
- Posts: 3
- Joined: Sun Feb 19, 2017 9:57 pm
Re: Борьба с шелами на сайтах
Не переживай, вот почитай:
"В среднем за сутки производится порядка 16 000 атак такого рода, но этот показатель поднимался и до 20 000. .... "
источник: xakep . ru
Мои несколько сайтов на джумле .. о чем я теперь очень жалею .. т.к. за это месяц я уже второй или третий раз занимаюсь их реанимацией.. как собственно и написано в сотне статей, на данный момент джумла признана самой дырявой ЦМС )) ..
а творцам предлагаю встроить в ЦМС антитроян или там систему вакцинации системных файлов и директорий )) .. хорошая идея и вполне во время , к стати!
печаль и прос-ное время
как и сказано выше .. буду теперь следить за новостями и как только пойдет мор ... видимо буду отрубать хостинг до лучших времен
ПО ДЕЛУ: ESET ESS уже с нового года прекрасно находит эти трояны .. к сожалению версию для виртуального хостинга я так и не нашел .. а было бы не плохо получать такие отчеты
docs/administrator/components/com_categories/tables/blog.php - PHP/Agent.HQ троянская программа
docs/administrator/components/com_config/controller/themes77.php - PHP/Agent.HQ троянская программа
docs/cache/com_languages/stats99.php - PHP/Agent.HQ троянская программа
docs/libraries/fof/render/general.php - PHP/Agent.HQ троянская программа
docs/libraries/fof/utils/object/themes.php - PHP/Agent.HQ троянская программа
docs/libraries/vendor/paragonie/random_compat/start.php - PHP/Agent.HQ троянская программа
docs/libraries/legacy/table/test.php - PHP/Agent.HQ троянская программа
docs/media/editors/codemirror/mode/elm/backup.php - PHP/WebShell.NAH троянская программа
docs/media/editors/codemirror/mode/toml/htaccess.php - PHP/WebShell.NAH троянская программа
docs/templates/at_pixel/html/com_users/registration/htaccess.php - PHP/WebShell.NAH троянская программа
docs/templates/protostar/language/list1.php - PHP/Agent.HQ троянская программа
"В среднем за сутки производится порядка 16 000 атак такого рода, но этот показатель поднимался и до 20 000. .... "
источник: xakep . ru
Мои несколько сайтов на джумле .. о чем я теперь очень жалею .. т.к. за это месяц я уже второй или третий раз занимаюсь их реанимацией.. как собственно и написано в сотне статей, на данный момент джумла признана самой дырявой ЦМС )) ..
а творцам предлагаю встроить в ЦМС антитроян или там систему вакцинации системных файлов и директорий )) .. хорошая идея и вполне во время , к стати!
печаль и прос-ное время
как и сказано выше .. буду теперь следить за новостями и как только пойдет мор ... видимо буду отрубать хостинг до лучших времен
ПО ДЕЛУ: ESET ESS уже с нового года прекрасно находит эти трояны .. к сожалению версию для виртуального хостинга я так и не нашел .. а было бы не плохо получать такие отчеты
docs/administrator/components/com_categories/tables/blog.php - PHP/Agent.HQ троянская программа
docs/administrator/components/com_config/controller/themes77.php - PHP/Agent.HQ троянская программа
docs/cache/com_languages/stats99.php - PHP/Agent.HQ троянская программа
docs/libraries/fof/render/general.php - PHP/Agent.HQ троянская программа
docs/libraries/fof/utils/object/themes.php - PHP/Agent.HQ троянская программа
docs/libraries/vendor/paragonie/random_compat/start.php - PHP/Agent.HQ троянская программа
docs/libraries/legacy/table/test.php - PHP/Agent.HQ троянская программа
docs/media/editors/codemirror/mode/elm/backup.php - PHP/WebShell.NAH троянская программа
docs/media/editors/codemirror/mode/toml/htaccess.php - PHP/WebShell.NAH троянская программа
docs/templates/at_pixel/html/com_users/registration/htaccess.php - PHP/WebShell.NAH троянская программа
docs/templates/protostar/language/list1.php - PHP/Agent.HQ троянская программа
- AlexSmirnov
- Joomla! Hero
- Posts: 2682
- Joined: Fri Sep 18, 2009 6:33 pm
- Location: United Kingdom
- Contact:
Re: Борьба с шелами на сайтах
@mikhailyand
Вам стоит подумать над сменой хостинга. Атаки на Joomla обычно не ограничиваются веб сайтами, - их цель захватить сервер.
Ваши шеллы, возможно, являются лишь маскировкой более глубоко спрятанных и более мощных RATов, которые, "спасибо" хостеру, на Вашем сервере живут как дома.
Пока источник взлома скрыт и живет и радуется на Вашем сервере, лечить его поверхностные симптомы нет смысла.
Вам стоит подумать над сменой хостинга. Атаки на Joomla обычно не ограничиваются веб сайтами, - их цель захватить сервер.
Ваши шеллы, возможно, являются лишь маскировкой более глубоко спрятанных и более мощных RATов, которые, "спасибо" хостеру, на Вашем сервере живут как дома.
