Атаки на сайт
Привет. недавно заразили нам сайты на Joomla 1.5. Добавили ссылки во всех php файлах и в .htaccess добавили редирект и редирект с поисковиков, и ссылки для скачивания. После удаления ссылок и тд они появлялись опять. Поставил усиленый .htaccess вроде теперь ниего не появляется, но в логах вижу такие запросы что они означают эти логи? логи:
2012-12-23 21:14:43 - 188.190.99.166 - Changed POST value from:<SCRIPT> to:2012-12-23 21:14:46 - 188.190.99.166 - Changed POST value from:<SCRIPT> to:2012-12-23 21:14:48 - 188.190.99.166 - Changed POST value from:<SCRIPT> to:2012-12-23 21:26:25 - 188.190.99.166 - Changed POST value from:5Qi\'2p\\u to:5Qi'2p\u2012-12-23 21:26:26 - 188.190.99.166 - Changed POST value from:5Qi\'2p\\u to:5Qi'2p\u2012-12-23 21:26:28 - 188.190.99.166 - Changed POST value from:5Qi\'2p\\u to:5Qi'2p\u2012-12-23 21:39:12 - 188.190.99.166 - Changed POST value from:a\'s to:a's2012-12-24 00:34:44 - 95.53.235.102 - Changed COOKIE value from:196806394.1356309225.1.1.utmcsr=concrete-union.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php to:196806394.1356309225.1.1.utmcsr=concrete-.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php2012-12-24 00:35:22 - 95.53.235.102 - Changed COOKIE value from:196806394.1356309225.1.1.utmcsr=concrete-union.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php to:196806394.1356309225.1.1.utmcsr=concrete-.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php2012-12-24 01:50:02 - 46.4.53.92 - Changed GET value from: Финансовый Тренажер to: 2012-12-24 17:01:07 - 46.4.53.92 - Changed GET value from: Финансовый Тренажер to: 2012-12-24 17:28:46 - 74.125.187.147 - Changed GET value from: скачать игру человек паук на компьютер бесплатно без регистрации to: 2012-12-25 10:49:35 - 66.249.75.4 - Changed GET value from: софт для sony ericsson to: 2012-12-25 11:17:02 - 66.249.75.4 - Changed GET value from: скачать lineage part 2 to: 2012-12-25 11:17:03 - 66.249.75.4 - Changed GET value from: софт для sony ericsson to:
rofer
26.12.2012 15:47
1 461
действительно обновите джумлу и почистите комп (но тут момент, если это норм бот, антивиры его не найдут) от вирусов, после этого измените все пароли или сделайте это с другого компа (т.е. смена паролей) - перед сменой паролей проверьте не настроена ли почта/хост и т.д. на отправку пароля на какой нибудь мейл.
Стоит понять, как именно заразили сайт? Чаще всего: это проистекает по ftp. Никогда не вводите пароль с клавиатуры при работе с ftp (только копи-паст) и никогда НЕ сохраняйте его в файловом менеджере. И будет Вам счастье. Кто-то Вам в комп поселил червячка-похитителя паролей ftp. Меняйте пароли, для начала. Потом - вычищайте код с зараженных файлов (это трудоемко, но неизбежно). Поищите поиском по ftp конструкции типа: base64_decode; URL=.../
Ну, или проверяте все index... их много, а что делать.
Если же проникновение более серьезное (типа инъекций в БД), то - резервная копия. Если есть "откат" - окатитесь на дату взлома. Собстно, "откатиться" по-любому можно, если периодически делаете резервную копию на сервере.
это все прекратилось, кроме вот этих вот запросов которые я вижу в логах плагина JHackGuard. Я уверен что есть шеллы, потихоньку прочесываю все файлы пока найти не смог. Мне просто интересно что это за запросы такие, знает кто то?Что они означают то? В первом посте.
Плохо, что такие ссылки немного снизит "авторитетность" вашего сайта. И, вполне возможно, могут привести к пессимизации ресурса. Бывает и хуже: "сайт содержит вредоносный код..." и выкинут из поиска до момента ликвидации этого кода.
Запрет в .htaccess - полумера, сами понимаете. Нужно искать место "прописки". Тяжелый случай. Можно попробовать сравнить дистрюбитив с заведомо незараженного ресурса. Можно попробовать поискать по дате обновления файлов. Но это Вы, наверное, и так делаете. Чужой код - всегда вред.