Форум Сайтостроение Безопасность

Взломали сайт

H
На сайте с 10.01.2013
Offline
2
HRSh
2437

Здравствуйте!

Случайно обнаружил скрытые ссылки на сайте. Покопался, нашел чужой код в index.php шаблона.

Ссылку убрал, пароли сменил.

В некоторых директориях лежат два текстовых файла x.txt z.txt с текстом "hacked by Hmei7" и "hacked by s13doeL", соответственно. Оба февральские (по дате создания). Тот что более поздний с датой создания 15.02.2013, 6-36 утра.

Посмотрев access логи, нашел следующее: 

83.222.31.45 - - [14/Feb/2013:09:54:38 +0600] "GET / HTTP/1.1" 200 46575 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:39 +0600] "GET /netcat/admin/ HTTP/1.1" 404 291 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:39 +0600] "GET /bitrix/admin/ HTTP/1.1" 404 291 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:40 +0600] "GET / HTTP/1.1" 200 46575 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:40 +0600] "GET /login.php HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:40 +0600] "GET /mod/pages/tpl/pages_add.html HTTP/1.1" 404 306 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:41 +0600] "GET /common/js/lang/ru/te.js HTTP/1.1" 404 301 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:41 +0600] "GET /common/js/calendar.js HTTP/1.1" 404 299 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:42 +0600] "GET /ru/ HTTP/1.1" 404 281 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:42 +0600] "GET /en/ HTTP/1.1" 404 281 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:42 +0600] "GET /admin/ HTTP/1.1" 404 284 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:42 +0600] "GET /includes/init.php HTTP/1.1" 404 295 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:43 +0600] "GET /atilektcms/ HTTP/1.1" 404 289 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:43 +0600] "GET /atilektcms/login.aspx?ReturnUrl=/atilektcms/default.aspx HTTP/1.1" 404 299 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:43 +0600] "GET /boatilekt/login.aspx HTTP/1.1" 404 298 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:44 +0600] "GET /cgi-bin/djem/djemserver HTTP/1.1" 404 301 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:44 +0600] "GET /cgi-bin/djem/djemserver.cgi HTTP/1.1" 404 305 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:44 +0600] "GET /cgi-bin/djemserver HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:44 +0600] "GET /cms/kernel/admin.php HTTP/1.1" 404 298 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:45 +0600] "GET /cms/admin/index.php HTTP/1.1" 404 297 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:45 +0600] "GET /_admin/ HTTP/1.1" 404 285 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:45 +0600] "GET /js/easy.php HTTP/1.1" 404 289 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:45 +0600] "GET /admin/content/sitetree/ HTTP/1.1" 404 301 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:46 +0600] "GET /domain/admin/ HTTP/1.1" 404 291 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:46 +0600] "GET /cgi-bin/CMS/getcontent.cgi?template=LoginPage&alias=nicht HTTP/1.1" 404 304 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:46 +0600] "GET /CMS/getcontent.cgi?template=LoginPage&alias=nicht HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:46 +0600] "GET /textpattern/include/import/BloggerImportTemplate.txt HTTP/1.1" 404 330 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:47 +0600] "GET /manager/ HTTP/1.1" 404 286 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:47 +0600] "GET /manager/includes/accesscontrol.inc.php HTTP/1.1" 404 316 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:47 +0600] "GET /assets/index.html HTTP/1.1" 404 295 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:47 +0600] "GET /assets/cache/siteCache.idx.php HTTP/1.1" 404 308 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:48 +0600] "GET /hostcmsfiles/main.js HTTP/1.1" 404 298 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:48 +0600] "GET /engine/engine.php HTTP/1.1" 404 295 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:49 +0600] "GET /administrator/ HTTP/1.1" 200 5285 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:48 +0600] "GET /core/packages/.gitignore HTTP/1.1" 404 302 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

83.222.31.45 - - [14/Feb/2013:09:54:49 +0600] "GET /wp-login.php HTTP/1.1" 404 290 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1"

Второй текстовый файл создан 7-го февраля. Access лог выкладывать не буду, там строчек с 404 намного больше, но выглядит всё очень похоже.