Пока источник взлома скрыт и живет и радуется на Вашем сервере, лечить его поверхностные симптомы нет смысла.
- AlexSmirnov
- Joomla! Hero
- Posts: 2682
- Joined: Fri Sep 18, 2009 6:33 pm
- Location: United Kingdom
- Contact:
Re: Борьба с шелами на сайтах
Сорри, но это заявление - полный булшит. Joomla, фактически, год за годом стабильно признается самой лучшей системой управления содержимым: https://docs.joomla.org/Joomla!_Awardsden812 wrote:, на данный момент джумла признана самой дырявой ЦМС
Время от времени уязвимости всегда были и будут обнаружены и объявлены в любом программном продукте, какой бы Вы не взяли для примера. Это - жизнь. Они были найдены и объявлены и в Joomla, и в WordPress, и в Drupal.
На достойном своего хлеба с маслом хостинге И при условии, что разработчик программного продукта, в котором найдена уязвимость, оперативно реагирует на эту уязвимость, устраняет ее и выпускает новую версию (что и происходит с Joomla) - уязвимости - не проблема.
Нет никакого смысла загружать Joomla этими задачами.den812 wrote: ... а творцам предлагаю встроить в ЦМС антитроян или там систему вакцинации системных файлов и директорий )) .. хорошая идея и вполне во время , к стати!
Во-первых, на достойном наших денег хостинге уже на уровне IP адресов осуществляется начальная фильтрация подозрительных файлов.
Во-вторых, для тех, кто хочет более серьезной защиты, на хорошем хостинге за умеренную плату всегда есть дополнительные инструменты защиты. На SiteGround.com, к примеру, имеется инструмент "HackAlert Malware Monitoring", - инструмент мониторинга опасных файлов.
В-третьих, в распоряжении администраторов Joomla для мониторинга здоровья ее системных файлов уже существуют хорошо себя зарекомендовавшие расширения, как, к примеру, "Admin Tools Pro" и "RSFirewall". Загружать этими же работами системное ядро нет никакого смыла.
Если серьезно смотреть на защиту безопасности созданных на Joomla вебсайтов в ру-нете, то по моему опыту наблюдения за этим вопросом в течении нескольких лет, проблема большинства владельцев сайтов - не в системе Joomla, и даже не в слабо защищенных серверах.
Проблема в подавляющем большинстве случаев - в установленных по жадности коммерческих расширениях и шаблонах системы Joomla, которые не были куплены и скачаны у их соответствующих разработчиков, а вместо этого были бесплатно (ой ли?!) скачаны (разумеется вместе с искусно и скрытно вшитыми в их код "подарками" - вирусами) на каком-либо стороннем сайте.
Пока существует спрос на такие "услуги" по бесплатному скачиванию платных расширений и шаблонов и, соответственно, их доставка русскими робингудами - говорить о безопасности сайтов на Joomla - пустое дело.
-
- Joomla! Fledgling
- Posts: 3
- Joined: Sun Feb 19, 2017 9:57 pm
Re: Борьба с шелами на сайтах
Красиво написать не запретишь, но проще открыть например Ютуб и в поиске написать например " PHP shell for JOOMLA " , именно так я и сделал в поиске почему, как и откуда дырки , рекомендую посмотреть есть весьма удобные полуавтоматические средства для загрузки шеллов итд. т.е. теперь любой "школяр" вооружившись хорошим дистрибутивом кали Линукс и ВПНом может так развлекаться сутками напролет )) .
Теперь о Хостинге, 99% хостингов виртуальные и права на них разграничены достаточно глубоко и точно. и вероятность использования проблем хостинга меньше. И по анализу логов выяснил что последнее проникновение закончилось запуском масс мейл рассылки получив данные из конфига ДЖУМЛЫ рассылался Криптик.
JOOMLA хорошая CMS для пользователя и вебмастера , но в данный момент она лидирует плохих новостях ..
можно просто принять это к сведению и строить дальше с учетом проблем, и посматривать ЮТУБ периодически )) , а не "хвалить свое болото" ))
Теперь о Хостинге, 99% хостингов виртуальные и права на них разграничены достаточно глубоко и точно. и вероятность использования проблем хостинга меньше. И по анализу логов выяснил что последнее проникновение закончилось запуском масс мейл рассылки получив данные из конфига ДЖУМЛЫ рассылался Криптик.
