Joomla! България
Стари версии на Джумла! => Joomla! 2.5 => Общи въпроси за Joomla! 2.5 => Темата е започната от: hristokk в 18 Август, 2014, 20:28:14
-
Здравейте. Поддържам безплатно сайт на едно училище и като цяло не съм специалист в джумлата освен да я ползвам и настройвам, но не и по кода...
Днес получихме изненадващо писмо, че сайта изведнъж е спрян за разпространение на спам.. сайта е 2.5 версия и през последните месеци освен обновяването и нищо друго не е качвано като модули.. само се ползват старите.. последно статията която публикувахме беше с изполване на стар модул за Attacments към него освен нещо той да е проблема и задействал нещо...
Как мога да проверя къде е зловредния код и да го изчистя!!Примерно ако сваля файловете от ФТП има ли някаква програма за сканиране
При запитване към тях отговора беше:
За съжаление не извършваме услуги по изчистване на сайтовете на клиентите ни от зловреден код. Необходимо е да се свържете с уеб разработчик. Прилагам едно от писмата разпространявани от хостинга ви, дано ви даде насоки.
Моля, НЕ отваряйте никой от линковете в писмото, за ваша безопасност.
Едно от писмата:
*** ENVELOPE RECORDS active/9E5881096A2 ***
message_size: 790 182 1 0 790
message_arrival_time: Mon Aug 18 19:41:52 2014
create_time: Mon Aug 18 19:42:01 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: pearl_buckley@sou-kavarna.com
*** MESSAGE CONTENTS active/9E5881096A2 ***
Received: by gauss.host.bg (Postfix, from userid 2693)
id 9E5881096A2; Mon, 18 Aug 2014 19:41:52 +0300 (EEST)
To: rita.maiga@yahoo.com
Subject: RE: Hi Brunette Amateur Slut Bent Over On A Massage Table
From: "Pearl Buckley" <pearl_buckley@sou-kavarna.com>
Reply-To:"Pearl Buckley" <pearl_buckley@sou-kavarna.com>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-Id: <20140818164201.9E5881096A2@gauss.host.bg>
Date: Mon, 18 Aug 2014 19:41:52 +0300 (EEST)
<h2><a href="http://www.vdonate.org/modules/title.html?cGt2YyxvY2tlY0J7Y2ptbSxhbW8=">Brunette Amateur Slut Bent Over On A Massage Table</a></h2>
<div> He looked me up and down coldly, a big man with big muscles-as well
</div>
*** HEADER EXTRACTED active/9E5881096A2 ***
named_attribute: encoding=8bit
original_recipient: rita.maiga@yahoo.com
recipient: rita.maiga@yahoo.com
*** MESSAGE FILE END active/9E5881096A2 ***
Какво може да се направи.. сайта има много информация и е лудост да се почва от 0 с нова J3 евентуално!
Благодаря ви много предварително!
-
Мдам... хост.бг :-) аз ръчно се оправям с notepad++.
-
но как да намеря къде измежду всички файлове е проблема... има ли някакъв софтуер за това... или поне какво да търся...
и с кой хостинг подяволите да ги сменя за да нямам подобни ядове вече... да ми казват, че понеже нямам реално ИП няма да ми дадат достъп.. и как подяволите аз да опитам поне да оправя проблема
-
Трябват ти знания, софт не знам.
-
Здравейте. Пуснаха ми достъп до сайта само за моето ИП. Търсих в нета за нещо намиращо зловреден год и попаднах на файл JAMSS.php .. стартирах го но то връща прекалено много неща... а не съм кодър за да отсея кое е вредно и кое полезно... може ли някой да погледне прикачения файл с получените резултати и да каже какво трябва да се изтрие... сайта никога няма да се използва за пращане на писма така че може абсолютно да се изтрие тази функция.. много благодаря предварително!!
-
Здравейте. Пуснаха ми достъп до сайта само за моето ИП. Търсих в нета за нещо намиращо зловреден год и попаднах на файл JAMSS.php .. стартирах го но то връща прекалено много неща... а не съм кодър за да отсея кое е вредно и кое полезно... може ли някой да погледне прикачения файл с получените резултати и да каже какво трябва да се изтрие... сайта никога няма да се използва за пращане на писма така че може абсолютно да се изтрие тази функция.. много благодаря предварително!!
Като за начало:
1. Свали сайта от хостинга и сканирай с антивирусни програми архива (използвай две -три различни).
2. Смени паролите за хостинга и провери на кои имейли праща данни за промяна, това в cpanel.
3. Смени паролите за администрация на joomla, провери с какъв имейл е главният администратор.
4. Mжеш да защитиш administrator директорията...
5. Виж дали имаш добавен потребител, който не познаваш...
6. Виж с какъв редактор си, ако не е проблем, махни всички добавени - остани само с tiny mce.
7. Провери за компоненти, модули и плъгини със съмнителни качества (това е трудно, ама ако можеш го направи)
8. Провери всички index.php файлове за някакви промени, ако намериш, използваш намереното (като код) за да претърсиш във всички останали файлове с текстов редактор.
9. В ... libraries/simplepie/simplepie.php
Тук има проблем, сравни (направо замести) с оригинален файл, запази променения, и чрез него със текстов редактор търсиш във всички останали файлове във архива.
Например, търсиш за: "\xC3\x86", 'aelig;' => "\xC3\xA6", 'Agrave' => "\xC3\x80"" или
" 'aelig;' =>" или "'Agrave' =>"
Има един хитър начин да провериш файловете в архива, като търсиш файлове променени през последните 10 дни, 20 дни и т.н. когато предполагаш, че е хакнат сайта ... може и така.
Как става търсенето:
1.Изтегляте си директорията "public_html" от хоста (или там, където Ви се намира сайта).
2.Намирате си Edit plus editor (xттп://www.editplus.com/), след като си го инсталирате в Tools > Preferences > Files > Махате чавката на "Create backup file when saving"
3.Отваряте едитора и от менюто избирате Search > Find in files
Find what: "... "
File type: " *.* " копирате всичко без кавичките
Folder: тук намирате изтеглената папка "public_html" на Вашия компютър
И натиската Find
Провери за всеки случай в http://www.unmaskparasites.com/ сйта си, когато го пуснат!
-
(shut)
1. Свали сайта от хостинга и сканирай с антивирусни програми архива (използвай две -три
Това Утепа риБата... @Мариян, мисли малко преди да пишеш.
@hristokk, ако не се справиш дай ми права до тъпхост.бг на лични, но в края на семицата.
-
Ами надявам се да съм се справил.. но само времето ще покаже.. ако пак го блокират значи не съм :)
Честно казано свалянето и сканирането на файловете откри някакво GIF файлче което уж било троянски кон.. не знаех че има вируси по GIF.. иначе изчистих почти всички допълнителни модули и оставих само основните... качих няколко допълнителни безплатни модула за защита на които попаднах.. Admin panel с която сложих парола на админ папката, също и дадох да оправи всички права на файлове и папки... и там други.. сложих и OSE Secure plugin там против SQL injection и др...
Пробвах и да обновя накрая от 2.5 до 3.2 но не се получи.. дава грешки.. и си остана на 2.5 засега.
Остава да се надявам вече, че проблема е отстранен...
-
(shut)
Това Утепа риБата... @Мариян, мисли малко преди да пишеш.
Хайде де, изтегли си "заразен" файл и го сканирай с антивирусна. Да видим, какво ще стане.
Аз ще ти кажа ... в повечето случай пищят, отдавна авнтивирусните засичат част от "кофти" кодове.
8)
Е, ако не ми вярваш, можеш да пробваш и онлайн:
https://www.virustotal.com/
-
В подкрепа на Мариян ще кажа, че и аз правих същата операция преди време и даде резултат :)
Адаш дано си се справил, иначе като съвет мога да ти дам да смениш доставчика... хост.бг от към съпорт бих ги оценил на -10 по десетобалната. Много ядове брах с тях преди време и ще ги кълна докато дишам :D :D :D
(beer)
-
Как антивирусната ще хване пренаписан код?
