Борьба с шелами на сайтах

[mikhailyand]

Здравствуйте,

С некоторых пор на мои сайты стали загружаться шелы(файлы в которых много кода в base64).
Обычно в корень сайтов. Если оперативно их удалить, то сайты работают нормально, иначе иногда падают.

Что я, будучи не образованным в безопасности сайтов, уже сделал:
- Защитил папку administrator паролем через файл .htaccess;
- Выставил на каталоги в корне 755, на все файлы в корне 444;
- Удалил все сохраненные в ФТП клиентах пароли;
- Поменял все пароли(админки, ФТП, phpmyadmin);
- Проверил сайт на вирусы утилитой AI-Bolit;
- Загрузил в папки где не могут быть и не должны выполняться скрипты соответствующий .htaccess;
- Проверил все свои компьютеры на вирусы различными популярными антивирусами и антитроянами;
- Все пароли стал хранить в программе Kaspersky Password Manager.

Но увы, сегодня опять в 4 из 5 сайтов в корне появились загруженные шелы.

Подскажите что я еще не сделал?
Как устранить уязвимость?

[den812]

Не переживай, вот почитай:
"В среднем за сутки производится порядка 16 000 атак такого рода, но этот показатель поднимался и до 20 000. .... "
источник: xakep . ru

Мои несколько сайтов на джумле .. о чем я теперь очень жалею .. т.к. за это месяц я уже второй или третий раз занимаюсь их реанимацией.. как собственно и написано в сотне статей, на данный момент джумла признана самой дырявой ЦМС )) ..

а творцам предлагаю встроить в ЦМС антитроян или там систему вакцинации системных файлов и директорий )) .. хорошая идея и вполне во время , к стати!

печаль и прос-ное время

как и сказано выше .. буду теперь следить за новостями и как только пойдет мор ... видимо буду отрубать хостинг до лучших времен

ПО ДЕЛУ: ESET ESS уже с нового года прекрасно находит эти трояны .. к сожалению версию для виртуального хостинга я так и не нашел .. а было бы не плохо получать такие отчеты

docs/administrator/components/com_categories/tables/blog.php - PHP/Agent.HQ троянская программа
docs/administrator/components/com_config/controller/themes77.php - PHP/Agent.HQ троянская программа
docs/cache/com_languages/stats99.php - PHP/Agent.HQ троянская программа
docs/libraries/fof/render/general.php - PHP/Agent.HQ троянская программа
docs/libraries/fof/utils/object/themes.php - PHP/Agent.HQ троянская программа
docs/libraries/vendor/paragonie/random_compat/start.php - PHP/Agent.HQ троянская программа
docs/libraries/legacy/table/test.php - PHP/Agent.HQ троянская программа
docs/media/editors/codemirror/mode/elm/backup.php - PHP/WebShell.NAH троянская программа
docs/media/editors/codemirror/mode/toml/htaccess.php - PHP/WebShell.NAH троянская программа
docs/templates/at_pixel/html/com_users/registration/htaccess.php - PHP/WebShell.NAH троянская программа
docs/templates/protostar/language/list1.php - PHP/Agent.HQ троянская программа

[AlexSmirnov]

@mikhailyand

Вам стоит подумать над сменой хостинга. Атаки на Joomla обычно не ограничиваются веб сайтами, - их цель захватить сервер.

Ваши шеллы, возможно, являются лишь маскировкой более глубоко спрятанных и более мощных RATов, которые, "спасибо" хостеру, на Вашем сервере живут как дома.

Пока источник взлома скрыт и живет и радуется на Вашем сервере, лечить его поверхностные симптомы нет смысла.

[AlexSmirnov]

, на данный момент джумла признана самой дырявой ЦМС

Сорри, но это заявление - полный булшит. Joomla, фактически, год за годом стабильно признается самой лучшей системой управления содержимым: https://docs.joomla.org/Joomla!_Awards

Время от времени уязвимости всегда были и будут обнаружены и объявлены в любом программном продукте, какой бы Вы не взяли для примера. Это - жизнь. Они были найдены и объявлены и в Joomla, и в WordPress, и в Drupal.