Code: Select all
/ docs / plugins / user / profile / files44 . php(1968) : eval()'d code:775]: To: user_21 @ 1-time-email . com -- Headers: Date: Fri, 17 Feb 2017 21:54:31 +0300 From: Kim Pena <kim_pena @ nic . ru > Message-ID: <f864061478edfa6c44abd7a626265881 @ nic . ru > X-Priority: 3 MIME-Version: 1.0 Content-Type: multipart / alternative; boundary="b1_f864061478edfa6c44abd7a626265881" Content-Transfer-Encoding: 8bit
можно просто принять это к сведению и строить дальше с учетом проблем, и посматривать ЮТУБ периодически )) , а не "хвалить свое болото" ))
- AlexSmirnov
- Joomla! Hero
- Posts: 2682
- Joined: Fri Sep 18, 2009 6:33 pm
- Location: United Kingdom
- Contact:
Re: Борьба с шелами на сайтах
Во-первых, само присутствие тем а ля "Вирус для ПО Икс" означает как раз что ПО Икс является популярным и потому наиболее атакуемым. Такую судьбу разделяют все популярные продукты ПО. Большинство вирусов для ОС пишутся под Windows именно из-за ее популярности.den812 wrote:...проще открыть например Ютуб и в поиске написать например " PHP shell for JOOMLA " , именно так я и сделал в поиске почему, как и откуда дырки
Во-вторых, я рекомендую Вам самому тщательно изучить те источники, которые Вы пытаетесь использовать в качестве основы своих заявлений. Они ссылаются либо на старые и уязвимые версии Joomla, либо, как, к примеру, видео на https://www.[youtube].com/watch?v=dteHa9YYKfI, на уязвимые расширения (Fabric, в этом видео).
По большому счету, мы своей дискуссией начинаем уводить эту тему в сторону, что ясно не в помощь топикстартеру. Оставайтесь при своем мнении, но начиная с этого момента пишите, пожалуйста, только с целью помочь автору данной темы. Заранее благодарю.
З Ы Я не против продолжить с Вами дискуссию по безопасности Joomla, но - в отдельной теме.
-
- Joomla! Fledgling
- Posts: 3
- Joined: Sun Feb 19, 2017 9:57 pm
Re: Борьба с шелами на сайтах
Да прекращаем.. последние пару реплик: про популярность я абсолютно согласен, но раз популярна значит авторам надо ждать такого развития событий уделяя превентивным мерам достаточное внимание.AlexSmirnov wrote:Во-первых, само присутствие тем а ля "Вирус для ПО Икс" означает как раз что ПО Икс является популярным и потому наиболее атакуемым. Такую судьбу разделяют все популярные продукты ПО. Большинство вирусов для ОС пишутся под Windows именно из-за ее популярности.den812 wrote:...проще открыть например Ютуб и в поиске написать например " PHP shell for JOOMLA " , именно так я и сделал в поиске почему, как и откуда дырки
Во-вторых, я рекомендую Вам самому тщательно изучить те источники, которые Вы пытаетесь использовать в качестве основы своих заявлений. Они ссылаются либо на старые и уязвимые версии Joomla, либо, как, к примеру, видео на https://www.[[youtube]].com/watch?v=dteHa9YYKfI, на уязвимые расширения (Fabric, в этом видео).
По большому счету, мы своей дискуссией начинаем уводить эту тему в сторону, что ясно не в помощь топикстартеру. Оставайтесь при своем мнении, но начиная с этого момента пишите, пожалуйста, только с целью помочь автору данной темы. Заранее благодарю.
З Ы Я не против продолжить с Вами дискуссию по безопасности Joomla, но - в отдельной теме.
Про видео, там есть и старые дыры ( для тех кто не обновился и ленится) а есть и совсем свежие видео мануалы. вполне работающие. Кроме ЮТУБА есть достаточно ресурсов( обычно под такими старыми видео в подписи ссылочки на хак сайты .. там свежак обычно есть.. )
Топикстартеру, единственная помощь пока дыры не будут закрыты это посмотреть те самые видео( я для этого их продемонстрировал) в самых свежих показано как производится инжекция ПХП кода.. , ну и если это уязвимость ДЖУМЛЫ то сделать бекап всего на сайте просто в архив остаить его нам же выставив нулевой доступ к файлу. и как только очередной троян залезет. тупо все стирать и заливать заново из того же файла прям средствами хостинга. На моем хостинге есть мониторинг активности процессов и занимаетмой памяти. Я просто открываю и вижу что там более 100% память и процы .. ну значит пришло время... для "мойдодыра" )) стирать надо все , плюс замена паролей.. на скуль и на юзеров. в базе посмотреть прям в табличках есть ли новые юзеры подозрительные. и почистить их.
про то что нужен антивирус или вакцинация файлов системы.. абсолютно здравое решение в подобной ситуации для такой ПОПУЛЯРНОЙ цмс . это уже вопрос все же к разработчикам.
как то так..
-
- Joomla! Fledgling
- Posts: 1
- Joined: Tue Feb 20, 2018 1:15 pm
Re: Борьба с шелами на сайтах
Ребят, всех приветствую! Сразу скажу - я не программист, только наполнение делаю, сегодня на сайте все страницы, кроме главной, при входе на них - отправляют в редирект на какой-то левый сайт. Что делать ? перечитал кучу всего, но не могу понять как исправить.
- olegK
- Joomla! Apprentice
- Posts: 39
- Joined: Sat Oct 14, 2017 2:37 am
- Location: UA
- Contact:
Re: Борьба с шелами на сайтах
.htaccess замените на стандартный. Если не поможет, то советую обратится к специалистам или ко мне .metromaks wrote:на сайте все страницы, кроме главной, при входе на них - отправляют в редирект на какой-то левый сайт. Что делать ? перечитал кучу всего, но не могу понять как исправить.