Атаки на сайт

rofer rofer   26.12.2012 15:47   307  
Привет. недавно заразили нам сайты на Joomla 1.5. Добавили ссылки во всех php файлах и в .htaccess добавили редирект и редирект с поисковиков, и ссылки для скачивания. После удаления ссылок и тд они появлялись опять. Поставил усиленый .htaccess вроде теперь ниего не появляется, но в логах вижу такие запросы что они означают эти логи? логи:

2012-12-23 21:14:43 - 188.190.99.166 - Changed POST value from:<SCRIPT> to:2012-12-23 21:14:46 - 188.190.99.166 - Changed POST value from:<SCRIPT> to:2012-12-23 21:14:48 - 188.190.99.166 - Changed POST value from:<SCRIPT> to:2012-12-23 21:26:25 - 188.190.99.166 - Changed POST value from:5Qi\'2p\\u to:5Qi'2p\u2012-12-23 21:26:26 - 188.190.99.166 - Changed POST value from:5Qi\'2p\\u to:5Qi'2p\u2012-12-23 21:26:28 - 188.190.99.166 - Changed POST value from:5Qi\'2p\\u to:5Qi'2p\u2012-12-23 21:39:12 - 188.190.99.166 - Changed POST value from:a\'s to:a's2012-12-24 00:34:44 - 95.53.235.102 - Changed COOKIE value from:196806394.1356309225.1.1.utmcsr=concrete-union.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php to:196806394.1356309225.1.1.utmcsr=concrete-.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php2012-12-24 00:35:22 - 95.53.235.102 - Changed COOKIE value from:196806394.1356309225.1.1.utmcsr=concrete-union.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php to:196806394.1356309225.1.1.utmcsr=concrete-.ru|utmccn=(referral)|utmcmd=referral|utmcct=/articles/index.php2012-12-24 01:50:02 - 46.4.53.92 - Changed GET value from:   Финансовый Тренажер to: 2012-12-24 17:01:07 - 46.4.53.92 - Changed GET value from:   Финансовый Тренажер to: 2012-12-24 17:28:46 - 74.125.187.147 - Changed GET value from:   скачать игру человек паук на компьютер бесплатно без регистрации to: 2012-12-25 10:49:35 - 66.249.75.4 - Changed GET value from:   софт для sony ericsson to: 2012-12-25 11:17:02 - 66.249.75.4 - Changed GET value from:   скачать lineage part 2 to: 2012-12-25 11:17:03 - 66.249.75.4 - Changed GET value from:   софт для sony ericsson to:

Ответы на вопрос (10) Написать ответ
UnFeeLing UnFeeLing   26.12.2012 15:49
Joomla обновите
0
Uniz Uniz   26.12.2012 15:53
да тупой реф. спам.
действительно обновите джумлу и почистите комп (но тут момент, если это норм бот, антивиры его не найдут) от вирусов, после этого измените все пароли или сделайте это с другого компа (т.е. смена паролей) - перед сменой паролей проверьте не настроена ли почта/хост и т.д. на отправку пароля на какой нибудь мейл.
0
rofer rofer   26.12.2012 16:17
А именно эти запросы как делаются и на что влияют?
0
Uniz Uniz   26.12.2012 16:22
линк на сайт в лс
0
sansan sansan   26.12.2012 17:22
Обновлять Джумла 1.5 - нужно было пару лет назад...
Стоит понять, как именно заразили сайт? Чаще всего: это проистекает по ftp. Никогда не вводите пароль с клавиатуры при работе с ftp (только копи-паст) и никогда НЕ сохраняйте его в файловом менеджере. И будет Вам счастье. Кто-то Вам в комп поселил червячка-похитителя паролей ftp. Меняйте пароли, для начала. Потом - вычищайте код с зараженных файлов (это трудоемко, но неизбежно). Поищите поиском по ftp конструкции типа: base64_decode; URL=.../
Ну, или проверяте все index... их много, а что делать.
Если же проникновение более серьезное (типа инъекций в БД), то - резервная копия. Если есть "откат" - окатитесь на дату взлома. Собстно, "откатиться" по-любому можно, если периодически делаете резервную копию на сервере.
0
Uniz Uniz   26.12.2012 18:54
лол по вашему копи-паст спасет от утекания пароля?))) По вашему данные фтп:логин:пароль не передается?)))
0
milko milko   26.12.2012 23:43
если я не пользуюсь фтп вообще, сайт можно заразить с какой вероятностью? мне отдали джумлу, я в ней ноль. тоже 1.5 кажется
0
rofer rofer   26.12.2012 18:26
Вообще заметили все это спустя 2 месяца как появилось, и даже бекапы были зараженными, так тчо вариант остается только лечить сайт. Такие ссылки типа base64_decode все удалили, было более 7000 ссылок. Плюс в index файле шаблона были rewrite и другие скрпитики, а в папке images файл post.php, и переписан .htaccess все это заменяли заливали чистые файл, меняли все пароли, но все менялось и опять возвращалось. Только после прописывание запретов в .htaccess
это все прекратилось, кроме вот этих вот запросов которые я вижу в логах плагина JHackGuard. Я уверен что есть шеллы, потихоньку прочесываю все файлы пока найти не смог. Мне просто интересно что это за запросы такие, знает кто то?Что они означают то? В первом посте.
0
sansan sansan   26.12.2012 19:05
В обозначенных файлах будут периодически появляться ссылки на нужные спамерам ресурсы невидимые для посетителей, но видимые для поисковых систем. Что даст этим ресурсам дополнительный ссылочный "вес". Проверьте исходный код, могут и сейчас "висеть" чужие ссылки.
Плохо, что такие ссылки немного снизит "авторитетность" вашего сайта. И, вполне возможно, могут привести к пессимизации ресурса. Бывает и хуже: "сайт содержит вредоносный код..." и выкинут из поиска до момента ликвидации этого кода.
Запрет в .htaccess - полумера, сами понимаете. Нужно искать место "прописки". Тяжелый случай. Можно попробовать сравнить дистрюбитив с заведомо незараженного ресурса. Можно попробовать поискать по дате обновления файлов. Но это Вы, наверное, и так делаете. Чужой код - всегда вред.
0
rofer rofer   27.12.2012 01:04
Это все понятно. Кто нибудь конкретно может сказать что означают эти и подобные запросы и как вообще делаются? Через шелл?

0

Войдите, чтобы написать ответ
Вход Регистрация

Гарант сделок продажи и покупки сайтов, доменов и услуг.