На достойном своего хлеба с маслом хостинге И при условии, что разработчик программного продукта, в котором найдена уязвимость, оперативно реагирует на эту уязвимость, устраняет ее и выпускает новую версию (что и происходит с Joomla) - уязвимости - не проблема.

... а творцам предлагаю встроить в ЦМС антитроян или там систему вакцинации системных файлов и директорий )) .. хорошая идея и вполне во время , к стати!

Нет никакого смысла загружать Joomla этими задачами.

Во-первых, на достойном наших денег хостинге уже на уровне IP адресов осуществляется начальная фильтрация подозрительных файлов.

Во-вторых, для тех, кто хочет более серьезной защиты, на хорошем хостинге за умеренную плату всегда есть дополнительные инструменты защиты. На SiteGround.com, к примеру, имеется инструмент "HackAlert Malware Monitoring", - инструмент мониторинга опасных файлов.

В-третьих, в распоряжении администраторов Joomla для мониторинга здоровья ее системных файлов уже существуют хорошо себя зарекомендовавшие расширения, как, к примеру, "Admin Tools Pro" и "RSFirewall". Загружать этими же работами системное ядро нет никакого смыла.

Если серьезно смотреть на защиту безопасности созданных на Joomla вебсайтов в ру-нете, то по моему опыту наблюдения за этим вопросом в течении нескольких лет, проблема большинства владельцев сайтов - не в системе Joomla, и даже не в слабо защищенных серверах.

Проблема в подавляющем большинстве случаев - в установленных по жадности коммерческих расширениях и шаблонах системы Joomla, которые не были куплены и скачаны у их соответствующих разработчиков, а вместо этого были бесплатно (ой ли?!) скачаны (разумеется вместе с искусно и скрытно вшитыми в их код "подарками" - вирусами) на каком-либо стороннем сайте.

Пока существует спрос на такие "услуги" по бесплатному скачиванию платных расширений и шаблонов и, соответственно, их доставка русскими робингудами - говорить о безопасности сайтов на Joomla - пустое дело.

[den812]

Красиво написать не запретишь, но проще открыть например Ютуб и в поиске написать например " PHP shell for JOOMLA " , именно так я и сделал в поиске почему, как и откуда дырки , рекомендую посмотреть есть весьма удобные полуавтоматические средства для загрузки шеллов итд. т.е. теперь любой "школяр" вооружившись хорошим дистрибутивом кали Линукс и ВПНом может так развлекаться сутками напролет )) .

Теперь о Хостинге, 99% хостингов виртуальные и права на них разграничены достаточно глубоко и точно. и вероятность использования проблем хостинга меньше. И по анализу логов выяснил что последнее проникновение закончилось запуском масс мейл рассылки получив данные из конфига ДЖУМЛЫ рассылался Криптик.

Code: Select all

 / docs / plugins / user / profile / files44 . php(1968) : eval()'d code:775]: To: user_21 @ 1-time-email . com -- Headers: Date: Fri, 17 Feb 2017 21:54:31 +0300 From: Kim Pena <kim_pena @ nic . ru > Message-ID: <f864061478edfa6c44abd7a626265881 @ nic . ru > X-Priority: 3 MIME-Version: 1.0 Content-Type: multipart / alternative; 	boundary="b1_f864061478edfa6c44abd7a626265881" Content-Transfer-Encoding: 8bit

JOOMLA хорошая CMS для пользователя и вебмастера , но в данный момент она лидирует плохих новостях ..
можно просто принять это к сведению и строить дальше с учетом проблем, и посматривать ЮТУБ периодически )) , а не "хвалить свое болото" ))

[AlexSmirnov]

...проще открыть например Ютуб и в поиске написать например " PHP shell for JOOMLA " , именно так я и сделал в поиске почему, как и откуда дырки

Во-первых, само присутствие тем а ля "Вирус для ПО Икс" означает как раз что ПО Икс является популярным и потому наиболее атакуемым. Такую судьбу разделяют все популярные продукты ПО. Большинство вирусов для ОС пишутся под Windows именно из-за ее популярности.