-
Изтеглете си някой текстов редактор като Notepad++ и си направете пълен архив на сайта.
При злонамерените скриптове се въоръжете се с търпение в откриването му. Повечето писачи на зловреден код го прикриват доста добре. Можете да го разпознаете по това, че е писан с големи и малки букви и символи.
iframe вирусите се откриват най-лесно. Най-често са модифицирани index.php, кода изглежда така, <iframe , ******</iframe>.
.htaccess вирусите, потърсете код започваш с "RewriteEngine On" включваш "HTTP_REFERRER".Вижте добре дали не са включени URL адреси.
-
Или ако имате повече от 3 сайта се абонирайте за myjoomla.com и ще спите спокойно.
-
Направо ме смазахте колеги с тази тема.
Спама през домейна може да бъде от всякъде, включително и от не съществуващ майл, примерно: аз@sou-kavarna.com
Най-вероятно е да е хакната пощата, а не сайта. // виждам, че сайта вече е активен :)
-
да активен е.. ще видим до кога обаче.. да не след година и хоп пак изненада.. този път няма да слагам абсолютно нищо допълнително като модули да видим... поща към сайта няма, нито има модули за писма в сайта или някаква друга обратна връзка, всичко бях изчистил и въпреки това пак се появи проблем.. започва силно да ме съмнява че може нещо и от хостинга да е дупката... при някое от приложенията за сканиране на които попаднах май ми изписваше че има опасност поради остарялата Апачи... ще препоръчате ли читав хостинг за в бъдеще с по хубава защита специално за Joomla сайтове.. Благодаря като цяло за помощта!
-
Дааа и отново [Host.bg #722057] спрян сайт... какво да правя вече не знам.. явно остава да се прави сайта изцяло наново... и да се използват минимални и само сигурни разширения...
-
Дааа и отново [Host.bg #722057] спрян сайт... какво да правя вече не знам.. явно остава да се прави сайта изцяло наново... и да се използват минимални и само сигурни разширения...
Здравей Колега,
съжалявам да прочета последния ти пост в тази тема, но решението е едно, смени хоста и то веднага без да се замислиш дори и за миг! Ще забравиш за тези главоболия след време. ;)
-
Да го сменя, ама с кой.. препоръчайте ми стабилен хостинг..
Има ли хостинг при който ако действително има проникване през някое инсталирано разширение или тема, поне да засичат кой е вредния файл по активноста му или нещо такова ако е възможно... а не да ме хвърлят в 3333 файла от които аз трябва да намеря вредния...абсурд..
Междувременно сега ще сложа чиста Joomla 3 .. и ще видя как да прехвърля само данните - менюта и статии най вече...
-
Да го сменя, ама с кой.. препоръчайте ми стабилен хостинг..
СуперХостинг, ICN ме дразнят в последно време с малоумните си действия. Въпроса е само този сайт ли ще местиш на новия хостинг или и други сайтове имаш в Хост.бг .
-
имам 4 сайта но те не са реално мои, а ги поддържам.. поръчвани по различно време и т.н. тоест едновременното прехвърляне ще е невъзможно...
ПП: да не отварям нова тема.. но след като прехвърлих чрез SQL данните от стария сайт в нова Joomla или след инсталиране на Akeeba Admin нещо се прецака със super user ID. При опит за редакция и запис на статия ми дава съобщение Записването неуспешно. Причината е следната: Невалидно главно id. Обаче реално записва, променя и създава... ID то е 62.. пробвах да го сменя или да създам друг супер потребител но и с него е същото... може би съм пропуснал да копирам някоя таблица или пък тоя Akeeba Admin и неговото супер ид прецака нещо, но и след деинсталацията му е същото..
-
имам 4 сайта но те не са реално мои, а ги поддържам.. поръчвани по различно време и т.н. тоест едновременното прехвърляне ще е невъзможно...
Защо да не е възможно, местиш ги за да нямаш бъдещи ядове, е вярно е трябва да отделиш някъв лев. Виж какъв ресурс ще им трябва, процесорно време на 24часа, дисково пространство, слагаш 10% отгоре и избираш хостинг плана, който ще ти върши работа.
-
ако бяха мои да го направя.. но както казах те са на други хора.. някои са подновени скоро и т.н. Евентуално при изтичането им може да се помисли за промяна стига да няма голяма разлика в цената която хората вече са свикнали да им казвам :)
Сега като реших да проверя техн. данни на сървъра видях нещо което може да е основната причина..
на проблемния сайт който е от 2010г. данните са:
Име на сървъра: gauss
Архитектура: i686
Операционна система: Gentoo
Perl - Активна версия: 5.0.51a
Apache - Активна версия: 1.3
а на друг който е от миналата година и досега е нямал проблеми да чукна на дърво са доста по нови данните:
Име на сървъра: pascal
Архитектура: x86_64
Операционна система: Gentoo
Сървър IP адрес: 193.107.36.50
Perl - Активна версия: 5.5.25a
Apache - Активна версия: 2.4
май не е лошо да поискам смяна на сървъра...
Важно! Моля препоръчайте ми стабилен хостинг/за предпочитане с възможност и за домейн от същото място/ понеже ми предстои изграждане на мини сайт за имоти с помоща нa Joomla и К2 и ме притеснява да няма отново проблеми, че има доста допълнителни модули и плъгини...
-
Гледам нищо не сте избистрили... лепнах го същото... голям провал
Вирусът се казва blackhat seo malware, управлява цялата база данни, и цялата администрация, след хак, ъплоудва собствените си файлове нейде... променя съдържанието на артикълите и блокира tinymice едитор.
Какво може да се направи... мааалко под въпрос, но за 2 дни борба, ето стъпките
1) изтриваш всичко - пишеш на хост.бг - всичко е 6, връщаш файловете обратно, и започваш да сменяш таблички през бази данни, пароли, потребители и др.
2) влизаш в phpmyadmin DB_namecontent - там са ти страниците, както и съдържанието, вътре в тях има спамммммм... триешшшшш.... :) прегледай всяка страница.
3) влизаш в phpmyadmin DB_nameusers - махаш ненужни потребители
за момента съм до тук стигнал.... ако искаш да знаеш дали има още вирус, влизаш в admin.host.bg, там има едно " операции четене запис" логове по часове, ако когато не си бил ти, има операции, начи не си се изчистил....
аз още се боря... успех....
-
не моя не беше такъв... проблеми по сайта, информация, потребители и други нямах... всичко си работеше нормално до последно... при мене само разпращаше спам писма към много хора и сървъра на хостбг ми го блокираше заради спамене...
-
именно де, ето какво получих и аз:
Отговор от: Ивайло Димов на 18 Sep 2014 в 22:49
Събери
Здравейте,
Достъпът до сайтът Ви е спрян, т.к. е хакнат. Изглежда в системата за управление на съдържание(CMS), която ползвате има дупка в кода/сигурността позволяваща качване на файлове/изпълнение на команди и/или злонамерен php код. Това дава възможност на злонамерени лица да изпращат спам, да правят флуд атаки, публикуват фишинг страници и др. злонамерени действия.
Всяка от горепосочените атаки попада под ударите както на Българското, така и на Европейското законодателство, като съгласно Общите условия на ползване на хостинг услугата отговорността се носи от собственика на сайта.
Препоръчваме Ви да обновите системата (CMS), която ползвате, както и темите, плъгините, модулите и компонентите към нея. В голяма част от случайте подобни хаквания стават през горепосочените компоненти на CMS системите.
Възстановяването на достъпа до Вашия сайт се извършва при следните условия:
1. Преди възстановяването сте премахнали конкретния зловреден код, скрипт, компрометирани файлове и т.н.
2. Съгласен сте след получаване на достъп да откриете и премахнете уязвимостта, довела до използването на Вашия сайт за атака на други сайтове или услуги в максимално кратък срок, но не по-дълъг от три работни дни.
При повторно и следващо експлоатиране на уязвимост на Вашия сайт в рамките на три месеца, достъпът до официалния адрес ще бъде преустановен съответно за 7 и 14 календарни дни. Възстановяването на достъпа преди тези срокове се таксува.
Едно от писмата разпространявани от хостинга ви:
*** ENVELOPE RECORDS deferred/4/4490B367D4C ***
message_size: 120824 614 1 0 120824
message_arrival_time: Thu Sep 18 21:04:32 2014
create_time: Thu Sep 18 21:04:32 2014
named_attribute: log_ident=4490B367D4C
named_attribute: rewrite_context=local
sender: tnt-support@***.net
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=37097
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=pascal
named_attribute: log_protocol_name=SMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=37097
named_attribute: helo_name=pascal
named_attribute: protocol_name=SMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;ingraf@intercable.net
original_recipient: ingraf@intercable.net
recipient: ingraf@intercable.net
*** MESSAGE CONTENTS deferred/4/4490B367D4C ***
X-SG-User: ****
X-SG-Opt: SCRIPT_FILENAME=/www/*****.net/www/root/templates/****/data/dirs23.php REQUEST_URI=/templates/*****/data/dirs23.php PWD=/www/*****.net/www/root/templates/******/data REMOTE_ADDR=146.185.239.51
To: ingraf@intercable.net
Subject: Delivery Notification
Date: Thu, 18 Sep 2014 21:04:31 +0300
From: TNT Express <tnt-support@****.net>
Message-ID: <849a8c43bc219479ceb772b0774ba9d2@***.net>
X-Priority: 3
X-Mailer: PHPMailer 5.2.8 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_849a8c43bc219479ceb772b0774ba9d2"
Content-Transfer-Encoding: 8bit
--b1_849a8c43bc219479ceb772b0774ba9d2
Content-Type: multipart/alternative;
boundary="b2_849a8c43bc219479ceb772b0774ba9d2"
--b2_849a8c43bc219479ceb772b0774ba9d2
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
TNT
e?x?p?r?e?s?s
International courier delivery services company
Delivery Notification
Courier service could not make the delivery of your parcel.
The label of your parcel is enclosed to the letter.
Print a label and show it at your post office.
All rights reserved by TNT Holdings B.V. © 2014
--b2_849a8c43bc219479ceb772b0774ba9d2
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html>
<body>
<head>
</head>
<table border="0" width="665" height="auto" style="border-collapse: collapse;font-family:Arial,sans-serif;color:#343434;font-size:14px;height:auto;font-weight:100;text-align:left;">
<tr>
<th style="border-bottom:#ff6600 solid 5px;">
<ul style="margin:0 0 0 0;padding:0 0 0 32px;width:150px;height:60px;display:inline-block;float:left;">
<p style="color:#ff6600;font-weight:bold;font-size:31px;margin:0;padding:0 85px 0 0;border-bottom:1px #808080 solid;width:auto;display:inline-block;height:30px;">TNT</p>
<p style="color:#ff6600;font-size:16px;font-weight:normal;margin:0;padding:0 0 0 60px;">e x p r e s s</p>
</ul>
<ul style="margin:0;padding:10px 0 0 0;width:475px;height:30px;display:inline-block;float:left;">
<p style="color:#ff6600;font-size:15px;font-style:italic;font-weight:normal;text-align:right;">International courier delivery services company</p>
</ul>
</th>
</tr>
<tr><th>
<ul style="width:655px;margin:10px auto;padding:0;background:#ededee;border-radius:10px;font-weight:normal;border:1px #ff6600 solid;">
<p style="display:block;width:100%;height:20px;border-radius:10px 10px 0 0;background:#ff6600;margin:0;padding:0;"> </p>
<p style="padding:10px;margin:0;">
<b style="color:#ff6600;font-size:16px;display:block;margin:0 0 5px 0;">Delivery Notification</b>
<br>
Courier service could not make the delivery of your parcel.
<br><br>
The label of your parcel is enclosed to the letter.<br>
Print a label and show it at your post office.<br>
</p>
<br>
<br>
</ul>
<p style="color:#ff6600;font-size:13px;text-align:right;margin:0;font-weight:100;padding:0 10px 0 0;">All rights reserved by TNT Holdings B.V. © 2014 </p>
</th></tr>
</table>
</body>
</html>
--b2_849a8c43bc219479ceb772b0774ba9d2--
--b1_849a8c43bc219479ceb772b0774ba9d2
Content-Type: application/octet-stream; name="TNTHG0029015274.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=TNTHG0029015274.zip
--b1_849a8c43bc219479ceb772b0774ba9d2--
*** HEADER EXTRACTED deferred/4/4490B367D4C ***
named_attribute: encoding=8bit
*** MESSAGE FILE END deferred/4/4490B367D4C ***
С уважение,
И
Техническа поддръжка - Host.bg
-
Да такова беше и моето писмо... аз разчистих масксимално сайта от излишните плъгини и модили.. след което инсталирах цялата joomla на чисто и после импортирах от старата БД само таблиците за менюта, статии, модули, плъгини и още няколко, които трябват за съдържанието... . ако в тях има нещо това може би значи че пак ще го лепна.. засега да чукам на дърво няма проблем, но времето ще покаже... ако пак се появи май ще се прави изцяло всичко наново .
Но все си мисля че пробива е заради слабата защита на хостинг сървъра... а никой не препоръчва по добър такъв...
ПП: А има ли начин предварително да се претърси кода за този вирус.. някоя ключова дума която се среща и с някоя търсачка, която претърсва съдържанието на файловете...
-
Аз преди малко се изчистих, още сменям пароли и прочие...
иначе за проверката, тук намерих доста вярна информация
http://sitecheck.sucuri.net/
-
Направих проверката с въпросния линк.. дава че няма вируси.. но и дава че е много остаряло Apache/1.3.41 и има голяма опасност от него.. което потвърждава съмненията ми в хоста..
-
Здравейте,
днес чистих хакнат сайт, та си направих труда да тествам гореспоменатите сайтове, Да, ама нищо не откриха. ще сложа само част от зловоредния код и то орязан.
// Please Dont change this (encoded for the security of the license key)
eval(gzinflate(base64_decode('ZZBBa4NAEIXPCv6HIQhrILp3S4RcikhDSvEuWzuNSzfudtwk9N933Y2BkOPMvPe9x8RN3e7fyrLL2CcO4iI1Fd8kTnjV9MM2YOmM65ck=')));
-
Здравейте,
днес чистих хакнат сайт, та си направих труда да тествам гореспоменатите сайтове, Да, ама нищо не откриха. ще сложа само част от зловоредния код и то орязан.
// Please Dont change this (encoded for the security of the license key)
eval(gzinflate(base64_decode('ZZBBa4NAEIXPCv6HIQhrILp3S4RcikhDSvEuWzuNSzfudtwk9N933Y2BkOPMvPe9x8RN3e7fyrLL2CcO4iI1Fd8kTnjV9MM2YOmM65ck=')));
base64_decode
Бас, че има руска кирилица в линковете
Не платено за сваляне :D
-
base64_decode
Бас, че има руска кирилица в линковете
Не платено за сваляне :D
Да, точно това е, но то беше една малка част от другото.
-
Как антивирусната ще хване пренаписан код?
-
RSFirewall за защита
Akeeba Admin Tools Pro за сканиране и защита
на ден заебания ми сайт има по амнайсе илядо атаки, спамери и ква ли не сган, за сега и двете го държат в перфектно състояние...
и никой да не се е обадил срещу Хост.бг, че ще има ембарго на преводите :)
Ако правилата на форума позволява, ще атачна последните версии които имам.
-
и никой да не се е обадил срещу Хост.бг, че ще има ембарго на преводите :)
:D :D :D
Ако правилата на форума позволява, ще атачна последните версии които имам.
Не, не ги качвай.