1. Приветствуем Вас на нашем закрытом форуме для складчиков сайта cmsheaven.org. Если Вы частный вебмастер, фрилансер, владелец малого или среднего бизнеса, представитель студии по разработке сайтов - будем рады видеть Вас в наших рядах экономных людей.
    Регистрация на форуме возможна только после вступления в складчину

Вирусы, Шеллы, редиректы итд

Тема в разделе "Вебмастерская", создана пользователем Виталий, 18 окт 2014.

  1. Виталий

    Виталий Weblargo Команда форума

    Регистрация:
    10 окт 2014
    Сообщения:
    964
    Симпатии:
    371

    Предлагаю тут выкладывать вирусы обнаруженные на Ваших сайтах, и способы борьбы с ними


    [​IMG]
    #1
  2. modern.po

    modern.po Админ Команда форума

    Регистрация:
    25 авг 2014
    Сообщения:
    842
    Симпатии:
    497
    Один раз в далеком 2010 году взломали сайтик один на Joomla 1.0.15. Посмотрел логи, оказалось ломали через SQL инъекцию компонента форума (Fireboard назывался на то время кажется)
    После этого случая стараюсь без надобности сторонние расширения не ставить и по возможности пользоваться стандартными средствами джумлы
    А вообще джумла хороший движок в плане безопасности, как и вордпресс ... уязвимости конечно имеются, но тут нужно что бы ряд факторов совпал еще, так просто не взломаешь.
    Если есть подозрения на взлом - ставьте айболит и делайте проверку всех файлов - http://revisium.com/ai/
    Вот можно видео на русском посмотреть как лечили сайт на Joomla 3.x
    #2
    Prometey и Виталий нравится это.
  3. Виталий

    Виталий Weblargo Команда форума

    Регистрация:
    10 окт 2014
    Сообщения:
    964
    Симпатии:
    371
    :(Опередил )) Хотел выложить мануал по Айболиту. Вещь самая лучшая на сегодня из бесплатных антивирусов
    #3
    modern.po нравится это.
  4. webmaster

    webmaster Модератор

    Регистрация:
    10 окт 2014
    Сообщения:
    79
    Симпатии:
    28
    А я обхожусь без всяких Айболитов - скачиваю проблемный сайт себе на компьютер, проверяю антивирусом NOD ESET, потом ищу с помощью Notebad++ по url скрытой ссылке, где она находится, если ссылка зашифрована в base64 то смотрю все с base64, также использую сервисы проверки сайтов на вирусы в интернете.
    #4
  5. Виталий

    Виталий Weblargo Команда форума

    Регистрация:
    10 окт 2014
    Сообщения:
    964
    Симпатии:
    371
    Раньше тоже пользовался данными методами, только шифрованные ссылки удобно искать через программку http://www.mythicsoft.com/agentransack она ищет текст в файлах с указанием номера строки в коде. и не только base64 надо искать но еще и eval, unescape итп
    но после встречи с Айболитом все стало гораздо проще

    P.S. не
    а Notepad++ :) хотя Ваше название мне тоже нравится
    #5
  6. alwhite

    alwhite Матерый складчик

    Регистрация:
    9 окт 2014
    Сообщения:
    237
    Симпатии:
    31
    а у меня айболит вызывает 502 ошибку сервера
    #6
  7. Виталий

    Виталий Weblargo Команда форума

    Регистрация:
    10 окт 2014
    Сообщения:
    964
    Симпатии:
    371
    1. После открытия скрипта в браузере отображается белая страница
    Если через некоторое время скрипт выдает белую страницу, скорее всего означает, что у вас очень много файлов на хостинге и скрипт не успевает проверить их все в течение отведенного времени. Время определяется настройками PHP и веб-сервера, обычно отводится 30 секунд на то, чтобы скрипт завершил свою работу. В противном случае выдается либо белая страница, либо 504 Gateway Timeout, либо 502 Bad Gateway.

    Возможные решения проблемы:

    1. Просканировать сайт локально, у себя на компьютере
    2. Увеличить max_execution_time в php.ini или (если позволяют настройки веб-сервера) в .htaccess. Например, поставить 30 минут, а не 30 секунд.
    3. Запустить скрипт не из браузера, а из командной строки. Для этого нужно иметь доступ к серверу через SSH.
      Для запуска наберите:
      php ai-bolit.php

      Если интерпретатор php у вас не прописан в пути, то нужно указать до него полный путь, например так
      /usr/bin/php ai-bolit.php

      В результате исполнения скрипта будет создан файл AI-BOLIT-REPORT-<дата>_<время>.html, который будет содержать результат работы скрипта. Этот файл можно открыть в любом браузере.

      Внимание! Если сделать php ai-bolit.php > result.html - вы не увидите процесса проверки, и в result.html не будет результата проверки. Результат всегда в AI-BOLIT-REPORT-<дата>_<время>.html.
    Из двух вариантов второй является более предпочтительным, так как выполняет полную проверку на вредоносные скрипты.

    Если скрипт сразу выдает белую страницу - смотрите error_log, в нем должна быть ошибка. Либо можете включить в .htaccess опцию error_reporting и посмотреть сообщение об ошибке прямо в браузере.
    источник: http://revisium.com/ai/faq.php
    #7
    Евгений_М, modern.po и Coresolo нравится это.
  8. alwhite

    alwhite Матерый складчик

    Регистрация:
    9 окт 2014
    Сообщения:
    237
    Симпатии:
    31
    сканировал у меня сайт 2 часа 36 минут :) ... Выдал логи на экран, а вот файл report не появился... в принципе я в нем и так ничего бы не понял...
    #8
    modern.po нравится это.
  9. Media42

    Media42 Опытный складчик

    Регистрация:
    1 ноя 2014
    Сообщения:
    75
    Симпатии:
    20
    Дал одному доступ по FTP что-бы исправил ошибки в своем платном плагине. Он мне дорвейских ссылок наделал. Узнал через пару месяцев с помощью Яндекс.Вебмастер. Там был список ссылок на стороний сайт по нему вычислил папку в которой появились постороние файлы .php, Но удалить их оказалось мало были постороние строчки в .htaccess Так-что будьте внимательней проверяйте после каждого, кто полазил на вашем сайте.
    #9
    modern.po нравится это.
  10. vet86

    vet86 Матерый складчик

    Регистрация:
    24 ноя 2014
    Сообщения:
    389
    Симпатии:
    78
    У меня новый сайт был взломан через шаблон скаченный на joomla-master. На сайте появилось более 60! внешних ссылок са страницы. Был занят и к сожалению поздно заметил, только после того как сайт улетел под АГС :(
    #10
    modern.po нравится это.
  11. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Хозяева joomla-master, сами встраивают ссылки и всякую дрянь во всё что там есть на сайте. Тоже не сразу заметил, потом проклял этот сайт.
    #11
    VISE и modern.po нравится это.
  12. deivion4ik

    deivion4ik Админ

    Регистрация:
    13 окт 2014
    Сообщения:
    548
    Симпатии:
    320
    Да, это уж точно. Скачиваю оттуда шаблоны только для тестов. На рабочие проекты ни в коем случае
    #12
  13. alwhite

    alwhite Матерый складчик

    Регистрация:
    9 окт 2014
    Сообщения:
    237
    Симпатии:
    31
    а как вообще искать левые ссылки на сайте?
    #13
  14. vet86

    vet86 Матерый складчик

    Регистрация:
    24 ноя 2014
    Сообщения:
    389
    Симпатии:
    78
    Я проверяю тут: https://www.linkpad.ru/?ff=welcome
    #14
  15. Lordboy

    Lordboy Мастодонт Команда форума

    Регистрация:
    17 ноя 2014
    Сообщения:
    597
    Симпатии:
    366
    А я просто поставил RS Firewall + заблокировал доступы по ненужным странам + защиту к папке administartor в ISP + .htaccess в /administrator с доступом по моему статичному IP)))) Уже 4 года не ломали ничего ни разу. Ставлю этот бум-пакет на все сайты сразу. Понятно, что это не дает 100% защиты, а что дает? А ничего не дает))) Но по крайней мере я могу это хоть как то оперативно отслеживать. Да и потом - мы работаем по принципу - вы платите за обслуживание и не заморачиваетесь, если не платите, то мы не даем никаких гарантий. РК делается каждые 2 дня переписывая друг друга, при том, что сайты без обновлений всегда имеют чистую РК на всякий пожарный. joomla-master - уроды, хотя шьют все одно и тоже через base64 в одни и те же места. Не знаю, кто еще оттуда качает, по моему уже куда не залезь - везде по ним прошлись) А, ну и еще одно важное, хотя, думаю, все знают! Никогда не сохраняйте доступы в FileZilla, меня через нее лет 5 назад просто разрушили. Сайты ломали каждый день, я просто волосы рвал - не понимал откуда ноги растут - потом нашел трояна на локалке.
    #15
  16. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Я для FTP пользуюсь только Total Commander
    В нём есть функция шифрования паролей. Точнее шифруется файл с паролями и становится бесполезной кража файла с паролями.
    А вообще у меня знакомого тоже через филезилу ломанули вирусом. Украли пароли.
    #16
  17. user0806j2

    user0806j2 Матерый складчик

    Регистрация:
    10 окт 2014
    Сообщения:
    218
    Симпатии:
    70
    У меня с ТС непонятная проблема - при FTP загрузке файла меняет регистр в имени, т.е. файл ru-RU.name меняет на ru-ru.name и файл языка на сайте не читается. Кто-нибудь знает в чем проблема?
    И еще. Есть опыт работы с менеджером файлов в Joomla - Profiles ?
    #17
  18. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Во время копирования на FTP, внимательно смотрим:
    [​IMG]
    Эта галка запоминается если её нажать.
    Поэтому снимите её и скопируйте чтонить и она запомниться как снятая.
    #18
  19. Victoria

    Victoria Опытный складчик

    Регистрация:
    2 дек 2014
    Сообщения:
    45
    Симпатии:
    23
    Я тоже поставила RS Firewall, но почему то не работает автоматическая блокировка по IP через и капча после нескольких попыток ( установила 3 ) делаю подобный вывод тк день через день вижу как минимум 5 -6 страниц с попытками влезть через админку :(
    #19
  20. Lordboy

    Lordboy Мастодонт Команда форума

    Регистрация:
    17 ноя 2014
    Сообщения:
    597
    Симпатии:
    366
    Надо разобраться с геопривязкой, это в хостинге проблема. Написал, а теперь редактирую, я думал вы страны имеете ввиду))) А свой IP занесли в белый список?
    #20
    Victoria нравится это.