Забив "83.222.31.45" в поисковик нашёл тему.

Посоветуйте, пожалуйста, что предпринять чтобы больше не повторилось.

Двиг - Joomla! 1.5.22, хостинг netangels.

R
На сайте с 24.01.2008
Offline
180
Алексей
#1

ТС на взлом могут влиять многие факторы, если вас взломали, могли залить вам шеллов и других вредоносных скриптов, потому даже если сейчас вы сделаете усилия по защите, они могут быть напрасными, т.к. могут быть уже вредоносные скрипты на вашем сайте.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
Странные страницы в индексе Сайт рассылает спам сообщения. Почему гугл глупее яндекса?
S
На сайте с 06.08.2008
Offline
130
spiderbuber
#2

Для начала двиг обновите до последней версии. Взломали на автомате скорей всего..

H
На сайте с 10.01.2013
Offline
2
HRSh
#3
Rxp:
ТС на взлом могут влиять многие факторы, если вас взломали, могли залить вам шеллов и других вредоносных скриптов, потому даже если сейчас вы сделаете усилия по защите, они могут быть напрасными, т.к. могут быть уже вредоносные скрипты на вашем сайте.

С вашей точки зрения не стоит ничего делать чтоли?

spiderbuber:
Для начала двиг обновите до последней версии. Взломали на автомате скорей всего..

Спасибо, займусь в ближайшее время, но так понимаю что дальше 1.5.26 джумлы всё равно не уйти...

xpycteamset
На сайте с 05.10.2009
Offline
129
xpycteamset
#4

Можно обновить до 3.0.* только руки прямые должны быть (но если много всяких разных компонентов плагинов, то да будут трудности).

Плюс качни весь сайт, проверь антивирусом например нод32, должен будет найти шел (у меня находил). И после этого меняй пароли.

Пользовался айболитом, так он практически все файлы пометил как опасные (может руки кривые, не исключаю)

Все вопросы по бирже Яндекс нашел вирус на Вирусы
V
На сайте с 03.07.2008
Offline
34
vetas
#5

можешь вручную поменять некоторые самые частоиспользуемые признаки при пробиве Джумлы.

H
На сайте с 10.01.2013
Offline
2
HRSh
#6
xpycteamset:
Можно обновить до 3.0.* только руки прямые должны быть (но если много всяких разных компонентов плагинов, то да будут трудности).
Плюс качни весь сайт, проверь антивирусом например нод32, должен будет найти шел (у меня находил). И после этого меняй пароли.
Пользовался айболитом, так он практически все файлы пометил как опасные (может руки кривые, не исключаю)

Там тема от YooTheme, думаю не получится так просто добить до 3-ей джумлы...

Сайт слил, тестирую на денвере. Джумлу до 1.5.26 обновил - всё ок вроде. Шеллов не нашел тремя антивирусами, спасибо за совет!

Пожевало Jooml'у Периодически появляется вирус Посоветуйте хостинг! Срочно!
ST
На сайте с 01.05.2013
Offline
0
SES TEAM
#7

System Electron Security, сообщает!

проведи аудит безопасности своей CMS

Потому что судя из логов мы уже нашли шеллы, и то как к ним подключались

E1
На сайте с 07.05.2009
Offline
66
electron1981
#8
HRSh:
С вашей точки зрения не стоит ничего делать чтоли?


Спасибо, займусь в ближайшее время, но так понимаю что дальше 1.5.26 джумлы всё равно не уйти...

Я перешел на 2.5 и регулярно обновляю. Но переходил в ручную, тоесть создавал сайт на Денвере с нуля. У меня 90% сайта это галерея, а на момент миграции модуля миграции не было под неё, Но был еще один момент я перешел с одной галерие на другую, вот поэтому делал все с нуля. На 3,0 не переходил, она в то время была для разработчиков и софта по ней не было (модули плагины). Сейчас конечно лучше перейти на 3,0.

По поводу 1,5,26 у меня ее взломали на раз.

Куплю ссылки, либо статьи с женских сайтов в Казахстане, Беларуссии.
Как переехать с Joomla Миграция с Joomla 1.5 Хостинг перешел на php

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий