- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Периодически ломают Joomla 1.5, после каждого обнаружения (ежедневный скрипт следит за изменением файлов) меняю все доступы какие есть. Установлены плагины защиты входа в админку, от инъекций в базу, пользователей на сайте нет, только аккаунт админа.
Характерная особенность взлома: логи сайта в день взлома с правами 644 владелец www-data, в нормальном состоянии права 400, владелец пользователь.
VPS организована один сайт-один пользователь, на vps есть еще один сайт на Joomla 1.5 с ним проблем нет.
Последний взлом залили в корень пользователя (выше уровня www) файл wp-conf.php, в логах есть запросы POST /wp-conf.php?t1184n=1 HTTP/1.0 с ответом 200
Как бороться с напастью подскажите пожалуйста?!
644 владелец www-data
Скорей всего у вас шелл. Нужно проверять не автоматизированными скриптами а глазами для исключения всех вредоносных скриптов.
Если необходима помощь стучите!
Проверяю айболитом - шелов нет, но есть подозрительные файлы, eval в них нет
vtomas
айболит есть и у тех кто шелы льют. Намек понятен ?
Намек понятен
это понятно, что кто льет идет на шаг впереди противодействия
Проверяю айболитом - шелов нет, но есть подозрительные файлы, eval в них нет
Данный скрипт не определяет очень много вариантов мини шеллов и обычных шеллов. Вообще если будете ориентироваться на данный скрипт будете мучатся с вирусами не 1 раз, т.к. не дает он полной гарантии на чистоту вашего сайта.
Вообще если будете ориентироваться на данный скрипт будете мучатся с вирусами не 1 раз, т.к. не дает он полной гарантии на чистоту вашего сайта.
Подтверждаю, в моем случае айболит вообще ничего подозрительного не находил, кроме счетчиков посещений. Только руками. Конструкция шелла может и не содержать распространенных конструкций типа eval, достаточно только обфусицированного кода.
Как бороться с напастью подскажите пожалуйста?!
права на логи тут только следствие, ищите вебшеллы, а исходно вломили наверное через какой-то плагин в джумле...
дырка jce закрыта?
vtomas,
Джумла 1.5.26 ?
дырка jce закрыта?
И еще nnframework нужно обновить до 12.45,если используется NoNumbers
NoNumbers и Jce нет, спасибо всем ответившим, после отпуска обращусь к спецам за чисткой и аудитом, тему можно закрыть.