Во-вторых, я рекомендую Вам самому тщательно изучить те источники, которые Вы пытаетесь использовать в качестве основы своих заявлений. Они ссылаются либо на старые и уязвимые версии Joomla, либо, как, к примеру, видео на https://www.[youtube].com/watch?v=dteHa9YYKfI, на уязвимые расширения (Fabric, в этом видео).

По большому счету, мы своей дискуссией начинаем уводить эту тему в сторону, что ясно не в помощь топикстартеру. Оставайтесь при своем мнении, но начиная с этого момента пишите, пожалуйста, только с целью помочь автору данной темы. Заранее благодарю.

З Ы Я не против продолжить с Вами дискуссию по безопасности Joomla, но - в отдельной теме.

[den812]

...проще открыть например Ютуб и в поиске написать например " PHP shell for JOOMLA " , именно так я и сделал в поиске почему, как и откуда дырки

Во-первых, само присутствие тем а ля "Вирус для ПО Икс" означает как раз что ПО Икс является популярным и потому наиболее атакуемым. Такую судьбу разделяют все популярные продукты ПО. Большинство вирусов для ОС пишутся под Windows именно из-за ее популярности.

Во-вторых, я рекомендую Вам самому тщательно изучить те источники, которые Вы пытаетесь использовать в качестве основы своих заявлений. Они ссылаются либо на старые и уязвимые версии Joomla, либо, как, к примеру, видео на https://www.[[youtube]].com/watch?v=dteHa9YYKfI, на уязвимые расширения (Fabric, в этом видео).

По большому счету, мы своей дискуссией начинаем уводить эту тему в сторону, что ясно не в помощь топикстартеру. Оставайтесь при своем мнении, но начиная с этого момента пишите, пожалуйста, только с целью помочь автору данной темы. Заранее благодарю.

З Ы Я не против продолжить с Вами дискуссию по безопасности Joomla, но - в отдельной теме.

Да прекращаем.. последние пару реплик: про популярность я абсолютно согласен, но раз популярна значит авторам надо ждать такого развития событий уделяя превентивным мерам достаточное внимание.
Про видео, там есть и старые дыры ( для тех кто не обновился и ленится) а есть и совсем свежие видео мануалы. вполне работающие. Кроме ЮТУБА есть достаточно ресурсов( обычно под такими старыми видео в подписи ссылочки на хак сайты .. там свежак обычно есть.. )


Топикстартеру, единственная помощь пока дыры не будут закрыты это посмотреть те самые видео( я для этого их продемонстрировал) в самых свежих показано как производится инжекция ПХП кода.. , ну и если это уязвимость ДЖУМЛЫ то сделать бекап всего на сайте просто в архив остаить его нам же выставив нулевой доступ к файлу. и как только очередной троян залезет. тупо все стирать и заливать заново из того же файла прям средствами хостинга. На моем хостинге есть мониторинг активности процессов и занимаетмой памяти. Я просто открываю и вижу что там более 100% память и процы .. ну значит пришло время... для "мойдодыра" )) стирать надо все , плюс замена паролей.. на скуль и на юзеров. в базе посмотреть прям в табличках есть ли новые юзеры подозрительные. и почистить их.

про то что нужен антивирус или вакцинация файлов системы.. абсолютно здравое решение в подобной ситуации для такой ПОПУЛЯРНОЙ цмс . это уже вопрос все же к разработчикам.

как то так..

[metromaks]

Ребят, всех приветствую! Сразу скажу - я не программист, только наполнение делаю, сегодня на сайте все страницы, кроме главной, при входе на них - отправляют в редирект на какой-то левый сайт. Что делать ? перечитал кучу всего, но не могу понять как исправить.

[olegK]

на сайте все страницы, кроме главной, при входе на них - отправляют в редирект на какой-то левый сайт. Что делать ? перечитал кучу всего, но не могу понять как исправить.

.htaccess замените на стандартный. Если не поможет, то советую обратится к специалистам или ко мне .